Diferenças

Aqui você vê as diferenças entre duas revisões dessa página.

--- start:docs:gprob:gprob_0003 [2019/06/26 14:50]
Gener Emanoel criada
+++ start:docs:gprob:gprob_0003 [2022/01/25 15:26] (atual)
@@ Linha 1: / Linha 1: @@
-====== gprob_0003:  ======
+====== gprob_0003: Web Defacement de sites Wordpress ======
 ~~NOTOC~~
@@ Linha 14: / Linha 14: @@
 ----
-Web Defacement (Desfiguração de Site) ocorrido no dia 25/06/2019 entre às 17:50h e 18:20h nos seguintes sites: http://agromais.ro.gov.br, http://alunodigital.epr.ro.gov.br, http://boasideias.ro.gov.br, http://contabilidade.ro.gov.br, http://cursos.idep.ro.gov.br, http://diof.ro.gov.br, http://escoladegoverno.ro.gov.br, http://eventos.sistemas.ro.gov.br, http://fapero.ro.gov.br, http://fornecedores.supel.ro.gov.br/assets/index.php, http://gestaodoconhecimento.ro.gov.br, http://idep.ro.gov.br, http://infovia.ro.gov.br, http://intranet.ro.gov.br, http://intranet.seae.ro.gov.br, http://iperon.ro.gov.br, http://joer.sistemas.ro.gov.br, http://jucer.ro.gov.br, http://rincaocultural.ro.gov.br, http://rondoniaruralshow.ro.gov.br, http://servicos.ro.gov.br, http://www.sistemas.ro.gov.br, http://transparencia.deosp.ro.gov.br, http://tudoaqui.ro.gov.br.
+Web Defacement (Desfiguração de Site) ocorrido no dia 25/06/2019 entre às 17:50h e 18:20h nos seguintes sites: [[http://agromais.ro.gov.br|http://agromais.ro.gov.br]], [[http://alunodigital.epr.ro.gov.br|http://alunodigital.epr.ro.gov.br]], [[http://boasideias.ro.gov.br|http://boasideias.ro.gov.br]], [[http://contabilidade.ro.gov.br|http://contabilidade.ro.gov.br]], [[http://cursos.idep.ro.gov.br|http://cursos.idep.ro.gov.br]], [[http://diof.ro.gov.br|http://diof.ro.gov.br]], [[http://escoladegoverno.ro.gov.br|http://escoladegoverno.ro.gov.br]], [[http://eventos.sistemas.ro.gov.br|http://eventos.sistemas.ro.gov.br]], [[http://fapero.ro.gov.br|http://fapero.ro.gov.br]], [[http://fornecedores.supel.ro.gov.br/assets/index.php|http://fornecedores.supel.ro.gov.br/assets/index.php]], [[http://gestaodoconhecimento.ro.gov.br|http://gestaodoconhecimento.ro.gov.br]], [[http://idep.ro.gov.br|http://idep.ro.gov.br]], [[http://infovia.ro.gov.br|http://infovia.ro.gov.br]], [[http://intranet.ro.gov.br|http://intranet.ro.gov.br]], [[http://intranet.seae.ro.gov.br|http://intranet.seae.ro.gov.br]], [[http://iperon.ro.gov.br|http://iperon.ro.gov.br]], [[http://joer.sistemas.ro.gov.br|http://joer.sistemas.ro.gov.br]], [[http://jucer.ro.gov.br|http://jucer.ro.gov.br]], [[http://rincaocultural.ro.gov.br|http://rincaocultural.ro.gov.br]], [[http://rondoniaruralshow.ro.gov.br|http://rondoniaruralshow.ro.gov.br]], [[http://servicos.ro.gov.br|http://servicos.ro.gov.br]], [[http://www.sistemas.ro.gov.br|http://www.sistemas.ro.gov.br]], [[http://transparencia.deosp.ro.gov.br|http://transparencia.deosp.ro.gov.br]], [[http://tudoaqui.ro.gov.br|http://tudoaqui.ro.gov.br]].
-Esse incidente ocorreu à partir da exploração do plugin hello_dolly (padrão do Wordpress) instalado no site http://sistemas.ro.gov.br e à partir dele, houve o upload do script Wordpress MassDeface (disponível em: https://gist.github.com/B0RU70/315c9df0c744daba57f39a3b701d9847) onde foi possível alterar os arquivos index.php das páginas supracitadas.
+Esse incidente ocorreu à partir da exploração do plugin hello_dolly (padrão do Wordpress) instalado no site [[http://sistemas.ro.gov.br|http://sistemas.ro.gov.br]] e à partir dele, houve o upload do **<font inherit/inherit;;#2980b9;;inherit>script Wordpress MassDeface</font>**  (disponível em: [[https://gist.github.com/B0RU70/315c9df0c744daba57f39a3b701d9847|https://gist.github.com/B0RU70/315c9df0c744daba57f39a3b701d9847]]) onde foi possível alterar os arquivos index.php das páginas supracitadas.
 ===== 2 - Identificação da origem do problema =====
@@ Linha 29: / Linha 29: @@
 As secretarias e órgãos donos das URL’s citadas acima, hospedadas no servidor groot, foram afetados com a indisponibilidade dos seus sistemas durante a noite do dia 25/06/2019.\\
-O impacto desse incidente seria apenas o dano à imagem do Governo do Estado. Nenhum arquivo foi perdido e nenhuma informação sigilosa foi roubada.\\
+O impacto desse incidente seria apenas o dano à imagem do Governo do Estado. <font inherit/inherit;;#2980b9;;inherit>Nenhum arquivo foi perdido e nenhuma informação sigilosa foi roubada</font>.\\
-Caso o problema não seja solucionado, estaremos sujeitos à novas intrusões com a exploração da mesma falha.\\
+Caso o problema não seja solucionado, estaremos sujeitos à novas intrusões com a exploração da mesma falha.
 ===== 4 - Incidentes relacionados =====
 ----
+^  Ordem  ^  Categoria   ^  Descrição                                                                            ^  Horário   ^  Origem         ^
-^Ordem ^Categoria ^Descrição ^Horário ^Origem |
+|  1      |  Enumeração  |  Descoberta do plugin hello_dolly                                                     |  16:45:41  |  187.82.68.224  |
-|  \\ <font 12pt/inherit;;inherit;;inherit>1</font> \\
+|  2      |  Defacement  |  Alteração do primeiro index, na página voip.ro.gov.br                                |  16:48:29  |  187.82.68.224  |
+|  3      |  Injeção     |  Inserção do script css.php                                                           |  16:49:53  |  187.82.68.224  |
-|
+|  4      |  Defacement  |  Alteração do primeiro index, à partir do script css.php, na página agenda.ro.gov.br  |  16:53:04  |  187.82.68.224  |
-    \\ <font 12pt/inherit;;inherit;;inherit>Enumeração</font> \\
+|  5      |  Defacement  |  Alteração do último index, à partir do script css.php, na página voip.ro.gov.br      |  18:20:18  |  187.82.68.224  |
-|
-    \\ <font 12pt/inherit;;inherit;;inherit>Descoberta do plugin hello_dolly</font> \\
-|
-    \\ <font 12pt/inherit;;black;;white>16:45:41</font>   \\
-|
-    \\ <font 12pt/inherit;;inherit;;inherit>187.82.68.224</font> \\
-|
-|
-    \\ <font 12pt/inherit;;inherit;;inherit>2</font> \\
-|
-    \\ <font 12pt/inherit;;inherit;;inherit>Defacement</font> \\
-|
-    \\ <font 12pt/inherit;;inherit;;inherit>Alteração do primeiro index, na página voip.ro.gov.br</font> \\
-|
-    \\ <font 12pt/inherit;;inherit;;inherit>16:48:29</font> \\
-|
-    \\ <font 12pt/inherit;;inherit;;inherit>187.82.68.224</font> \\
-|
-|
-    \\ <font 12pt/inherit;;inherit;;inherit>3</font> \\
-|
-    \\ <font 12pt/inherit;;inherit;;inherit>Injeção</font> \\
-|
-    \\ <font 12pt/inherit;;inherit;;inherit>Inserção do script css.php</font> \\
-|
-    \\ <font 12pt/inherit;;inherit;;inherit>16:49:53</font> \\
-|
-    \\ <font 12pt/inherit;;inherit;;inherit>187.82.68.224</font> \\
-|
-|
-    \\ <font 12pt/inherit;;inherit;;inherit>4</font> \\
-|
-    \\ <font 12pt/inherit;;inherit;;inherit>Defacement</font> \\
-|
-    \\ <font 12pt/inherit;;inherit;;inherit>Alteração do primeiro index, à partir do script css.php, na página agenda.ro.gov.br</font> \\
-|
-    \\ <font 12pt/inherit;;inherit;;inherit>16:53:04</font> \\
-|
-    \\ <font 12pt/inherit;;inherit;;inherit>187.82.68.224</font> \\
-|
-|
-    \\ <font 12pt/inherit;;inherit;;inherit>5</font> \\
-|
-    \\ <font 12pt/inherit;;inherit;;inherit>Defacement</font> \\
-|
-    \\ <font 12pt/inherit;;inherit;;inherit>Alteração do último index, à partir do script css.php, na página voip.ro.gov.br</font> \\
-|
-    \\ <font 12pt/inherit;;inherit;;inherit>18:20:18</font> \\
-|
-    \\ <font 12pt/inherit;;inherit;;inherit>187.82.68.224</font> \\
-|
 ===== 5 - Solução de contorno =====
@@ Linha 128: / Linha 49: @@
 .2 - Atualização de todos os sites Wordpress.
-.3 - Implementação dos sites em container’s Docker, com o objetivo de segmentar os sites, muito embora, sem as duas soluções anteriores, essa seria apenas a segmentação do problema.\\
+.3 - Implementação dos sites em container’s Docker, com o objetivo de segmentar os sites, muito embora, sem as duas soluções anteriores, essa seria apenas a segmentação do problema.
 ===== 6 - Procedimentos =====
@@ Linha 135: / Linha 56: @@
 .1 – Restauração do Snapshot da Máquina Virtual antes do ataque.\\
-.2 – Limpeza dos arquivos infectados e dos plugins vulnráveis.\\
+.2 – Limpeza dos arquivos infectados e dos plugins vulnráveis.
 ===== 7 - Proposta de solução definitiva =====
@@ Linha 143: / Linha 65: @@
 \\
-.1 – Aquisição de um Firewall de Aplicação Web (WAF), para que ataques como esse sejam efetivamente filtrados (incluído no processo de aquisição de Segurança, aguardando recurso financeiro);
+.1 – Aquisição de um **<font inherit/inherit;;#2980b9;;inherit>Firewall de Aplicação Web (WAF)</font>**, para que ataques como esse sejam efetivamente filtrados (incluído no processo de aquisição de Segurança, aguardando recurso financeiro);
 \\
-.2 – Criação de um CMS próprio, evitando que vulnerabilidades públicas em portais feitos com software libre não nos afetem mais.\\
+.2 – Criação de um CMS próprio, evitando que vulnerabilidades públicas em portais feitos com software livre não nos afetem mais.
 \\

Superintendência Estadual de Tecnologia da Informação e Comunicação

Ferramentas do usuário

Ferramentas do site

Diferenças

Ferramentas da página