Invasão de Hacker Turco!!!

Boa noite queridos leitores (todos os 3!!!),

Na sexta-feira passada (17-09-10) o serviço de hospedagem brasileiro LOCAWEB sofreu um ataque de um hacker turco que tirou diversos sites do ar. Ainda não se sabe a quantidade exata de páginas que sofreram o ataque.

O hacker praticou algo conhecido como deface. Ele encontrou uma falha nos servidores da empresa que permitia que arquivos fossem inseridos numa pasta sem permissão para escrita. Assim, vários sites tiveram suas páginas iniciais substituídas pelas criadas pelo hacker.

A solução para reverter o deface é simples: basta logar no FTP do servidor, deletar os arquivos index.htm, index.html, index.php e default.php e fazer upload novamente da versão anterior que, espera-se, foi salva localmente e não na web.

Hoje (20-09-10), depois de analisar a invasão dos sites dos seus clientes, a Locaweb descobriu o que pode ter proporcionado o defacing ocorrido no dia 17. Segundo a empresa, os sites foram invadidos através de uma brecha explorável dentro do Red Hat Enterprise 5, uma distribuição Linux usada nos servidores da empresa. A falha está na camada de implementação da compatibilidade de 32 e 64 bits dentro do próprio kernel do Linux.

Há a suspeita de que o invasor obteve facilidade na sua ação devido a uma forma de explorar a falha ter sido disponibilizada na internet no mesmo momento em que a falha foi detectada.

Ao detectar que os sites foram afetados (a empresa se recusa assumir isso), a Locaweb aplicou o que eles chamaram de “um reforço de segurança”. Mais tarde a empresa restaurou o backup de alguns dos clientes afetados, notificando-os que tomaria tal ação.

Quando questionada sobre a quantidade de clientes afetados pela invasão, a Locaweb não deu números exatos, limitando-se a dizer que apenas “uma pequena parcela dos clientes que utilizam plataforma Linux” foram afetados.

O comunicado oficial da empresa está logo abaixo:

"Em 17/09/2010, surgiram diversos comentários nas redes sociais sobre alterações indevidas na primeira página de alguns sites hospedados na Locaweb. Informamos que após realizar uma profunda análise da situação, a Locaweb identificou os sites afetados, aplicou um reforço de segurança nos servidores e, por medida corretiva, restaurou as cópias dos arquivos conforme estavam em 16/09/2010 às 18:50h. Essa restauração foi realizada para uma pequena parte de sites hospedados em plataforma Linux e os clientes afetados por esse procedimento foram devidamente avisados.
Informamos ainda que os sites alterados foram alvo de uma vulnerabilidade do sistema operacional Red Hat Linux, documentada em https://access.redhat.com/kb/docs/DOC-40265, para qual o fornecedor ainda não tem solução. Para conseguir resolver o caso, foi necessário o desenvolvimento de uma solução pela equipe de tecnologia da Locaweb, a qual foi finalizada no último sábado.
Pedimos desculpas pela demora em prestar os esclarecimentos acima. Isso ocorreu por termos focado todos nossos esforços no sentido de criar uma solução efetiva para o caso. Por fim, informamos que a Locaweb encontra-se à disposição para quaisquer outras dúvidas que existam a respeito do tema."

Bjos na testa,

Dr. Pintado, não é hacker turco, mas gosta de esfirra!!!

Fonte: Tecnoblog