Sites Hospedados na Locaweb São invadidos por Hackes turco
17/09/2010 às 17h50
O serviço de hospedagem brasileiro Locaweb sofreu hoje ataque de um hacker turco que tirou diversos sites do ar. Ainda não se sabe a quantidade exata de páginas que sofreram o ataque. Segundo informações de um dos clientes da Locaweb, os sites que estavam em servidores Linux foram afetados, mas os que tinham seus arquivos em máquinas com Windows não tiveram problemas.
O hacker praticou algo conhecido como deface. Ele encontrou uma falha nos servidores da empresa que permitia que arquivos fossem inseridos numa pasta sem permissão para escrita. Assim, vários sites tiveram suas páginas iniciais substituídas pelas criadas pelo hacker. Segundo outro cliente, o ataque aconteceu duas vezes: uma de manhã e outra vez por volta das 16h.
A solução para reverter o deface é simples: basta logar no FTP do servidor, deletar os arquivos index.htm, index.html, index.php e default.php e fazer upload novamente da versão anterior que, espera-se, foi salva localmente e não na web.
A assessoria de imprensa da Locaweb confirmou que o ataque aconteceu, mas não sabe informar ainda a extensão dos danos. Até o momento da publicação desse post, vários sites ainda apresentavam a imagem deixada pelo hacker enquanto que outros já haviam sido consertados pelos próprios administradores. A empresa não tem previsão de quando a situação será normalizada.
Atualização às 19h38 | A Locaweb entrou em contato com o Tecnoblog para informar que não confirma os ataques dessa sexta. De acordo com a assessoria, não há informações sobre o assunto no momento. Enquanto isso, o website da captura de tela acima continua com a mensagem original do hacker.
Atualização às 19h56 | Recebemos um comunicado oficial da empresa: ”A Locaweb, líder em hosting na América Latina segundo a IDC, informa que está analisando os comentários em relação a alguns sites terem sido alterados indevidamente. Os clientes que solicitaram informações serão avisados assim que a verificação for concluída.”
Vulnerabidade em Linux permitiu ataque em Sites, diz Locaweb
20/09/2010 às 17h28
Depois de analisar a invasão dos sites dos seus clientes, a Locaweb descobriu o que pode ter proporcionado o defacing ocorrido na sexta-feira (17). Segundo a empresa, os sites foram invadidos através de uma brecha explorável dentro do Red Hat Enterprise 5, uma distribuição Linux usada nos servidores da empresa. A falha está na camada de implementação da compatibilidade de 32 e 64 bits dentro do próprio kernel do Linux.
Há a suspeita de que o invasor obteve facilidade na sua ação devido a uma forma de explorar a falha ter sido disponibilizada na internet no mesmo momento em que a falha foi detectada.
Ao detectar que os sites foram afetados (a empresa se recusa assumir isso), a Locaweb aplicou o que eles chamaram de “um reforço de segurança”, que pode ou não ser a solução provisória publicada no site da Red Hat. Mais tarde a empresa restaurou o backup de alguns dos clientes afetados, notificando-os que tomaria tal ação.
Quando questionada sobre a quantidade de clientes afetados pela invasão, a Locaweb não deu números exatos, limitando-se a dizer que apenas “uma pequena parcela dos clientes que utilizam plataforma Linux” foram afetados.
O comunicado oficial da empresa está logo abaixo.
Em 17/09/2010, surgiram diversos comentários nas redes sociais sobre alterações indevidas na primeira página de alguns sites hospedados na Locaweb. Informamos que após realizar uma profunda análise da situação, a Locaweb identificou os sites afetados, aplicou um reforço de segurança nos servidores e, por medida corretiva, restaurou as cópias dos arquivos conforme estavam em 16/09/2010 às 18:50h. Essa restauração foi realizada para uma pequena parte de sites hospedados em plataforma Linux e os clientes afetados por esse procedimento foram devidamente avisados.
Informamos ainda que os sites alterados foram alvo de uma vulnerabilidade do sistema operacional Red Hat Linux, documentada em https://access.redhat.com/kb/docs/DOC-40265, para qual o fornecedor ainda não tem solução. Para conseguir resolver o caso, foi necessário o desenvolvimento de uma solução pela equipe de tecnologia da Locaweb, a qual foi finalizada no último sábado.
Pedimos desculpas pela demora em prestar os esclarecimentos acima. Isso ocorreu por termos focado todos nossos esforços no sentido de criar uma solução efetiva para o caso. Por fim, informamos que a Locaweb encontra-se à disposição para quaisquer outras dúvidas que existam a respeito do tema.
Red hat diz que Locaweb nãe é seu cliente
21/09/2010 às 19h28
Na sexta-feira passada, cerca de 25 mil sites hospedados pela Locaweb — o número não é confirmado pela empresa, mas centenas de clientes reclamaram nas redes sociais — foram afetados por uma brecha de segurança. Naquele dia, um hacker supostamente turco modificou a página inicial de vários desses sites.
De acordo com a empresa de hospedagem, “os sites alterados foram alvo de uma vulnerabilidade do sistema operacional Red Hat Linux, para qual o fornecedor ainda não tem solução”, jogando a culpa na falta de atualização do sistema operacional. Agora há pouco a Red Hat brasileira emitiu um comunicado no qual contesta a informação, afirmando que a Locaweb não é sua cliente.
“A Red Hat comenta que a Locaweb não consta de seu quadro de clientes – no Brasil ou no exterior – não possuindo, portanto, subscrições que permitam acesso a serviços de manutenção e suporte. Adicionalmente, a Red Hat declara que não pode ser responsabilizada por falhas no ambiente de segurança”, informa o comunicado.
São três tipos de licença que a Red Hat oferece: de suporte, de gerenciamento e de software. A Locaweb não é cliente de nenhuma dessas modalidades.
A Red Hat brasileira esclareceu que a brecha no kernel do Linux que a Locaweb aponta como responsável pela falha de sexta-feira recebeu um patch — ou seja, foi corrigida — nos sistemas comercializados por ela faz mais de um mês. Segundo a empresa, não houve ocorrência da falha entre seus clientes.
Atualização às 19h43 | Entramos em contato com a equipe de vendas da Locaweb questionando sobre os serviços de hospedagem baseados em Linux. De acordo com um atendente, o Linux utilizado pela empresa é o Linux AS 5.0 Red Hat.
Atualização às 19h48 | A assessoria de imprensa da Red Hat disse desconhecer o sistema Linux AS 5.0 Red Hat, citado pela equipe de vendas da Locaweb.
Atualização em 22/set à 0h56 | Ao receber o comunicado da Red Hat, o TB tentou entrar em contato com a Locaweb para que a empresa de hospedagem se manifeste sobre o assunto. Aguardamos uma resposta.
Locaweb Rebate afirmação da Red Hat
Terça-feira, 21 de setembro de 2010 – 20h54
Contrato da Locaweb com a Red Hat é válido até 2011
SÃO PAULO – A Locaweb apresentou novos argumentos em sua defesa, após ser desmentida pela Red Hat em uma troca de afirmações sobre quem foi responsável pela falha que permitiu a crackers invadirem máquinas do serviço de hosting há uma semana.
O caso teve início há cinco dias, quando crackers invadiram serviços hospedadosna Locaweb. Na ocasião, a companhia de hospedagem responsabilizou uma aplicação da Red Hat pela vulnerabilidade que permitiu o ataque.
A reação da Red Hat veio hoje no início do dia. A desenvolvedora de soluções baseadas em Linux disse não ter contrato com a Locaweb e, portanto, não ter responsabilidade na crise de segurança do serviços de hospedagem.
A Red Hat explicou, ainda, que a suposta falha na solução em código aberto apresentada pela Locaweb como origem do ataques na verdade já possui uma correção, o que transfere a responsabilidade de volta para empresa de hosting, que deveria ter feito o update de segurança.
Já a Locaweb sustenta que não só possui uma conta na Red Hat (para a solução Linux Enterprise em nome de Gilbero Mautner, CEO da empresa brasileira) como diz que a atualização de segurança só foi divulgada hoje – vários dias depois do ataque cracker .
“Acessando o portal ‘Red Hat network’ no endereço rhn.redhat.com verifica-se que a solução para o bug documentado pela Red Hat no link https://access.redhat.com/kb/docs/DOC-40265 criado em 16 de setembro foi emitida somente 5 dias depois, dia 21 de setembro. Isto pode ser comprovado no link https://rhn.redhat.com/errata/RHSA-2010-0704.html que acessamos, inclusive, logados com nosso código de assinante”, afirma a Locaweb.
Thomaz Junior Weblog 