no php.ini vc pode fazer : disable_functions = system,exec
isso fara com que o php nao execute as funcoes system() e nem exec().. dando maior seguranca a ataques desse tipo.. outras variaveis interessantes para prover maior seguranca no php sao: safe_mode= On safe_mode_gid=Off expose_php=Off register_globals=Off (sem comentarios.. rsrs) dispaly_error=Off log_eroor=On error_log=php_erro.log Considerando que seu php nao emitira erros, vale ainda configurar o apache: trocar : AddType application/x-httpd-php .php Por: AddType application/x-httpd-php .jsp Ou AddType application/x-httpd-php .dhmtl Ai vc renomeia todos os seus arquivos .php para jsp ou dhtml e isso dificultara ao atacante qual a tecnologia que vc esta usando.. ele pensara que é java pages ou dhtml ou asp.. enquanto que vc usa php!! Mas se vc deixar a variavel display_error=On, qdo der um erro.. o cara ja vai saber o que vc sta usando.. isso ajuda mas nao evita ataques contra programacao mal feita!! modsecurity do apache é muito bom... acho que todos deveriam ter... com bons filtros.. ajuda muuuito!! ate. Gustavo Polillo Correa. ---------- Original Message ----------- From: "Marcelo M. Fleury" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" <freebsd@fug.com.br> Sent: Fri, 22 Feb 2008 09:59:32 -0300 Subject: Re: [FUG-BR] OT-Ataque PHP injection > Olá, > > até onde eu entendi, o interesse da Cristina é em não ser uma > provedora de códigos maliciosos, no caso PHP. > > Acredito que um IDS/IPS não adiantaria, uma vez que não se trata de ataques > a rede/host, e sim de que a rede ou host seja uma provedora de > ataques... na realidade não conheço solução voltada para isso... > existe o mod_security do apache que pode te ajudar a monitorar e > filtrar suas aplicações. > > Penso em algum programa que cheque a integridade de arquivos no > servidor, algo parecido com o file: > > [EMAIL PROTECTED]:~$ cat sh.gif > <?php > system($_GET['sh']); > ?> > [EMAIL PROTECTED]:~$ file sh.gif > sh.gif: PHP script text > > e depois, habilitar alguns filtros no mod_security buscando checar qualquer > uso indevido do php... confesso que não conheço muito o mod_security, > uma vez que não trampo mais como sysadmin e sim como > desenvolvedor(quero arrumar um tempo para brincar com ele). > > Acredito que no mais é realizar auditorias... procurar nos logs do apache > por qualquer comando... estilo uname, id, ls ... nada que o cat,grep, > awk não resolva! > > Espero ter ajudado, boa sorte! > > Em 22/02/08, William Grzybowski <[EMAIL PROTECTED]> escreveu: > > > > Oi Patrick, > > > > Não sei se entendi muito bem, poderia me dar uma luz? > > Php injection, como próprio nome ja diz é a inserção de codigo php > > causado por código mal escrito que permito o injeção de código php > > externo no servidor, correto? > > > > Como que funcionam essas regras que você falou? Essas empresas liberam > > regras que atuam (obviamente) na ""camada"" do HTTP e analizam o > > trafego para os softwares vulneraveis que eles tem conhecimento e > > inclusao direta de scripts em servidores externos? > > > > Vlw > > > > 2008/2/21 Patrick Tracanelli <[EMAIL PROTECTED]>: > > > > > Cristina Fernandes Silva escreveu: > > > > > > > É cobrada essas regras ? Vc tem alguma faixa de preço ? é apllicance > > > > ? ou somente as regras que posso usar no snort. > > > > > > Sim, são cobradas. Na Source Fire depende do seu perfil, tem varios > > > precos. Eles confiam no que voce diz: Se voce diz que é pequeno porte, > > > não importa se é uma multinacional, pagara como pequeno. No site da > > > SourceFire tem todos os detalhes sobre preços. > > > > > > São só as regras a principio, mas pode comprar o sistema deles. Não > > > conheço quem use no país o sistema deles. Mas não parece ser mais do > > que > > > o Snort com um front-end muito amigável. > > > > > > No caso da Juniper tem direito automaticamente a versão convertida pra > > > Snort todos que tem Juniper série 5000 e já pague a licença anual do > > IPS > > > (que é um add-on no firewall Juniper). > > > > > > No Brasil quem representa a venda das assinaturas Source Fire é a > > > BRConnection. > > > > > > > > > > > > > > > > > > > > > > > > > Em 21/02/08, Patrick Tracanelli<[EMAIL PROTECTED]> > > escreveu: > > > >> Cristina Fernandes Silva escreveu: > > > >> > > > >>> Acho que não fui clara, Vou explicar, > > > >> > > > > >> > Quero evitar que alguem da minha rede use o meu ip (endereço ) > > para > > > >> > fazer ataques > > > >> > de php injection para outro endereço externo. Até mesmo os meus > > > >> > usuarios interno fazer algum ataque para servidores externos.. > > > >> > > > >> > > > >> Cristina, um IDS ou IPS (Snort) sem dúvidas, é suficiente. O nível > > de > > > >> satisfação vai depender da qualidade das regras de análise de > > instrusão > > > >> que você utilizar. Isso quer dizer que dependendo do nível de > > seriedade > > > >> da empresa será proveitoso assinar um serviço (comercial) que > > oferece > > > >> regras testadas e atualizadas. Apesar da escolha natural ser Source > > > >> Fire, minha escolha pessoal (e sugestão) é pelas regras fornecidas > > pela > > > >> Juniper. São as mesmas utilizadas no Juniper série 5000, > > convertidas pro > > > >> Snort. > > > >> > > > >> ------------------------- > > > >> Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > >> > > > > ------------------------- > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > ------------------------- > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > > > > > > > -- > > > > William Grzybowski > > ------------------------------------------ > > Jabber: william88 at gmail dot com > > Curitiba/PR - Brazil > > ------------------------- > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > -- > Att, Marcelo M. Fleury > Linux User: #369521 > Blog - http://marcelomf.blogspot.com/ > > "Não basta saber, é preciso também aplicar; não basta querer é > preciso também agir" By Goethe > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd ------- End of Original Message ------- ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
