[MASOCH-L] RES: Locaweb - Problemas com E-mails - Locaweb sofre ataque cracker
Alexandre Gorges
algorges at gmail.com
Mon Sep 20 13:20:46 -03 2010
Chmod 700 /usr/bin/gcc apenas root pode usar.
[]'s
Alexandre Gorges
http://www.google.com.br/profiles/algorges
MSN/Skype: alexandre at dag.net.br
ICQ: 2031408
> From: "Alexandre J. Correa - Onda Internet" <alexandre at onda.psi.br>
> Organization: Onda Internet Ltda.
> Reply-To: Lista Masoch <masoch-l at eng.registro.br>
> Date: Mon, 20 Sep 2010 12:07:16 -0300
> To: Lista Masoch <masoch-l at eng.registro.br>
> Subject: Re: [MASOCH-L] RES: Locaweb - Problemas com E-mails - Locaweb sofre
> ataque cracker
>
> mas se o php for bloqueado (extensoes/funoces de execução).. ja
> dificulta..
>
> manter o /tmp e outras pastas de escrita "publica" com permissoes de
> noexec no "mount" ...
>
>
> Em 20/09/2010 12:03, Marcelo Coelho escreveu:
>> Alexandre,
>>
>> Estas medidas apenas criam alguma dificuldade, mas não resolvem o problema:
>>
>> - o invasor pode compilar o exploit remotamente e enviar para o servidor.
>> - limitações de acesso ao wget, nc, shell_exec etc podem ser contornadas com
>> scripts perl e php.
>>
>>
>>
>> On Sep 19, 2010, at 4:16 PM, Alexandre J. Correa - Onda Internet wrote:
>>
>>> Em algum ponto a LocaWeb falhou sim, mas sacrafica-la como tem sido feito,
>>> não é "justo" (digamos assim).
>>>
>>> A falha da locaweb é comum em várias empresas de hosting:
>>>
>>> - deixar os compiladores acessiveis aos usuarios.
>>> - alguns binarios como wget, nc, etc ficam disponiveis para execucao de
>>> qualquer usuario..
>>> - permitir a execucao de scripts.
>>> - deixar algumas funcoes do php ativas (dl_open, shell_exec, etc)
>>>
>>> consegui o exploit e fiz testes em varios servidores..
>>>
>>> [alexandre at xxx aaa]$ gcc Ac1dB1tch3z.c -m32 -o Ac1dB1tch3z
>>> [alexandre at xxx aaa]$ ./Ac1dB1tch3z
>>> Ac1dB1tCh3z VS Linux kernel 2.6 kernel 0d4y
>>> $$$ Kallsyms +r
>>> $$$ K3rn3l r3l3as3:
>>> $$$ prepare_creds->ffffffff8024b626
>>> $$$ override_creds->ffffffff8024b755
>>> $$$ revert_creds->ffffffff8024bbf4
>>> $$$ Kernel Credentials detected
>>> ??? Trying the F0PPPPPPPPPPPPPPPPpppppppppp_____ m3th34d
>>> $$$ timer_list_fops->ffffffff806bbb80
>>> $$$ w34p0n 0f ch01c3: F0PZzZzzz
>>> $$$ Bu1ld1ng r1ngzer0c00l sh3llc0d3 - F0PZzzZzZZ/LSD(M) m3th34d
>>> $$$ Prepare: m0rn1ng w0rk0ut b1tch3z
>>> $$$ Us1ng cr3d s3ash3llc0d3z
>>> $$$ 0p3n1ng th3 m4giq p0rt4l
>>> $$$ m4q1c p0rt4l l3n f0und: 0x7fa4543c
>>> $$$ 0v3r thr0w f0ps g0v3rnm3nt
>>> $$$ bl1ng bl1ng n1gg4 :PppPpPPpPPPpP
>>> sh-3.2# whoami; id
>>> root
>>> uid=0(root) gid=500(alexandre) groups=10(wheel),500(alexandre)
>>>
>>>
>>> a fallha é no sistema de compatibilidade 32bits, veja que forcei o gcc
>>> compilar o exploit em 32bits..
>>>
>>> em um lik ja publicado aqui,
>>> (http://blog.tehospedo.com.br/novidades/2010-09-17/locaweb-nao-teve-culpa/)
>>> tem um codigo para desligar a compatibilidade 32bits... se nao rodar nenhum
>>> software que seja 32bits.. o melhor eh desativar definitivamente a
>>> compatibilidade !!
>>>
>>> :)
>>>
>>>
>>>
>>> Em 19/09/2010 15:09, Marcelo M. Fleury escreveu:
>>>> È muita prepotência dizer que a locaweb é amadora. Um dos serviços da
>>>> locaweb foi comprometido, em questão de horas os serviços foram
>>>> normalizados
>>>> e isso sim é bom.
>>>>
>>>> Procure por domínios de grandes provedores aqui:
>>>> http://www.zone-h.com/archive
>>>>
>>>> terra, uol... todos já foram vitimas. O que a locaweb passou, qualquer um
>>>> pode passar, tal como já aconteceu com nasa, m$ e etc(e estamos falando
>>>> apenas de ataques que se tornaram públicos...).
>>>>
>>>> O importante é que eles busquem aprender com o ocorrido, e com certeza isso
>>>> deve acontecer, elevando ainda mais a sua maturidade.
>>>>
>>>> []s
>>>>
>>>> Em 18 de setembro de 2010 17:57, Guilherme Boing<kolt at frag.com.br>escreveu:
>>>>
>>>>> Roberto,
>>>>>
>>>>> Sim, a discussão pode ser gigante, mas a culpa, independente do que houve,
>>>>> é
>>>>> da Locaweb, que é a responsável pela hospedagem desses sites que foram
>>>>> 'defaceados'.
>>>>>
>>>>> Não podemos por a culpa na RedHat, pois alem de ter sido uma escolha da
>>>>> própria Locaweb, utilizando o kernel deles, poderia ter aplicado correções
>>>>> e
>>>>> métodos de segurança que inibiriam qualquer tipo de exploit local a nível
>>>>> de
>>>>> kernel.
>>>>> Você não precisa dar permissão para o cliente rodar arquivo binário algum,
>>>>> se tratando de plataforma web. Muito menos, garantir acesso SSH.
>>>>>
>>>>> Se a Locaweb deseja garantir, por comodidade e como um diferencial, acesso
>>>>> SSH aos clientes, deveria prezar primeiramente pela segurança dos
>>>>> servidores, para depois sim, tomar um passo deste.
>>>>> De qualquer forma, é possível manter seu sistema seguro, independente de
>>>>> prover o acesso SSH aos clientes ou não.
>>>>>
>>>>> Essa historia se resume em amadorismo.
>>>>>
>>>>> 2010/9/18 Roberto Bertó<roberto.berto at gmail.com>
>>>>>
>>>>>> Ola Guilherme,
>>>>>>
>>>>>> Pelos horarios que aconteceram os eventos e as informacoes no twitter.
>>>>> Pode
>>>>>> ter sido outra coisa, mas duvido muito.
>>>>>>
>>>>>> Olha, a discussao de quem é a culpa é gigante. Podemos por a culpa no
>>>>>> pessoal que escreveu o codigo do kernel, podemos por a culpa na redhat
>>>>> por
>>>>>> nao ter auditado, podemos por a culpa nos pesquisadores que descobriram a
>>>>>> falha, ou nos que divulgaram a falha na internet junto com o exploit, ou
>>>>>> até
>>>>>> mesmo nos legisladores do mundo todo por nao termos leis que criem um
>>>>>> metodo
>>>>>> seguro de divulgar falhas de seguranca primeiro para as empresas que
>>>>> podem
>>>>>> corrigir e depois abertamente. Enfim... é enorme mesmo a discussao.
>>>>>>
>>>>>> Nao é bug de chroot de ftp.
>>>>>>
>>>>>> Em ambiente de hospedagem voce da acesso aos clientes a SSH e tambem a
>>>>>> execucao de comados, porque tem php, perl, etc. Entao bastava subir um
>>>>>> binario compilado e executar ele e voce virava root. Eu reproduzi isso
>>>>> num
>>>>>> ambiente de testes.
>>>>>>
>>>>>>
>>>>>>
>>>>>> 2010/9/18 Guilherme Boing<kolt at frag.com.br>
>>>>>>
>>>>>>> Desculpe, mas, baseado em quais fatos você relaciona o exploit '0day'
>>>>> que
>>>>>>> foi publicado com o acontecido na Locaweb ?
>>>>>>>
>>>>>>> E também, como você me diz que a Locaweb não teve culpa ? A culpa é de
>>>>>>> quem,
>>>>>>> dos usuários ?
>>>>>>> Uma falha no kernel não garante acesso privilegiado algum, se o sistema
>>>>>> for
>>>>>>> bem protegido e bem administrado.
>>>>>>>
>>>>>>> Pra começo de conversa, nem deveria ser possível tal exploit ser
>>>>>> executado
>>>>>>> em um ambiente de webhosting, ainda mais, em cima de um usuário web.
>>>>>>>
>>>>>>> Sendo um bug de chroot de ftp, um exploit local que elevou os
>>>>> privilégios
>>>>>>> do
>>>>>>> invasor, ou qualquer outra coisa, a Locaweb é responsável e culpada
>>>>> pelo
>>>>>>> ocorrido, pois era de sua responsabilidade, manter o sistema tanto
>>>>>>> atualizado como bem protegido.
>>>>>>>
>>>>>>> 2010/9/18 Roberto Bertó<roberto.berto at gmail.com>
>>>>>>>
>>>>>>>> Viu pessoal, aproveito para divulgar o workaround e a falha, na
>>>>> segunda
>>>>>>>> parte do artigo tem info de como proteger. Foi bem grave mesmo
>>>>>>>>
>>>>> http://blog.tehospedo.com.br/novidades/2010-09-17/locaweb-nao-teve-culpa/
>>>>>>>> <
>>>>>>>>
>>>>> http://blog.tehospedo.com.br/novidades/2010-09-17/locaweb-nao-teve-culpa/>
>>>>>> __
>>>>>> masoch-l list
>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>
>>>>> __
>>>>> masoch-l list
>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>
>>>>
>>>
>>> --
>>> Sds.
>>>
>>> Alexandre Jeronimo Correa
>>> Sócio-Administrador
>>>
>>> Onda Internet
>>> www.onda.net.br
>>>
>>> IPV6 Ready !
>>> www.ipv6.onda.net.br
>>>
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>
>
> --
> Sds.
>
> Alexandre Jeronimo Correa
> Sócio-Administrador
>
> Onda Internet
> www.onda.net.br
>
> IPV6 Ready !
> www.ipv6.onda.net.br
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list