Re: [MASOCH-L] RES: Locaweb - Problemas com E-mails - Locaweb sofre ataque cracker
Hideki Nakamura
2010/9/17 Hideki Nakamura <hidekin...@gmail.com>:
> Parece que o problema foi resolvido (pelo menos no meu caso). Resolvi
> depois de abrir um chamado para o Ombudsman. Logo que recebi o e-mail
> dele, os e-mails haviam normalizado. Não era para ser assim, mas ....
> paciência.
>
>
> 2010/9/17 Cleber @ Listas <cleber...@inetweb.com.br>:
>> Eles criaram o mx.a.locaweb.com.br utilizando o PostFix e aplicaram uma
>> série de regras para o delivery para eles. Muitos dominios novos e antigos
>> apontam para esse MX.
>> Infelizmente, essas regras não foram divulgadas no site ou wiki deles.
>> Seria interessante se a Locaweb tivesse uma pagina de postmaster assim como
>> há no Yahoo, Terra, etc.
>> Abraços, Cleber
>>
>> -----Mensagem original-----
>> De: masoch-l...@eng.registro.br
>> [mailto:masoch-l...@eng.registro.br] Em nome de Alexandre Gorges
>> Enviada em: sexta-feira, 17 de setembro de 2010 10:22
>> Para: Lista Masoch
>> Assunto: Re: [MASOCH-L] Locaweb - Problemas com E-mails
>>
>> Presto serviço para várias empresas, e de 15 dias para cá, enviar emails
>> para Locaweb demora muito.
>>
>> Eu acho que a Locaweb começou a usar greylist para frear a entradas dos
>> emails.
>> Na fila de emails do servidores acusa o seguinte:
>>
>> (host mx.a.locaweb.com.br[186.202.4.42] said: 450 4.7.1 <xx...@xxxx.inf.br>:
>> Recipient address rejected: you are sending too many mails, slow down... (in
>> reply to RCPT TO command)) (host mx.a.locaweb.com.br[186.202.4.42] said: 450
>> 4.7.1 <xx...@xxxx.com.br>:
>> Recipient address rejected: you are sending too many mails, slow down... (in
>> reply to RCPT TO command))
>>
>> Os emails ficam na fila de envio por um período muito alto até ser enviado
>> para a Locaweb.
>>
>>
>> []'s
>> Alexandre Gorges
>> http://www.google.com.br/profiles/algorges
>> MSN/Skype: alex...@dag.net.br
>> ICQ: 2031408
>>
>>
>>
>>
>>> From: Leonardo Rodrigues <leol...@solutti.com.br>
>>> Reply-To: Lista Masoch <maso...@eng.registro.br>
>>> Date: Fri, 17 Sep 2010 10:04:32 -0300
>>> To: Lista Masoch <maso...@eng.registro.br>
>>> Subject: Re: [MASOCH-L] Locaweb - Problemas com E-mails
>>>
>>>
>>> 12 horas pra um email chegar ??? Infelizmente isso tem sido o
>>> 'tudo funcionando normalmente' da Locaweb nos últimos tempos.
>>>
>>> é uma pena, a Locaweb já foi um ótimo provedor. Hoje não é mais.
>>> Problema todo mundo tem, ninguém é perfeito. Mas a Locaweb tá tendo
>>> mais problema do que funcionando normal, não tem valido a indicação mais.
>>>
>>> Pra hospedar web eu ainda indico. Mas pra email já deixou de ser
>>> uma boa opção a mais de ano.
>>>
>>> Em 17/09/2010 09:28, Hideki Nakamura escreveu:
>>>> Bom a todos,
>>>> Por favor, preciso que alguém da Locaweb entre em contato comigo pois
>>>> estou com sérios problemas de e-mails a quase 5 dias. Os meios
>>>> convencionais de suporte não funcionaram.
>>>>
>>>> A situação está crítica e o helpdesk simplesmente não está dando
>>>> conta do recado...... Segundo o Painel de Controle "Todos os serviços
>>>> estão funcionando normalmente"... .. mas isso não é verdade.
>>>> Atraso (em todos os e-mails) de 12 horas ou mais... tenho e-mails
>>>> enviando a 2 dias atrás que não chegaram ainda... e nem voltram com
>>>> mensagem de erro para o remetente.... O atraso já é complicado.... a
>>>> sensação de estar perdendo e-mails é pior ainda.
>>>
>>>
>>> --
>>>
>>>
>>> Atenciosamente / Sincerily,
>>> Leonardo Rodrigues
>>> Solutti Tecnologia
>>> http://www.solutti.com.br
>>>
>>> Minha armadilha de SPAM, NÃO mandem email gert...@solutti.com.br My
>>> SPAMTRAP, do not email it
>>>
>>>
>>>
>>>
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>
>
>
> --
> <Hideki Nakamura><
>
> Chinese - Language of God?
> "Coincidências" entre os ideogramas chineses e a Bíblia.
> http://students.washington.edu/cbsf/cool/Chinese.swf
>
--
<Hideki Nakamura><
Chinese - Language of God?
"Coincidências" entre os ideogramas chineses e a Bíblia.
http://students.washington.edu/cbsf/cool/Chinese.swf
__
masoch-l list
https://eng.registro.br/mailman/listinfo/masoch-l
egberto
Zhu Sha Zang
Hash: SHA1
Imagine, coinscidência pura!!!!
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.16 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iEYEARECAAYFAkyUOMsACgkQ35zeJy7JhCi1AACfRr6CT5PgQxXLGrlfK9BW3yT6
D3QAoIdoahD6ax+HqqwkyG6GhnbeimnX
=ENCL
-----END PGP SIGNATURE-----
Roberto Bertó
parte do artigo tem info de como proteger. Foi bem grave mesmo
http://blog.tehospedo.com.br/novidades/2010-09-17/locaweb-nao-teve-culpa/
<http://blog.tehospedo.com.br/novidades/2010-09-17/locaweb-nao-teve-culpa/>
2010/9/18 Zhu Sha Zang <zhush...@yahoo.com.br>
Guilherme Boing
foi publicado com o acontecido na Locaweb ?
E também, como você me diz que a Locaweb não teve culpa ? A culpa é de quem,
dos usuários ?
Uma falha no kernel não garante acesso privilegiado algum, se o sistema for
bem protegido e bem administrado.
Pra começo de conversa, nem deveria ser possível tal exploit ser executado
em um ambiente de webhosting, ainda mais, em cima de um usuário web.
Sendo um bug de chroot de ftp, um exploit local que elevou os privilégios do
invasor, ou qualquer outra coisa, a Locaweb é responsável e culpada pelo
ocorrido, pois era de sua responsabilidade, manter o sistema tanto
atualizado como bem protegido.
2010/9/18 Roberto Bertó <robert...@gmail.com>
Roberto Bertó
Pelos horarios que aconteceram os eventos e as informacoes no twitter. Pode
ter sido outra coisa, mas duvido muito.
Olha, a discussao de quem é a culpa é gigante. Podemos por a culpa no
pessoal que escreveu o codigo do kernel, podemos por a culpa na redhat por
nao ter auditado, podemos por a culpa nos pesquisadores que descobriram a
falha, ou nos que divulgaram a falha na internet junto com o exploit, ou até
mesmo nos legisladores do mundo todo por nao termos leis que criem um metodo
seguro de divulgar falhas de seguranca primeiro para as empresas que podem
corrigir e depois abertamente. Enfim... é enorme mesmo a discussao.
Nao é bug de chroot de ftp.
Em ambiente de hospedagem voce da acesso aos clientes a SSH e tambem a
execucao de comados, porque tem php, perl, etc. Entao bastava subir um
binario compilado e executar ele e voce virava root. Eu reproduzi isso num
ambiente de testes.
2010/9/18 Guilherme Boing <ko...@frag.com.br>
> Desculpe, mas, baseado em quais fatos você relaciona o exploit '0day' que
> foi publicado com o acontecido na Locaweb ?
>
> E também, como você me diz que a Locaweb não teve culpa ? A culpa é de
> quem,
> dos usuários ?
> Uma falha no kernel não garante acesso privilegiado algum, se o sistema for
> bem protegido e bem administrado.
>
> Pra começo de conversa, nem deveria ser possível tal exploit ser executado
> em um ambiente de webhosting, ainda mais, em cima de um usuário web.
>
> Sendo um bug de chroot de ftp, um exploit local que elevou os privilégios
> do
> invasor, ou qualquer outra coisa, a Locaweb é responsável e culpada pelo
> ocorrido, pois era de sua responsabilidade, manter o sistema tanto
> atualizado como bem protegido.
>
> 2010/9/18 Roberto Bertó <robert...@gmail.com>
>
> > Viu pessoal, aproveito para divulgar o workaround e a falha, na segunda
> > parte do artigo tem info de como proteger. Foi bem grave mesmo
> >
> http://blog.tehospedo.com.br/novidades/2010-09-17/locaweb-nao-teve-culpa/
> > <
> >
> http://blog.tehospedo.com.br/novidades/2010-09-17/locaweb-nao-teve-culpa/>
>
Guilherme Boing
Sim, a discussão pode ser gigante, mas a culpa, independente do que houve, é
da Locaweb, que é a responsável pela hospedagem desses sites que foram
'defaceados'.
Não podemos por a culpa na RedHat, pois alem de ter sido uma escolha da
própria Locaweb, utilizando o kernel deles, poderia ter aplicado correções e
métodos de segurança que inibiriam qualquer tipo de exploit local a nível de
kernel.
Você não precisa dar permissão para o cliente rodar arquivo binário algum,
se tratando de plataforma web. Muito menos, garantir acesso SSH.
Se a Locaweb deseja garantir, por comodidade e como um diferencial, acesso
SSH aos clientes, deveria prezar primeiramente pela segurança dos
servidores, para depois sim, tomar um passo deste.
De qualquer forma, é possível manter seu sistema seguro, independente de
prover o acesso SSH aos clientes ou não.
Essa historia se resume em amadorismo.
2010/9/18 Roberto Bertó <robert...@gmail.com>
Marcelo M. Fleury
locaweb foi comprometido, em questão de horas os serviços foram normalizados
e isso sim é bom.
Procure por domínios de grandes provedores aqui:
http://www.zone-h.com/archive
terra, uol... todos já foram vitimas. O que a locaweb passou, qualquer um
pode passar, tal como já aconteceu com nasa, m$ e etc(e estamos falando
apenas de ataques que se tornaram públicos...).
O importante é que eles busquem aprender com o ocorrido, e com certeza isso
deve acontecer, elevando ainda mais a sua maturidade.
[]s
--
Att, Marcelo M. Fleury
Blog - http://marcelomf.blogspot.com/
Slides - http://www.slideshare.net/marcelomf/
"O primeiro dever da inteligência é desconfiar dela mesma." By Einstein
Jean Marcel Vosch
Em 19 de setembro de 2010 15:09, Marcelo M. Fleury
<marc...@gmail.com>escreveu:
Alexandre J. Correa - Onda Internet
feito, não é "justo" (digamos assim).
A falha da locaweb é comum em várias empresas de hosting:
- deixar os compiladores acessiveis aos usuarios.
- alguns binarios como wget, nc, etc ficam disponiveis para execucao de
qualquer usuario..
- permitir a execucao de scripts.
- deixar algumas funcoes do php ativas (dl_open, shell_exec, etc)
consegui o exploit e fiz testes em varios servidores..
[alexandre@xxx aaa]$ gcc Ac1dB1tch3z.c -m32 -o Ac1dB1tch3z
[alexandre@xxx aaa]$ ./Ac1dB1tch3z
Ac1dB1tCh3z VS Linux kernel 2.6 kernel 0d4y
$$$ Kallsyms +r
$$$ K3rn3l r3l3as3:
$$$ prepare_creds->ffffffff8024b626
$$$ override_creds->ffffffff8024b755
$$$ revert_creds->ffffffff8024bbf4
$$$ Kernel Credentials detected
??? Trying the F0PPPPPPPPPPPPPPPPpppppppppp_____ m3th34d
$$$ timer_list_fops->ffffffff806bbb80
$$$ w34p0n 0f ch01c3: F0PZzZzzz
$$$ Bu1ld1ng r1ngzer0c00l sh3llc0d3 - F0PZzzZzZZ/LSD(M) m3th34d
$$$ Prepare: m0rn1ng w0rk0ut b1tch3z
$$$ Us1ng cr3d s3ash3llc0d3z
$$$ 0p3n1ng th3 m4giq p0rt4l
$$$ m4q1c p0rt4l l3n f0und: 0x7fa4543c
$$$ 0v3r thr0w f0ps g0v3rnm3nt
$$$ bl1ng bl1ng n1gg4 :PppPpPPpPPPpP
sh-3.2# whoami; id
root
uid=0(root) gid=500(alexandre) groups=10(wheel),500(alexandre)
a fallha é no sistema de compatibilidade 32bits, veja que forcei o gcc
compilar o exploit em 32bits..
em um lik ja publicado aqui,
(http://blog.tehospedo.com.br/novidades/2010-09-17/locaweb-nao-teve-culpa/)
tem um codigo para desligar a compatibilidade 32bits... se nao rodar
nenhum software que seja 32bits.. o melhor eh desativar definitivamente
a compatibilidade !!
:)
--
Sds.
Alexandre Jeronimo Correa
Sócio-Administrador
Onda Internet
www.onda.net.br
IPV6 Ready !
www.ipv6.onda.net.br
Alexandre Gorges
O problema dos emails é outro e ainda permanece. Verifiquei os logs antigos
e vi que agora a locaweb aponta o seu mx para apenas um endereço. Agora
parece existir um controle por greylist. Vejam alguns emails na minha fila,
esse é o problema que vem acontecendo na demora de envio de emails para
clientes que hospedam na locaweb.
(host mx.a.locaweb.com.br[186.202.4.42] said: 450 4.7.1
<con...@xxxxx.com.br>: Recipient address rejected: you are sending too many
mails, slow down... (in reply to RCPT TO command))
(host mx.a.locaweb.com.br[186.202.4.42] said: 450 4.7.1 <xx...@xxxx.com.br>:
Recipient address rejected: you are sending too many mails, slow down... (in
reply to RCPT TO command))
(host mx.a.locaweb.com.br[186.202.4.42] said: 450 4.7.1 <xx...@xxxxx.com.br>:
Recipient address rejected: you are sending too many mails, slow down... (in
reply to RCPT TO command))
[]'s
Alexandre Gorges
http://www.google.com.br/profiles/algorges
MSN/Skype: alex...@dag.net.br
ICQ: 2031408
> From: Jean Marcel Vosch <jean....@gmail.com>
> Reply-To: Lista Masoch <maso...@eng.registro.br>
> Date: Sun, 19 Sep 2010 15:59:15 -0300
> To: Lista Masoch <maso...@eng.registro.br>
Carlos Alberto Greco
Quando greylist esta ativado ele deve aparecer no log assim
Sep 19 19:17:25 mta3 postfix/smtpd[26806]: NOQUEUE: reject: RCPT from asell.zzz.com[212.90.105.66]: 450 4.2.0 <sab...@xxx.com.br>: Recipient address rejected: Greylisted, see http://postgrey.schweikert.ch/help/xxx.com.br.html; from=<1-268015-xxx.com.br?sab...@asell.zzz.com> to=<sab...@xxx.com.br> proto=SMTP helo=<asell.lojaatualnews.com>
Greco
----- Mensagem original -----
De: "Alexandre Gorges" <algo...@gmail.com>
Para: "Lista Masoch" <maso...@eng.registro.br>
Enviadas: Domingo, 19 de Setembro de 2010 19:14:52 (GMT-0300) Auto-Detected
Assunto: Re: [MASOCH-L] RES: Locaweb - Problemas com E-mails - Locaweb sofre ataque cracker
--
Carlos
Comercial
www.greco.com.br
(11) 3040.1000 - São Paulo Direto 3040-1001
acesse: blog.greco.com.br
Tutoriais - Dicas - Suporte
Alexandre Gorges
A mensagem pode ser editada livremente. A mensagem que você colocou se
refere ao daemon Postgrey, mas ele não é o unico que faz o papel de
greylist!
O postgrey você pode editar o perl e alterar para a mensagem que você
desejar.
[]'s
Alexandre Gorges
http://www.google.com.br/profiles/algorges
MSN/Skype: alex...@dag.net.br
ICQ: 2031408
Cleber @ Listas
Concordo contigo. Essa falha do exploit todos que utilizam 64bits e o modo
de compatibilidade com o mesmo Kernel e permitem SSH remoto para o usuário,
estão vulneráveis. Infelizmente, o caso tomou essa proporção pelo simples
motivo deles terem muitos clientes nos ambientes compartilhados.
Sinceramente, para nossos clientes não permitidos acesso SSH, tentamos dar o
maximo de ferramentas para o cliente fazê-lo via painel de controle.
-----Mensagem original-----
De: masoch-l...@eng.registro.br
[mailto:masoch-l...@eng.registro.br] Em nome de Alexandre J. Correa -
Onda Internet
Enviada em: domingo, 19 de setembro de 2010 16:17
Para: Mail Aid and Succor, On-line Comfort and Help
Assunto: Re: [MASOCH-L] RES: Locaweb - Problemas com E-mails - Locaweb sofre
ataque cracker
Em algum ponto a LocaWeb falhou sim, mas sacrafica-la como tem sido feito,
Marcelo Coelho
Estas medidas apenas criam alguma dificuldade, mas não resolvem o problema:
- o invasor pode compilar o exploit remotamente e enviar para o servidor.
- limitações de acesso ao wget, nc, shell_exec etc podem ser contornadas com scripts perl e php.
Alexandre J. Correa - Onda Internet
shell_exec("gcc -m32 /tmp/arquivo.c -o /tmp/arquivo");
shell_exec("/tmp/arquivo; whoami;");
ja resolvia o problema..
Marcelo Coelho
Pergunto isso porque, para uma falha crítica de segurança, mais empresas devem estar vulneráveis.
On Sep 20, 2010, at 11:38 AM, Cleber @ Listas wrote:
> Alexandre,
> Concordo contigo. Essa falha do exploit todos que utilizam 64bits e o modo
> de compatibilidade com o mesmo Kernel e permitem SSH remoto para o usuário,
> estão vulneráveis. Infelizmente, o caso tomou essa proporção pelo simples
> motivo deles terem muitos clientes nos ambientes compartilhados.
> Sinceramente, para nossos clientes não permitidos acesso SSH, tentamos dar o
> maximo de ferramentas para o cliente fazê-lo via painel de controle.
>
__
masoch-l list
https://eng.registro.br/mailman/listinfo/masoch-l
Alexandre J. Correa - Onda Internet
dificulta..
manter o /tmp e outras pastas de escrita "publica" com permissoes de
noexec no "mount" ...
Alexandre Gorges
[]'s
Alexandre Gorges
http://www.google.com.br/profiles/algorges
MSN/Skype: alex...@dag.net.br
ICQ: 2031408
> From: "Alexandre J. Correa - Onda Internet" <alex...@onda.psi.br>
> Organization: Onda Internet Ltda.
> Reply-To: Lista Masoch <maso...@eng.registro.br>
> Date: Mon, 20 Sep 2010 12:07:16 -0300
> To: Lista Masoch <maso...@eng.registro.br>
> Subject: Re: [MASOCH-L] RES: Locaweb - Problemas com E-mails - Locaweb sofre
> ataque cracker
>
Egberto Monteiro
Deve-se dificultar/impossibilitar a execução de arquivos arbitrarios e
para isso existem N possibilidades.
Att,
Egberto Monteiro
Guilherme Boing
etc, etc - existem N² meios de bloqueá-los.
2010/9/20 Egberto Monteiro <egberto...@gmail.com>
Alexandre Gorges
disable_functions
escapeshellarg, escapeshellcmd, exec, passthru, proc_close, proc_open, shell
_exec, system, dl, popen, php_check_syntax, php_strip_whitespace, symlink, l
ink, openlog, apache_child_terminate, apache_get_modules, apache_get_version
, apache_getenv, apache_note, apache_sentenv, virtual
E limito o opendir para o home onde fica o site:
open_basedir /home/sites/xxxx.com.br:/usr/share/pear
doc_root /home/sites/xxxx.com.br
Alguma outra sugestao para o php?
[]'s
Alexandre Gorges
http://www.google.com.br/profiles/algorges
MSN/Skype: alex...@dag.net.br
ICQ: 2031408
http://blog.tehospedo.com.br/novidades/2010-09-17/locaweb-nao-teve-culpa>>>>>>>
/
>>>>>>>>>> <
>>>>>>>>>>
>>>>>>> http://blog.tehospedo.com.br/novidades/2010-09-17/locaweb-nao-teve-culpa
Welkson Renny de Medeiros
Tenho sites lá, tentei logar agora via putty e não consegui.
É bem prático o acesso via SSH... mas realmente é muito risco... melhor
deixar desativado mesmo.
--
Welkson Renny de Medeiros
Desenvolvimento / Gerência de Redes
Focus Automação Comercial
FreeBSD Community Member
Guilherme Boing escreveu:
> Assim como existem N meios de enviar o arquivo para o servidor, executar,
> etc, etc - existem N² meios de bloqueá-los.
>
> 2010/9/20 Egberto Monteiro <egberto...@gmail.com>
>
>
egberto
Att,
Egberto Monteiro
Roberto Berto
2010/9/20 Alexandre J. Correa - Onda Internet <alex...@onda.psi.br>
> talvez o atacante não usou ssh, simplesmente um script php com o
> shell_exec("gcc -m32 /tmp/arquivo.c -o /tmp/arquivo");
> shell_exec("/tmp/arquivo; whoami;");
>
> ja resolvia o problema..
>
>
Roberto Bertó
chmod 0750 /usr/bin/gcc
chgrp compilers /usr/bin/gcc
Ai basta colocar os usarios que tu quer dar acesso nesse grupo.
O mesmo vale para outros executaveis que podem ser usados para o mesmo fim
/usr/bin/c++
/usr/bin/ld
/usr/bin/c99
/usr/bin/c89
/usr/bin/g++
2010/9/20 Alexandre Gorges <algo...@gmail.com>
> Chmod 700 /usr/bin/gcc apenas root pode usar.
>
>
> []'s
> Alexandre Gorges
> http://www.google.com.br/profiles/algorges
> MSN/Skype: alex...@dag.net.br
> ICQ: 2031408
>
>
>
Felipe Teofilo
Felipe Teófilo - Gerência
ArgoHost."Nós amamos Internet"
(85) 3198-3030 | www.argohost.net
Seja Nosso Franqueado - www.franquiasargohost.net