sitio hackeado

[Cristian Rodriguez]

El 30/11/05, Ricardo Albarracin B.<rab en bsd.cl> escribió:
> On Wed, 30 Nov 2005 13:00:07 -0300
> Cristian Rodriguez <judas.iscariote en gmail.com> wrote:
>
> > > Hay metodos para hacerle hasta un "cat a /etc/passwd" por web....
> > Que tu NO sepas configurar correctamente el mysql, el apache y PHP no
> > es precisamente problema de las herrmientas GPL no?
> >
> > hint:
> > php.ini
>
> Si supieras realmente lo que hablas, pensarias un poco mas antes de dar esa respuesta
> TAN elaborada... el tema no es de configuracion, tiene mas que ver con el lenguaje, sus
> capacidades y la forma de desarrollar.... que no tiene nada que ver con la mala o buena
> forma de configurar la aplicacion...

me explayo entonces :

para que (en el caso que haya una aplicacion vulnerable en tu
sistema),que SIEMPRE la puede haber, nigun software es perfecto,
apache junto con PHP te dan bastantes alterntivas para mitigar un
potencial daño.

uitlizando la directiva open_basedir de php , dentro del la
configuracion del virtual host puedes limitar el acceso de las
aplicaciones en PHP, a uno o mas directorios que tu decidas.
o sea, si tu servidor esta bien configurado lo que mencionas de "cat
/etc/passwd" no se puede hacer.

para el ejemplo que diste, es claramente un problema de configuracion.

--
Cristian Rodriguez.
"for DVDs in Linux screw the MPAA and ; do dig $DVDs.z.zoy.org ; done | \
  perl -ne 's/\.//g; print pack("H224",$1) if(/^x([^z]*)/)' | gunzip"