O assunto deface veio à tona com força hoje após um ataque em larga escala de um defacer turco.

A BSRSoft ao longo do dia todo percebeu movimentação acima da média em seus filtros de segurança, que incluem firewalls físicos, firewalls de aplicação, honey pots localizados no Brasil e nos EUA e outros dispositivos. Mas a combinação SUHOSIN + PHP e os filtros, fez com que nenhuma tentativa tivesse exito no dia de hoje.

Os firewalls foram reconfigurados em tempo real pela rede de vigilância SIDD da BSRSoft.

Ao que parece milhares de sites na Locaweb fora desfigurados com sucesso nesta sexta-feira.

Segundo o que o BSRSoft SIDD (Serviço de Inteligência e Defesa Digital da BSRSoft) apurou até o momento seguindo alguns rastros, o defacer teve acesso majoritariamente à servidores Linux da Locaweb somente porque é nestes servidores que a Locaweb disponibiliza a maior parte de sua infraestrutura PHP.

A falha, segundo apuração, não seria do PHP em si e nem do Linux, mas sim de problemas de segurança no código dos sites afetados.

Ou seja, o defacer ao que parece aproveitou falhas de programação para ter sucesso.

O defacer iSKORPiTX parece que usou antes um scanner automático para detectar sites vulneráveis à injeção de código PHP (problema de programação e não do PHP ou do Linux), que fez assim o download de arquivos index.htm, index.html e index.php situados em pelo menos 2 servidores, sendo 1 na Turquia e outro na China.

A BSRSoft percebeu esse scanner atuando também em nossos firewalls e honey pots.

Estamos apurando também se houveram muitos casos em que até mesmo o WordPress tenha sido afetado. Mas preliminarmente, parece que o culpado não foi o WordPress e os casos que surgiram parece que foram devidos à falhas de programação em alguns plugins “exóticos” que diversos sites usam em seu WordPress.

Com informações do BSRSoft SIDD (Serviço de Inteligência e Defesa Digital).

www.bsrsoft.com.br