[LACNIC/Seguridad] Dudas ante servidor Apache/PHP comprometido

Jose Miguel Parrella Romero joseparrella en gmail.com
Dom Oct 21 12:39:18 BRST 2007


Xavier Garcia Usero escribió:
> Es lo que me parece raro del ataque y lo único que no me
> cuadra del todo debido a que el usuario 'apache' solo tiene derechos de
> lectura sobre esos ficheros: "644 root.root". A mi entender Apache hace
> un fork y un drop de los privilegios antes de atender las peticiones.

Sí, eso es lo que ocurre. Al menos en Debian los permisos son 640
root:adm, por lo que ni siquiera apache (o www-data en Debian) debería
poder leer los registros del servidor web. Algo para tomar nota cuando
reinstales el servidor.

¿Lograste revisar el malware que te inyectaron? Quizás allí obtengas
respuestas sobre el uso que le dio el atacante a tus registros. Las
aplicaciones pueden ir desde recibir instrucciones (como cambios en los
parámetros de conexión a IRC) por requests HTTP hasta hacer datamining
en tu aplicación.

> Se podria utilizar mod_security o otro tipo de firewall de aplicación (o snort_inline) para
> evitar ese tipo de ataques pero no entró dentro de la política de empresa muy a mi pesar.

Sobre todo mod_security. En servidores web de alto tráfico quizás no
rinda bien, pero lo uso en un Apache de 60K+ visitas mensuales sobre una
estación de trabajo y no se siente. También puedes considerar limitar el
numero de conexiones con mod_evasive, tomando en cuenta que seguramente
el atacante probó varios métodos de introducir el código en tu servidor
(y eso también te puede ayudar en la auditoría del registro)

HTH,
Jose



Más información sobre la lista de distribución Seguridad