O que houve com o Seja Livre na última semana?

Share

Após os ocorridos da última semana e as diversas conversas que rolaram nas redes sociais, decidimos escrever este post para explicar o que realmente ocorreu.

No último dia 30/08 (quinta-feira passada), o nosso servidor caiu após uma manutenção feita por um técnico da nossa empresa de hospedagem. Ficamos off durante boa parte do dia e, ao retornarmos, sentimos muita instabilidade no carregamento das páginas.

Na sexta-feira (31/08) logo pela manhã, ao abrir o Facebook, me deparo com uma foto postada pelo nosso leitor Alan Alves (obrigado por ter avisado tão prontamente, cara):

Assustado com o belo “bom dia” que o Google nos deu, fui verificar o que estava havendo para tentar reverter a situação o quanto antes. Primeiramente procuramos nossa hospedagem, que nos informou que a acusação de Malware no Seja Livre nada tinha haver com o ocorrido do dia anterior. Após alguns minutos (e vários tickets de suporte), eles nos informaram que “poderia ter havido uma invasão devido a atualização do Apache” (a qual nós não solicitamos e nem se quer autorizamos).

Não contente com a resposta, fui eu mesmo investigar o que estava havendo, pois não poderíamos ficar novamente “off” devido a “problemas técnicos”. Meu primeiro passo foi achar o tal malware que estava em nossas páginas (36 páginas para ser mais exato), e ao abrir o primeiro arquivo (o index.php) me deparo com o código abaixo inserido nele:

Apesar de estar super curioso pra saber de onde veio a invasão, nós tínhamos que retirar todos os códigos maliciosos que foram inseridos nos arquivos do nosso wordpress. Nessa altura (e isso já eram umas 19 horas), eu já havia encontrado códigos maliciosos em diversos arquivos do wordpress… diversos mesmo. Usei alguns scanners de malware para WordPress, como o Anti-Malware GOTMLS, e scanners de malwares de linha de comando, como o iScanner, porém decidimos contratar os serviços da Site Blindado para termos certeza de que tudo estava limpo, e ai descobrimos que nosso servidor havia caído no dia anterior pois o IPS (Intrusion Prevention System) do Data Center desligou o nosso nó por ter detectado uma tentativa de invasão.

Após a “faxina geral” e o Google ter retirado a notificação de malware, partimos pra um hardening do nosso servidor e dos serviços, mas antes precisávamos saber por onde ocorreu a invasão.

A algum tempo eu havia prometido ao Holmes do Projeto Chakra Linux que iríamos hospedar as ISOs do projeto em um espaço do nosso servidor, pois eles precisavam de repositórios no Brasil. E para isso eu havia subido um servidor FTP para receber estas ISOs, e depois eu as colocaria em um ambiente seguro para download. E sabe quando você pensa: “não vou me preocupar com a segurança disso aqui pois vai ser temporário… não vai dar nada”… bem, é ai que você se ferra. O invasor se aproveitou deste descuido consciente e conseguiu escalar privilégios em nosso FTP, tendo acesso a escrita no diretório raiz do Seja Livre.

“Caramba o cara é sinistro”… realmente, parabéns pra ele pela façanha (apesar de 50% do seu sucesso ter sido minha culpa), porém ele se esqueceu de uma coisa básica: mascarar seu IP…

Não quero externar raiva ou vingança contra nosso invasor, muito pelo contrário, eu estou feliz! E sabe por que? Por que ele é brasileiro, usa Linux (segundo dados obtidos pelo nmap) e, se fez o que fez contra um blog de Linux, é por que o Seja Livre é grande o bastante para ser um alvo  em potencial. Já diz o provérbio: a árvore que dá bons frutos é apedrejada.

Lições tiradas do incidente

– Nunca, mas Nunca “cague” para segurança. Seja paranoico, pois conter danos de invasão não é nada fácil e nem um programa agradável para sextas a noite.

– Implemente quantos níveis de segurança forem necessários, assim como o “Google Authenticator” (tutorial para Ubuntu ou Debian e CentOS) [agradecimentos ao meu brother Julian Fernandes pela dica].

– Nunca se ache seguro o bastante.

– Seja humilde para reconhecer seus erros, porém não se martirize: você vai precisar da “cabeça no lugar” para conter os danos.

Bom, e se o nosso invasor queria fama, receba nossos cumprimentos. Quer mais fama que ser citando no Seja Livre?? (rsrsrs… #fail)

Quer continuar por dentro das novidades do Blog Seja Livre? Siga o nosso perfil no TWITTER, curta a nossa página no FACEBOOK ou adicione o Blog Seja Livre nos seus círculos do GOOGLE+.