[LACNIC/Seguridad] Dudas ante servidor Apache/PHP comprometido

Luis León Cárdenas Graide lcardena en nic.cl
Dom Oct 21 01:01:14 BRST 2007 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 10/20/07, Xavier Garcia Usero  wrote:
> Buenos dias,

Estimado Xavier:

[ --- >8 --- ]
> La duda en si es el hecho que el guión Perl tenga los ficheros de log de
> Apache abiertos. En el caso de los ataques que he podido analizar se
> realizan llamadas al shell para ejecutar código y, a mi entender, no deberia
> heredar los descriptores de fichero de Apache. Es la única pieza del
> puzzle que no acaba de encajar.
>
>
> Cualquier comentario será agradecido.
[ --- >8 --- ]


IMHO, el que tenga los mismos archivos abiertos no quiere decir que
herede los descriptores. Si se inyectó código, efectivamente puede
ejecutarse un shell (o comandos a ejecuar por el shell, como bien
dices, vía system), con los privilegios del demonio inyectado
(apache:apache, en este caso). Así, al levantar un nuevo proceso Perl,
éste corre como apache:apache y puede abrir los logs por su cuenta.

Por otra parte, para buscar en el log la posible intrusión, donde
quedan registradas las URLs de las queryes GET, dado que buscamos
inyecciones de código, buscaría por los caracteres de comilla simple
(') o doble (") en las URLS (o bien, sus respectivas codificaciones
hexagesimales vía %hh). Si tu aplicación no suele enviar parámetros
que contengan estos caracteres, podrías llegar "rápidamente" a las
URLs que provocaron la inyección (apostando a que hayan sido GET).

¿Sabes por cuál de todos tus scripts PHP entraron?

Por favor, no creas que intento hacer leña del árbol caído, pero yo me
replantearía el uso de PHP en un servidor de seguridad relevante. A
comienzos de este año renunció el responsable de seguridad del equipo
de desarrollo del PHP, hastiado por la nula consideración de ésta
durante el diseño e implementación del lenguaje.

Cuéntanos cómo te va con la auditoría.

Saludos.

- --
Luis León Cárdenas Graide - www.linkedin.com/in/luiscardenasgraide
PGP FingerPrint: 437E 48AB 0093 62AC 07DA F016 EBD8 DBD3 2ECE 5829
Linux User #415.072 - http://counter.li.org
liberaciondigital.org: Ciudadanos frente a las políticas tecnológicas
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: http://firegpg.tuxfamily.org

iD8DBQFHGsD069jb0y7OWCkRAu1oAJ9ZLlJvXOo3iilmauaPZ880x/TPoACcDKxT
C0nvJltZNjtWjjOQcrw3Io0=
=n1rw
-----END PGP SIGNATURE-----

Más información sobre la lista de distribución Seguridad