website defacement
5 views
Skip to first unread message
Cleuson De Oliveira Alves
May 24, 2018, 3:07:08 PM5/24/18
to nagio...@googlegroups.com
Boa tarde,
Estou precisando monitorar os sites e ser notificado em caso de defacement.Desde Já Grato.
Cleuson de O.Alves - STI - Analista de TI
'if you can't restore it, you don't have a backup'
Cleberson Borges
May 24, 2018, 5:24:37 PM5/24/18
to nagio...@googlegroups.com
Olá Cleuson, boa noite!
Acredito que com uma simples verificação do md5 do arquivo desejado resolverá o seu problema.
Exemplo: Site principal (index.html)
1 - Obter md5
cleberson@cleberson-desktop:/var/www/html$ md5sum index.html
9ad421244b28db9cb4a6857edd297ef5 index.html
2 - Desenvolver um plugin que faz o download do arquivo e realiza a comparação do arquivo
wget -q http://www.globo.com/index.html -O /tmp/tmp.html && MD5=`md5sum /tmp/tmp.html`
if [ MD5 = "9ad421244b28db9cb4a6857edd297ef5" ]; hten
echo "OK - Pagina encontra-se sem modificacao"
exit 0
else
echo "CRITICAL - Pagina teve o seu conteudo modificado"
exit 1
fi
É só realizar umas verificações e ajustes no script, desta forma acredito que atenda a sua demanda.
Atenciosamente,
Cleberson Borges
--
Você recebeu essa mensagem porque está inscrito no grupo "Nagios" dos Grupos do Google.
Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie um e-mail para nagios-lab+...@googlegroups.com.
Para postar nesse grupo, envie um e-mail para nagio...@googlegroups.com.
Acesse esse grupo em https://groups.google.com/group/nagios-lab.
Para mais opções, acesse https://groups.google.com/d/optout.
Você recebeu essa mensagem porque está inscrito no grupo "Nagios" dos Grupos do Google.
Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie um e-mail para nagios-lab+...@googlegroups.com.
Para postar nesse grupo, envie um e-mail para nagio...@googlegroups.com.
Acesse esse grupo em https://groups.google.com/group/nagios-lab.
Para mais opções, acesse https://groups.google.com/d/optout.
Jomar Xavier
May 24, 2018, 6:19:37 PM5/24/18
to nagio...@googlegroups.com
Mas se o ataque for um Sql Injection ele só altera no banco, não altera arquivos de site.
Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie um e-mail para nagios-lab+unsubscribe@googlegroups.com.
Para postar nesse grupo, envie um e-mail para nagio...@googlegroups.com.
Acesse esse grupo em https://groups.google.com/group/nagios-lab.
Para mais opções, acesse https://groups.google.com/d/optout.
--
Você recebeu essa mensagem porque está inscrito no grupo "Nagios" dos Grupos do Google.
Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie um e-mail para nagios-lab+unsubscribe@googlegroups.com.
Para postar nesse grupo, envie um e-mail para nagio...@googlegroups.com.
Acesse esse grupo em https://groups.google.com/group/nagios-lab.
Para mais opções, acesse https://groups.google.com/d/optout.
Atenciosamente,
Jomar Xavier
Brasilia - DF - Brazil
Cleberson Borges
May 24, 2018, 6:29:17 PM5/24/18
to nagio...@googlegroups.com
Cleuson, boa noite!
Então neste caso não se trata de defacement. Não saberia como lhe ajudar para identificar um sql injection.
Atenciosamente,
Cleberson Borges
Mas se o ataque for um Sql Injection ele só altera no banco, não altera arquivos de site.
Em 24 de maio de 2018 18:24, 'Cleberson Borges' via Nagios <nagio...@googlegroups.com> escreveu:
Olá Cleuson, boa noite!Acredito que com uma simples verificação do md5 do arquivo desejado resolverá o seu problema.Exemplo: Site principal (index.html)
1 - Obter md5cleberson@cleberson-desktop:/ var/www/html$ md5sum index.html
9ad421244b28db9cb4a6857edd297e f5 index.html
2 - Desenvolver um plugin que faz o download do arquivo e realiza a comparação do arquivo
wget -q http://www.globo.com/index. html -O /tmp/tmp.html && MD5=`md5sum /tmp/tmp.html`if [ MD5 = "9ad421244b28db9cb4a6857edd297 ef5" ]; hten
Atenciosamente,
Jomar Xavier
Brasilia - DF - Brazil
--
Você recebeu essa mensagem porque está inscrito no grupo "Nagios" dos Grupos do Google.
Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie um e-mail para nagios-lab+...@googlegroups.com.
Cleuson De Oliveira Alves
May 25, 2018, 1:30:01 PM5/25/18
to nagio...@googlegroups.com
Obrigado. Vou testar.
Att,
Desde Já Grato.
Cleuson de O.Alves - STI - Analista de TI
'if you can't restore it, you don't have a backup'
Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie um e-mail para nagios-lab+unsubscribe@googlegroups.com.
Para postar nesse grupo, envie um e-mail para nagio...@googlegroups.com.
Acesse esse grupo em https://groups.google.com/group/nagios-lab.
Para mais opções, acesse https://groups.google.com/d/optout.
--
Você recebeu essa mensagem porque está inscrito no grupo "Nagios" dos Grupos do Google.
Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie um e-mail para nagios-lab+unsubscribe@googlegroups.com.
Robson Alexandre
May 27, 2018, 4:26:33 PM5/27/18
to nagio...@googlegroups.com
Grande amigo Cleuson,
tenho usado esse check_hash para realizar o monitoramento de sites e alterações
https://gist.github.com/robsonalexandre/78da59e43145b50726f3ff41c22a72c3
Com relação ao assunto SQL Injection, também será efetivo visto que o script faz um dump da página e calcula o hash md5 desse conteúdo. Se houver qualquer alteração do conteúdo desta página, ele alertará CRITICAL.
tenho usado esse check_hash para realizar o monitoramento de sites e alterações
https://gist.github.com/robsonalexandre/78da59e43145b50726f3ff41c22a72c3
Com relação ao assunto SQL Injection, também será efetivo visto que o script faz um dump da página e calcula o hash md5 desse conteúdo. Se houver qualquer alteração do conteúdo desta página, ele alertará CRITICAL.
Atenciosamente
Robson Alexandre
Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie um e-mail para nagios-lab+...@googlegroups.com.
Para postar nesse grupo, envie um e-mail para nagio...@googlegroups.com.
Acesse esse grupo em https://groups.google.com/group/nagios-lab.
Para mais opções, acesse https://groups.google.com/d/optout.
--
Você recebeu essa mensagem porque está inscrito no grupo "Nagios" dos Grupos do Google.
Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie um e-mail para nagios-lab+...@googlegroups.com.
Para postar nesse grupo, envie um e-mail para nagio...@googlegroups.com.
Acesse esse grupo em https://groups.google.com/group/nagios-lab.
Para mais opções, acesse https://groups.google.com/d/optout.
--
Você recebeu essa mensagem porque está inscrito no grupo "Nagios" dos Grupos do Google.
Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie um e-mail para nagios-lab+...@googlegroups.com.
Para postar nesse grupo, envie um e-mail para nagio...@googlegroups.com.
Acesse esse grupo em https://groups.google.com/group/nagios-lab.
Para mais opções, acesse https://groups.google.com/d/optout.
--
Atenciosamente
Robson Alexandre
Kembolle Amilkar
May 28, 2018, 10:47:59 AM5/28/18
to nagio...@googlegroups.com
Dependendo da situação você pode usar um waf para aplicação, tipo modsecurity.
--
Kembolle A. Oliveira; Computer Forensic Science and IT Security Professional;
Contact: Home | Blog | Linkedin | Email | Owasp Cuiaba;
Reply all
Reply to author
Forward
0 new messages