Hoje, eu li uma notícia que me chamou a atenção, um defacement executado de uma só vez e por uma única pessoal em nada mais, nada menos que 4043 sites. Pesquisei mais um pouco sobre o ocorrido e descobri alguns dados interessantes:

  • Todos os sites estavam hospedados na mesma empresa, servidores e estes utilizavam o velho índio /Apache/ como web server
  • A versão do apache dos sites que eu tive acesso antes de terem ficado fora do ar para manutenção estavam bem desatualizadas 🙂

Resumo da obra:

O cracker realizou um scan em um site, descobriu que ele estava vulnerável e que essa vulnerabilidade poderia ser explorada. Por ser mais espertinho, não são todos, ele começou a pesquisar a fundo e descobriu que havia alguns milhares de sites hospedados em alguns servidores e que todos eles possuíam a mesma vulnerabilidade. Legal não ?!

Um pequeno script em shell alterando o conteúdo do index.html, dizendo que a partir de agora ele iria chamar a seguinte página foi criado:


E pronto, ele conseguiu de uma só vez demitir o administrador destes servidores e o cara de segurança da empresa, eu presumo.

Não achem que proteger um servidor Apache de um defecement é uma coisa do outro mundo, complicadíssima de ser executada. Não é mesmo e existe uma série de papers e guides na Internet disponíveis, inclusive em português.

Utilização da última versão do Apache, cuidados com a publicação de sites, utilização de senhas fortes, um pré-scan de segurança antes da publicação da página em produção são algumas ações simples e que conseguem mitigar uma série de problemas.

Esse não foi um ataque baseado em um 0day, mas sim um ataque baseado na cagada de alguém. O engraçado disso tudo é que ainda tem gente que acha que um Web Application Firewall não serve para porra nenhuma.

Compartilhar:

Este post tem 6 comentários

  1. Você sempre vai citar o Web Application Firewall e ainda sim os Admins continuaram a não utiliza-lo.

  2. Discordo !!

    Não podemos julgar a qualidade do serviço de alguem sem saber a relação que ele tem com a empresa onde trabalha.

    Talvez seu salário esteja muito abaixo do esperado e logicamente o tempo e cuidado que ele dispensa ao citado servidor será proporcional ao salario.

    Vale o ditado: compramos o que pagamos, ou seja, se fazemos economia ou descuidamos ao contratar um funcionário, com certeza a qualidade do trabalho comprado será baixa.

  3. 98% das vezes a culpa é mútua tanto do administrador do servidor ou site e do seu chefe. As vezes o seu superior simplesmente não aceita o seu relatório!
    Veja o caso que o meu colega me contou que outro colega dele passou.
    Um dos softwares usando pelo administrador da rede estava vulnerável, ele querendo ganhar um promoção foi correndo avisar o chefe dele, até fez um relatório, não satisfeito chamou o seu chefe para uma demonstração sobre a exploração e conseguiu!
    Depois de duas semanas não ouve nenhuma atualização do fabricante. Saber o que aconteceu? A empresa não podia pagar o custo todo de uma nova compra de software e ficou usando o mesmo. Saber o que aconteceu? Ouve um invasão, quem foi o culpado? ELE e ainda por cima foi demitido!

    Acha que isto só ocorreu com ele? não, acontecer com muitos pessoas!

  4. Po sacanagem com o cara Douglas, o triste é que essa situação é bem comum.

  5. mod_security+apache2+snort+(iptables || Packet filter) tudo current, e um kernel custom com gentoo já elvis

  6. na verdade é cagada do programador, mesmo se deixar um Snifer tratando URL por URL no HTTP sempre pode dar problema… o que tem de cara que ñ filtra POST nem GET em PHP,ASP,Ruby… é complicado… SysAdmin é um coitado na maioria das vezes que só sabe instalar,atualizar e usar as ferramentas… :/

Deixe uma resposta

Fechar Menu