Helio Loureiro

Vírus, spammers, cavalos de tróia, etc. Os caminhos da Internet são cheios de bestas mitológicas, tão devastadores quanto os das epopéias gregas. Arrasando tudo a sua frente, sem dó, sem misericórdia.

E finalmente chegou meu dia de saborear tal destino. Conseguiram invadir esse site e fazer um "defacement", ou em bom português, desfigurar o site.

Como já dizia o dito popular: "em casa de ferreiro, o espeto é de pau". O site é baseado no CMS Mambo Server, de onde o Joomla surgiu. Como uso o Mambo desde 2005 (o primeiro post tem data de "Apr 27, 2005 at 12:06 PM"), por sugestão do meu caro amigo Eduardo Maçan que também o utilizava na época, nunca me incomodei em atualizar muito ou migrar pra outra plataforma. Começei com a versão 4.5.0, mas tinha atualizado para 4.5.1, quando fiz a "cara" verdinha do site. A mudança foi justamente por motivo de segurança.

E agora, finalmente, fui atacado com sucesso. O ataque foi através do uso de um script chamado Fx29PHPBot. Não achei muita informação sobre o mesmo, mas deve estar baseado em algum sql injection ou coisa do tipo. Isso deixou alguns arquivos extras no servidor:

fx29id2.txt
fx29bot.txt
fx.php

além do próprio index.php, que foi sobrescrito.

Como o sistema é hospedado e não tenho acesso aos logs... só me restou buscar um backup do site, e carregar em read-only, até descobrir como o ataque ocorreu e, o mais importante, como impedir. Agora posso voltar a postar, utilizando a última versão do Mambo server, 4.6.2. O upgrade foi meio traumático, mas aparentemente com sucesso.

Aparentemente a Telefonica mudou de opinião sobre a politica de bloqueio das portas dentro do range dos "well know services". Recentemente realizei um teste por acaso e descobri minha porta 80, 443 e outras completamente disponíveis na rede. Verificando os logs via webalizer, vi que a quantidade de acessos aumento significante. Olhando cuidadosamente os logs, verifiquei que os ataques também. Mas entre os ataques e a portas liberadas, eu prefiro a segunda alternativa.

Um link interessante sobre WPA2 e AES para autenticação com sistema de chaves assimétricas e geração de chaves aleatórias. Substitui com muito mais segurança o factível WEP. Infelizmente sua implementação não é tão fácil assim e nem todos equipamentos funcionam a contento. Mas aqui fica a referência.

Weak Defense...But Getting Better

by Glenn Fleishman

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: 2.6.3ia
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=SdFF
-----END PGP PUBLIC KEY BLOCK-----