[MASOCH-L] Bug no Apache2
Marcelo Coelho
marcelo at tpn.com.br
Wed Jan 31 16:02:39 BRST 2007
Fabrício Veiga wrote:
> Boa tarde senhores.
>
> Estou com um problema no Apache2, na distro Suse 10.1. De tempos em
> tempos, é executado um processo chamado /usr/local/apache/bin/httpd
> -DSSL. Esse processo é executado com o usuário wwwrun, que é o mesmo do
> Apache2. Logo que é executado esse processo, o mesmo começa a disparar
> emails spams pelo sendmail, que está localizado nessa máquina. Já tentei
> rastrear httpd, porém não encontrei. Acredito que seja algum ocorrência
> de exploit ou bug no Apache2. Não consegui atualizar o Apache2, pois não
> existe atualização para o pacote. A versão do Apache2 é 2.2.0.
>
> O que poderia ser feito para solucionar esse problema ?
>
>
>
Você deve estar recebendo um ataque chamado E-mail Injection
http://www.securephpwiki.com/index.php/Email_Injection
É muito difícil rastrear, porque o PHP não identifica qual o script que
está enviando e-mail.
Existe um patch para PHP chamado Suhosin patch
(http://www.hardened-php.net/hardening_patch.14.html), ele implementa
alguns recursos bem interessantes. Um deles é adicionar ao header
X-PHP-Script com o endereço do script que está enviando e-mail.
Com este patch, há também a possibilidade de proibir que a função mail()
receba newline em alguns parâmetros. Isso mata uma boa quantidade de
ataques.
Eu criei uma solução caseira pra matar este tipo de ataque. Dá pra
usá-la sozinha ou em conjunto com o patch acima, no meu caso eu consegui
eliminar este problema em 100%.
http://eng.registro.br/pipermail/masoch-l/2006-December/003544.html
--
Marcelo Coelho
marcelo at tpn.com.br
More information about the masoch-l
mailing list