sitio hackeado

[Cristian Rodriguez]

El 30/11/05, Ricardo Albarracin B.<rab en bsd.cl> escribió:
> On Wed, 30 Nov 2005 13:48:18 -0300
> Cristian Rodriguez <judas.iscariote en gmail.com> wrote:
>
> > me explayo entonces :
> >
> > para que (en el caso que haya una aplicacion vulnerable en tu
> > sistema),que SIEMPRE la puede haber, nigun software es perfecto,
> > apache junto con PHP te dan bastantes alterntivas para mitigar un
> > potencial daño.
>
> En eso estamos de acuerdo y a eso apuntaba, entre otras cosas.
>
> > uitlizando la directiva open_basedir de php , dentro del la
> > configuracion del virtual host puedes limitar el acceso de las
> > aplicaciones en PHP, a uno o mas directorios que tu decidas.
> > o sea, si tu servidor esta bien configurado lo que mencionas de "cat
> > /etc/passwd" no se puede hacer.
> >
> > para el ejemplo que diste, es claramente un problema de configuracion.
>
> La verdad es que eso es el resultado final,

y no importa el resultado final ???

>pero los metodos usados no se resuelven
> con un "open_basedir" de hecho estaba configurado de buena forma, el problema es
> bastante mas complejo y tiene que ver como interpreta PHP las sentencias y comandos
> dentro del lenguaje en si....

si tu quires cambiar eso, envia parches a los desarrolladores.

pero tu problema es claramente de administracion, no actualizaste el
CMS cuando correspondia, y estas culpando al "chancho" no al que " le
da afrecho".



--
Cristian Rodriguez.
"for DVDs in Linux screw the MPAA and ; do dig $DVDs.z.zoy.org ; done | \
  perl -ne 's/\.//g; print pack("H224",$1) if(/^x([^z]*)/)' | gunzip"