O BSRSoft SIDD (Sistema de Inteligência e Defesa Digital) passou a informação de que pode ter sido utilizada uma segunda técnica além do php-injection no ataque de Deface em massa à Locaweb.

Parece que a Locaweb teve alguns servidores de FTP (ela usa majoritariamente o PureFTPD) atacados por uma técnica de estouro de buffer para que o deafacer tivesse acesso total à estrutura de diertórios dos servidores, facilitando assim o ataque à diversas contas de hospedagem que não estavam vulneráveis ao php-injection (falha de programação nos sites).

Dessa forma, vários sites que não tinham problemas de programação também foram atacdos, aparentemente.

Isso não teria ocorrido caso fosse utilizada uma técnica de segurança chamada chroot nas contas de hospedagem. Nesse caso a falha novamente não foi do Linux nem do PHP, mas sim do PureFTPD (servidor FTP) que foi exploitado via web. Estamos apurando ainda se o vetor foi pela tradicional porta 21 do FTP e/ou se ocorreu na porta do SFTP (FTP criptografado pelo SSH).

Novamente comunicamos que a BSRSoft não teve nenhum servidor afetado por este ataque em massa. Nós usamos chroot em todas as contas de hospedagem, o que impossibilita que o acesso a uma conta de FTP de alguém, possa dar acesso mesmo após um estouro de buffer, à contas de outros usuários no mesmo servidor.

M<antemos também o PureFTPD sempre em sua última versão estável em todos os nossos servidores, além de vincularmos o acesso à autenticação PAM do Linux, e não via banco de dados ou LDAP.

Com o uso de PAM, nós garantimos que a segurança fica à cargo do sistema operacional Linux, o que torna muito mais dificil um ataque.

Com informações do BSRSoft SIDD.

www.bsrsoft.com.br