sitio hackeado

Horst von Brand vonbrand en inf.utfsm.cl
Mie Nov 30 21:47:52 CLST 2005


Ricardo Albarracin B. <rab en bsd.cl> wrote:

[...]

> Es TAN CIERTO esto que muchos "desarrolladores" se molestan ante la
> evidencia "tan dura", pero es la verdad... de hecho me han hackeado mi
> sitio que estaba desarrollado en productos GPL usando:

> 	-PHP sobre apache usando (adivinen) MySQL, sobre Mambo.
> 	Como la gran mayoria de los sitios...
> 
> 	Hay un exploit que aun no se ha estudiado en detalle. 

Lo tienes por alli? A mi me interesaria mirarlo...

> Hay metodos para hacerle hasta un "cat a /etc/passwd" por web....SI a ese
> nivel y lo he hecho ya que no lo podia creer, despues de eso quede con
> cita al sicologo para que me saque el trauma, causado, estoy en
> tratamiento y se requieren al menos 5 sesiones.

> La verdad despues de esta amarga experiencia... nunca volvere a usar
> MySQL y otras herramientas comunes...

Cuidado... la rana mas probablemente este en PHP mal programado que MySQL.


> [.....] En lo demas concuerdo plenamente con Alvaro, hay que sacar los
> dogmas y malas costumbres de los desarrolladores y usar herramientas de
> verdad...

El punto es que /ahora/ o /para esta lesera/ basta un juguete, pero si la
lesera crece (/todos/ los proyectos exitosos comienzan como meros juguetes,
vide Linux) el juguete queda corto... y alli /duele/ migrar. Y no solo hay
que pensar en la lesera individual, habra cosas para las cuales lo mejor es
MySQL, otra para lo cual BerkeleyDB es ideal, la de mas alla se las arregla
de lo mas bien con una cosa construida con hashes en Perl, y alguna otra
simplemente aplica grep(1), join(1), cut(1), ... para sus necesidades. El
costo /sumado/ de esos "optimos locales" al final es mucho mas que aplicar
/una/ alternativa, incluso alguna que permita crecer hacia aplicaciones mas
complejas cuando se requiera.

> Hay varias frases el respecto que ejemplifican este ejemplo.... algunas
> mas violentas que otras, pero el tema pasa por aprender a usar
> herramientas de verdad.... MUY NECESARIO en estos dias, en que las redes
> se han convertido en medio muy toxicos...

Una razon mas para elegir /un/ juego de herramientas.
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                     Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria              +56 32 654239
Casilla 110-V, Valparaiso, Chile                Fax:  +56 32 797513


Más información sobre la lista de distribución Linux