Software Público Brasileiro

Boa tarde!

Estamos com problemas relativos a ataques "maliciosos" no e-Sic livre
vinculado ao nosso Portal, provavelmente o(s) autore(s) estão utilizando
técnicas de php+sql injection.

Fato:
Algumas solicitações de acesso à informação foram cadastradas com os
dados de um usuário (cidadão), porém não foi esse cidadão quem
fez a solicitação.

Nesse tipo de "ataque", foi feita uma duplicata dos dados desse cidadão,
e na lista de solicitações, ao clicar sobre uma linha da tabela para
visualizar os detalhes, o usuário é redirecionado para urls externas,
que levam a páginas do grupo responsável pela atividade, enfatizando a
"conquista" pela invasão.

A lista de solicitações tanto do usuário comum, quanto do admin do
e-sic, levam a esses endereços externos.

Alguém já teve algum problema semelhante?

O que podemos fazer para bloquear esse acesso suspeito?

Obrigado.

--



Lucas Gomes Vilvert: Analista de Sistemas.
Setor de Tecnologia da Informação / CPD.
Prefeitura de Rio Pardo - RS.
www.riopardo.rs.gov.br
(51) 3731.1225

Já tive este problema mas não no E-SIC

Você deve fazer o seguinte:

1º - Mudar todas as senhas (ftp - adm - bd - hospedagem)
2º - Neste tipo de ataque o invasor copia alguns arquivos em seu ftp para
facilitar o próximo acesso. Você deve verificar todos os arquivos e excluir
os que não fazem parte do sistema, normalmente o nome é diferente.
3º - Todas as estradas que fazem acesso ao BD, como consultas em php: ex:
pagina.php?id=1 devem ser tratadas exclusivamente com *addslashes* ou
is_numeric , são as principais formas de acesso.
4 º - Não use Register Globals ou Versôes antigas do PHP
5º - Nas conexões de BD procure usar PDO.

Procure no google termos como:

Evitar SQL Injection no PHP e Mysql

E solicite na hospedagem o Log de acesso, que normalmente eles gravam tudo
e você poderá verificar qual página estão utilizando para invasão.

Não é fácil amigo e tive muita dor de cabeça mas consegui resolver, quando
eles conseguem uma vez o acesso ao site, constantemente eles vão invadir
novamente.

Atenciosamente,

Luis Paulo



Livre
de vírus. www.avast.com
.
<#DDB4FAA8-2DD7-40BB-A1B8-4E2AA1F9FDF2>

Em 8 de abril de 2016 15:29, CPD - Setor de T.I - Prefeitura Rio Pardo <
informatica@riopardo.rs.gov.br> escreveu:

> Boa tarde!
>
> Estamos com problemas relativos a ataques "maliciosos" no e-Sic livre
> vinculado ao nosso Portal, provavelmente o(s) autore(s) estão utilizando
> técnicas de php+sql injection.
>
> Fato:
> Algumas solicitações de acesso à informação foram cadastradas com os dados
> de um usuário (cidadão), porém não foi esse cidadão quem
> fez a solicitação.
>
> Nesse tipo de "ataque", foi feita uma duplicata dos dados desse cidadão, e
> na lista de solicitações, ao clicar sobre uma linha da tabela para
> visualizar os detalhes, o usuário é redirecionado para urls externas, que
> levam a páginas do grupo responsável pela atividade, enfatizando a
> "conquista" pela invasão.
>
> A lista de solicitações tanto do usuário comum, quanto do admin do e-sic,
> levam a esses endereços externos.
>
> Alguém já teve algum problema semelhante?
>
> O que podemos fazer para bloquear esse acesso suspeito?
>
> Obrigado.
>
> --
>
>
>
> Lucas Gomes Vilvert: Analista de Sistemas.
> Setor de Tecnologia da Informação / CPD.
> Prefeitura de Rio Pardo - RS.
> www.riopardo.rs.gov.br
> (51) 3731.1225
>
> _______________________________________________
> E-sic-livre mailing list
> E-sic-livre@listas.softwarepublico.gov.br
>https://listas.softwarepublico.gov.br/mailman/cgi-bin/listinfo/e-sic-livre
>

Prezados,



É uma pena que tenhamos chegado a esse ponto, em que alguém se aproveita dessa vulnerabilidade do e-SIC Livre. Ela já havia sido notada há tempos, e eu trabalhei bastante na tentativa de corrigi-la. Entretanto, ainda há muito trabalho pela frente. Talvez o ideal seja rever desde o princípio todo o processo de inserção e consulta ao banco de dados.



Essa questão está sendo tratada no tíquete 9 ( https://softwarepublico.gov.br/gitlab/e-sic-livre/e-sic-livre/issues/9 ) e, no meu ramo mysqli, já há um trabalho adiantado no sentido de resolver o problema: https://portal.softwarepublico.gov.br/gitlab/leandroarndt/e-sic-livre/tree/mysqli - contudo, como disse, há muito o que fazer. Sugiro que façamos rapidamente as alterações necessárias, talvez revendo todo esse mecanismo de interação com o BD, mesmo que se decida desconsiderar o que já fiz. É o momento de um grande esforço conjunto, penso eu, pois afeta toda a comunidade, não apenas aqueles que estão sob ataque.



Aproveito para comunicar a vocês que estou saindo da Coordenação-Geral de Cooperação Federativa e Controle Social, da Secretaria de Transparência e Prevenção da Corrupção da CGU, e ingressando na Ouvidoria-Geral da União, também na CGU. Continuarei envolvido com atividades de transparência, inclusive com a LAI, mas não terei mais muitas oportunidades de contribuir com o e-SIC Livre no meu horário de trabalho. Desejo a todos vocês muito sucesso com esse sistema, e, especialmente, na aprimoramento da democracia no Brasil.



Abraços cordiais,



Leandro Arndt
Coordenação-Geral de Cooperação Federativa e Controle Social
Diretoria de Transparência e Controle Social
Secretaria de Transparência e Prevenção da Corrupção
+55 (61) 2020-6535

[X][X][X][X]

________________________________
De: E-sic-livre [e-sic-livre-bounces@listas.softwarepublico.gov.br] em nome de Luis Paulo [luispaulosj@gmail.com]
Enviado: sexta-feira, 8 de abril de 2016 15:52
Para: e-SIC
Assunto: Re: [E-sic-livre] e-Sic Livre - Vulnerabilidade

Já tive este problema mas não no E-SIC

Você deve fazer o seguinte:

1º - Mudar todas as senhas (ftp - adm - bd - hospedagem)

2º - Neste tipo de ataque o invasor copia alguns arquivos em seu ftp para facilitar o próximo acesso. Você deve verificar todos os arquivos e excluir os que não fazem parte do sistema, normalmente o nome é diferente.
3º - Todas as estradas que fazem acesso ao BD, como consultas em php: ex: pagina.php?id=1 devem ser tratadas exclusivamente com addslashes ou is_numeric , são as principais formas de acesso.

4 º - Não use Register Globals ou Versôes antigas do PHP
5º - Nas conexões de BD procure usar PDO.

Procure no google termos como:

Evitar SQL Injection no PHP e Mysql

E solicite na hospedagem o Log de acesso, que normalmente eles gravam tudo e você poderá verificar qual página estão utilizando para invasão.

Não é fácil amigo e tive muita dor de cabeça mas consegui resolver, quando eles conseguem uma vez o acesso ao site, constantemente eles vão invadir novamente.

Atenciosamente,

Luis Paulo

[https://ipmcdn.avast.com/images/2016/icons/icon-envelope-tick-round-orange-v1.png] Livre de vírus. www.avast.com.

Em 8 de abril de 2016 15:29, CPD - Setor de T.I - Prefeitura Rio Pardo > escreveu:

Boa tarde!

Estamos com problemas relativos a ataques "maliciosos" no e-Sic livre vinculado ao nosso Portal, provavelmente o(s) autore(s) estão utilizando técnicas de php+sql injection.

Fato:

Algumas solicitações de acesso à informação foram cadastradas com os dados de um usuário (cidadão), porém não foi esse cidadão quem

fez a solicitação.

Nesse tipo de "ataque", foi feita uma duplicata dos dados desse cidadão, e na lista de solicitações, ao clicar sobre uma linha da tabela para visualizar os detalhes, o usuário é redirecionado para urls externas, que levam a páginas do grupo responsável pela atividade, enfatizando a "conquista" pela invasão.

A lista de solicitações tanto do usuário comum, quanto do admin do e-sic, levam a esses endereços externos.

Alguém já teve algum problema semelhante?

O que podemos fazer para bloquear esse acesso suspeito?

Obrigado.

--



Lucas Gomes Vilvert: Analista de Sistemas.
Setor de Tecnologia da Informação / CPD.
Prefeitura de Rio Pardo - RS.

www.riopardo.rs.gov.br
(51) 3731.1225

_______________________________________________

E-sic-livre mailing list

E-sic-livre@listas.softwarepublico.gov.br

https://listas.softwarepublico.gov.br/mailman/cgi-bin/listinfo/e-sic-livre

----------------------------------------------------------------------

Esta mensagem, incluindo quaisquer anexos, é de acesso restrito e destina-se, exclusivamente, à pessoa ou entidade para a qual foi endereçada. Se você a recebeu indevidamente, por favor, elimine-a e informe o equívoco ao emitente imediatamente. O uso não autorizado do conteúdo da mensagem ou anexos é proibido e sujeita o infrator às penalidades cabíveis.

This e-mail message, including any attachments, is of restricted access and intended, exclusively, to the person or entity to which it was addressed. If you have received it by mistake, please, delete the message and kindly notify the sender immediately. The unauthorized use of the contents of the message or any of the attachments is forbidden and the violator is subject to the penalties of law.

as adaptações nos arquivos que conectam ao banco de dados estão sendo
atualizadas na base do sistema? porque acredito que quem já passou por isso
e resolveu o problema deveria não só divulgar mas também atualizar a base
do sistema para evitar futuros problemas, senão ficarão vários grupos
fazendo melhorias e não chegaremos a um consenso no sistema.

Em 11 de abril de 2016 11:11, Leandro Arndt

escreveu:

> Prezados,
>
>
>
> É uma pena que tenhamos chegado a esse ponto, em que alguém se aproveita
> dessa vulnerabilidade do e-SIC Livre. Ela já havia sido notada há tempos, e
> eu trabalhei bastante na tentativa de corrigi-la. Entretanto, ainda há
> muito trabalho pela frente. Talvez o ideal seja rever desde o
> princípio todo o processo de inserção e consulta ao banco de dados.
>
>
>
> Essa questão está sendo tratada no tíquete 9 (
>https://softwarepublico.gov.br/gitlab/e-sic-livre/e-sic-livre/issues/9 )
> e, no meu ramo mysqli, já há um trabalho adiantado no sentido de resolver o
> problema:
>https://portal.softwarepublico.gov.br/gitlab/leandroarndt/e-sic-livre/tree/mysqli -
> contudo, como disse, há muito o que fazer. *Sugiro que façamos
> rapidamente as alterações necessárias, talvez revendo todo esse mecanismo
> de interação com o BD, mesmo que se decida desconsiderar o que já fiz. É o
> momento de um grande esforço conjunto, penso eu, pois afeta toda a
> comunidade, não apenas aqueles que estão sob ataque.*
>
>
>
> Aproveito para comunicar a vocês que estou saindo da Coordenação-Geral de
> Cooperação Federativa e Controle Social, da Secretaria de Transparência e
> Prevenção da Corrupção da CGU, e ingressando na Ouvidoria-Geral da União,
> também na CGU. Continuarei envolvido com atividades de transparência,
> inclusive com a LAI, mas não terei mais muitas oportunidades de contribuir
> com o e-SIC Livre no meu horário de trabalho. Desejo a todos vocês muito
> sucesso com esse sistema, e, especialmente, na aprimoramento da democracia
> no Brasil.
>
>
>
> Abraços cordiais,
>
>
> Leandro Arndt
> *Coordenação-Geral de Cooperação Federativa e Controle Social*
> Diretoria de Transparência e Controle Social
> Secretaria de Transparência e Prevenção da Corrupção
> +55 (61) 2020-6535
>
>
> ------------------------------
> *De:* E-sic-livre [e-sic-livre-bounces@listas.softwarepublico.gov.br] em
> nome de Luis Paulo [luispaulosj@gmail.com]
> *Enviado:* sexta-feira, 8 de abril de 2016 15:52
> *Para:* e-SIC
> *Assunto:* Re: [E-sic-livre] e-Sic Livre - Vulnerabilidade
>
> Já tive este problema mas não no E-SIC
>
> Você deve fazer o seguinte:
>
> 1º - Mudar todas as senhas (ftp - adm - bd - hospedagem)
> 2º - Neste tipo de ataque o invasor copia alguns arquivos em seu ftp para
> facilitar o próximo acesso. Você deve verificar todos os arquivos e excluir
> os que não fazem parte do sistema, normalmente o nome é diferente.
> 3º - Todas as estradas que fazem acesso ao BD, como consultas em php: ex:
> pagina.php?id=1 devem ser tratadas exclusivamente com *addslashes* ou
> is_numeric , são as principais formas de acesso.
> 4 º - Não use Register Globals ou Versôes antigas do PHP
> 5º - Nas conexões de BD procure usar PDO.
>
> Procure no google termos como:
>
> Evitar SQL Injection no PHP e Mysql
>
> E solicite na hospedagem o Log de acesso, que normalmente eles gravam tudo
> e você poderá verificar qual página estão utilizando para invasão.
>
> Não é fácil amigo e tive muita dor de cabeça mas consegui resolver, quando
> eles conseguem uma vez o acesso ao site, constantemente eles vão invadir
> novamente.
>
> Atenciosamente,
>
> Luis Paulo
>
>
>
> Livre
> de vírus. www.avast.com
> .
><#m_756313240834048378_DDB4FAA8-2DD7-40BB-A1B8-4E2AA1F9FDF2>
>
> Em 8 de abril de 2016 15:29, CPD - Setor de T.I - Prefeitura Rio Pardo <
> informatica@riopardo.rs.gov.br> escreveu:
>
>> Boa tarde!
>>
>> Estamos com problemas relativos a ataques "maliciosos" no e-Sic livre
>> vinculado ao nosso Portal, provavelmente o(s) autore(s) estão utilizando
>> técnicas de php+sql injection.
>>
>> Fato:
>> Algumas solicitações de acesso à informação foram cadastradas com os
>> dados de um usuário (cidadão), porém não foi esse cidadão quem
>> fez a solicitação.
>>
>> Nesse tipo de "ataque", foi feita uma duplicata dos dados desse cidadão,
>> e na lista de solicitações, ao clicar sobre uma linha da tabela para
>> visualizar os detalhes, o usuário é redirecionado para urls externas, que
>> levam a páginas do grupo responsável pela atividade, enfatizando a
>> "conquista" pela invasão.
>>
>> A lista de solicitações tanto do usuário comum, quanto do admin do e-sic,
>> levam a esses endereços externos.
>>
>> Alguém já teve algum problema semelhante?
>>
>> O que podemos fazer para bloquear esse acesso suspeito?
>>
>> Obrigado.
>>
>> --
>>
>>
>>
>> Lucas Gomes Vilvert: Analista de Sistemas.
>> Setor de Tecnologia da Informação / CPD.
>> Prefeitura de Rio Pardo - RS.
>> www.riopardo.rs.gov.br
>> (51) 3731.1225
>>
>> _______________________________________________
>> E-sic-livre mailing list
>> E-sic-livre@listas.softwarepublico.gov.br
>>https://listas.softwarepublico.gov.br/mailman/cgi-bin/listinfo/e-sic-livre
>>
>
> ------------------------------
> Esta mensagem, incluindo quaisquer anexos, é de acesso restrito e
> destina-se, exclusivamente, à pessoa ou entidade para a qual foi
> endereçada. Se você a recebeu indevidamente, por favor, elimine-a e informe
> o equívoco ao emitente imediatamente. O uso não autorizado do conteúdo da
> mensagem ou anexos é proibido e sujeita o infrator às penalidades cabíveis.
>
> This e-mail message, including any attachments, is of restricted access
> and intended, exclusively, to the person or entity to which it was
> addressed. If you have received it by mistake, please, delete the message
> and kindly notify the sender immediately. The unauthorized use of the
> contents of the message or any of the attachments is forbidden and the
> violator is subject to the penalties of law.
>
> _______________________________________________
> E-sic-livre mailing list
> E-sic-livre@listas.softwarepublico.gov.br
>https://listas.softwarepublico.gov.br/mailman/cgi-bin/listinfo/e-sic-livre
>
>


--

Erivelto Pinheiro
EPMSistemas
91 3755-1014
91 8123-6722 - whatsapp

Olá pessoal.

Talvez uma boa opção para evitar SQL Injection, seja usar a função preg_replace() nos campos de login e a função strip_tags para evitar tags HTML nos campos de formulários.

Por exemplo:
No login $login = preg_replace('/[[:alnum:]_]/', '', $_POST['login']); Assim ele só vai enviar letras e números, evitando aspas, traços, etc.

E nos campos de formulários:
$textosolicitação = strip_tags($_POST["textosolicitacao"]); Evitando as tags HTML, < p >, < script >, etc.

Espero ter ajudado.

Corrigindo, faltou um detalhe no código acima, faltou o ^
$login = preg_replace('/[^[:alnum:]_]/', '', $_POST['login']);

Como disse lá no SPB ( https://softwarepublico.gov.br/gitlab/e-sic-livre/e-sic-livre/issues/9 ), impedir a inserção de HTML é muito importante, mas é fundamental evitar a injeção de SQL. É importante investirmos no desenvolvimento dessa solução.

Atenciosamente,

Leandro Arndt

Gabinete da Ouvidoria-Geral da União

Ouvidoria-Geral da União

+55 (61) 2020-7070

Quer denunciar, reclamar, sugerir, elogiar ou solicitar alguma providência da Administração?
Acesse Ouvidorias.gov.br e tenha todas as ouvidorias públicas em um só lugar.




-----Mensagem original-----
De: E-sic-livre [mailto:e-sic-livre-bounces@listas.softwarepublico.gov.br] Em nome de Reinaldo Gomes
Enviada em: quarta-feira, 27 de julho de 2016 16:42
Para: e-sic-livre@listas.softwarepublico.gov.br
Assunto: [E-sic-livre] e-Sic Livre - Vulnerabilidade

Corrigindo, faltou um detalhe no código acima, faltou o ^ $login = preg_replace('/[^[:alnum:]_]/', '', $_POST['login']); _______________________________________________

E-sic-livre mailing list
E-sic-livre@listas.softwarepublico.gov.br
https://listas.softwarepublico.gov.br/mailman/cgi-bin/listinfo/e-sic-livre

----------------------------------------------------------------------
Esta mensagem, incluindo quaisquer anexos, é de acesso restrito e destina-se, exclusivamente, à pessoa ou entidade para a qual foi endereçada. Se você a recebeu indevidamente, por favor, elimine-a e informe o equívoco ao emitente imediatamente. O uso não autorizado do conteúdo da mensagem ou anexos é proibido e sujeita o infrator às penalidades cabíveis.

This e-mail message, including any attachments, is of restricted access and intended, exclusively, to the person or entity to which it was addressed. If you have received it by mistake, please, delete the message and kindly notify the sender immediately. The unauthorized use of the contents of the message or any of the attachments is forbidden and the violator is subject to the penalties of law.

alguém esta com problema pra funcionar o e-sic?
instalação;
banco de dados;
anexo na movimentação;
etc... duvidas so chamar: TIM (87) 99627-8345 | OI (87) 98829-3673