Tag Archives: ossec hids

Mitigando ataques contra o php5-cgi

O pesquisador Kingcope publicou um exploit para explorar uma falha de manipulação de strings sem o caracter ‘=’ que possibilita a execução de código remoto, presente no arquivo sapi/cgi/cgi_main.c do PHP5 de sistemas Debian e Ubuntu usando o php5-cgi. As seguintes versões do PHP estão vulneráveis: PHP 5.3.10 PHP 5.3.8-1 PHP 5.3.6-13 PHP 5.3.3 PHP […]

Read more

Otimizando a detecção de ataques de SQLi com evasão do Ossec HIDS

SQL injection é uma das vulnerabilidades mais difundidas e exploradas em aplicações Web, não é muito difícil encontrar esta falha em diversos CMSs, plugins e códigos de sites espalhados pela internet.   Ferramentas de proteção como WAFs e IDS/IPS possuem regras que alertam ou bloqueiam este tipo de ataque, porém existem diversas técnicas evasivas que permitem o […]

Read more

Configurando os agentes do Ossec HIDS automaticamente no Linux

O modo tradicional para configurar as chaves de autenticação dos agentes no Ossec server é sustentável até 5 servidores em média. Para facilitar esta tarefa Daniel Cid criou o daemon ossec-authd, responsável por gerenciar as chaves de autenticação dos agentes no servidor usando um certificado digital. NO OSSEC SERVER Execute os seguintes comandos para gerar […]

Read more

Proteção contra portscans com Ossec HIDS e Portsentry

O Ossec HIDS é sem sombra de dúvidas uma das maiores ferramentas de proteção de host, mas como nada é perfeito existe uma deficiência na detecção e bloqueio de portscans. O próprio Daniel Cid, pai da criança, informou isso em resposta a um questionamento sobre o assunto na lista do Ossec. Vejo o trecho abaixo: […]

Read more

Ossec HIDS – Bloqueando o ZmEu bot e outros Web scanners

A enchurrada de Web scanners disponíveis na internet e o infeliz do ZmEu bot acabam tornando a vida dos nossos servidores Web um inferno. Geralmente o Apache responde a estas tentativas com sucessivos error 400 ( Bad Request ). Para acabar com essa apurrinhação podemos bloqueá-las usando o Ossec HIDS. Exemplo de um log do […]

Read more

Ossec HIDS 2.6 Beta Testing – Novas funcionalidades

O Ossec HIDS 2.6 está no forno. A versão beta desta que para mim é uma das melhores ferramentas de segurança da atualidade foi anunciada recentemente pelo Daniel Cid, criador e principal mantenedor. Venho acompanhando a evolução desta versão através do respositório no Bitbucket. Vejam algumas funcionalidades anunciadas: Suporte IPv6 Novas regras para OpenBSD, Clamav, […]

Read more

LAMP++ – Implementando um servidor LAMP seguro ( Atualizado )

Vocês devem estar achando que fiquei maluco, porque postar um assunto tão batido? Calma! O objetivo deste post é apresentar todo o processo de implantação de um servidor LAMP seguro de forma rápida e prática. Veremos quais são os pacotes necessários, como fazer o hardening, tunning, monitoramento e segurança. Não irei detalhar cada fase do […]

Read more

Servidores ssh sob ataque devido a falha no phpMyAdmin ( Atualizado )

Relatórios recentes [1] [2] revelam que vários servidores ssh estão sendo vitimas de ataques de força bruta pelo bot dd_ssh. A porta de entrada destes ataques é uma vulnerabilidade encontrada na ferramenta phpMyadmin, está vulnerabilidade afeta as versões 2.11.x anteriores a 2.11.9.5 e 3.x anteriores à 3.1.3.1. Aparentemente o botnet injeta um script malicioso através […]

Read more

Beta-Testing: Ossec 2.4 Beta

A versão beta do Ossec 2.4 já está disponível para download. Veja a lista de novidades: 1.Suporte para MSE (Microsoft Security Essentials). 2. Daily Reports. 3. Support para check_diff 4. Adicionada opção one-way para o agente lidar com sistemas onde o manager não pode responder às solicitações de keep alive. 5. Regras para ignorar crawlers […]

Read more