sitio hackeado

[Ricardo Albarracin B.]

On Wed, 30 Nov 2005 13:48:18 -0300
Cristian Rodriguez <judas.iscariote en gmail.com> wrote:

> me explayo entonces :
> 
> para que (en el caso que haya una aplicacion vulnerable en tu
> sistema),que SIEMPRE la puede haber, nigun software es perfecto,
> apache junto con PHP te dan bastantes alterntivas para mitigar un
> potencial daño.

En eso estamos de acuerdo y a eso apuntaba, entre otras cosas.

> uitlizando la directiva open_basedir de php , dentro del la
> configuracion del virtual host puedes limitar el acceso de las
> aplicaciones en PHP, a uno o mas directorios que tu decidas.
> o sea, si tu servidor esta bien configurado lo que mencionas de "cat
> /etc/passwd" no se puede hacer.
> 
> para el ejemplo que diste, es claramente un problema de configuracion.

La verdad es que eso es el resultado final, pero los metodos usados no se resuelven
con un "open_basedir" de hecho estaba configurado de buena forma, el problema es
bastante mas complejo y tiene que ver como interpreta PHP las sentencias y comandos
dentro del lenguaje en si.... Hay documentacion en la WEB que habla de estos temas en 
todo caso y no son las tribialidades que al parecer interpretaste.


> --
> Cristian Rodriguez.
> "for DVDs in Linux screw the MPAA and ; do dig $DVDs.z.zoy.org ; done | \
>   perl -ne 's/\.//g; print pack("H224",$1) if(/^x([^z]*)/)' | gunzip"