Ayuda en bajada de phishing (sertotal.cl)
Rodrigo Fuentealba
darkprox en gmail.com
Mie Dic 20 00:07:47 CLST 2006
2006/12/19, Arturo Mardones <katador en gmail.com>:
> Sres.
>
> Dsps de leer este thread... (uno de esos de antologia que tiene esta
> lista, pq esta casi para guion de telenovela, pq falta no mas saber q
> paso con la demanda)
De hecho, ya tengo a un par de escritores para hacer la version
computina de /Huaiquiman y Tolosa/. Actuan Nano y Bilo, de hecho, y
este sera el caso final (a lo mas Tarantino).
> y q por cierto partio muy interesante, con el
> llamado de Miranda en busca de alguien de la empresa para avisar y que
> aporto datos legales del tema que no conocia. [... y otras cosas mas ...]
El procedimiento ya se ha discutido aca, mas de una vez en este
thread. El cuento es que hay que avisar. No me gustaria que a algun
sistema mio le pillaran una pifia y no me avisaran...
> Ahora sobre el tema de seguridad, que por cierto me preocupa pues
> estoy proximo a sacar algunas paginas web en la empresa... alguien
> sabe que tan "facil" o mejor dicho, que nivel de conocimientos hay que
> tener para hacer pishing en apache, esto varia mucho entre 1.3 o 2.
En este caso al parecer fue culpa de PHP, no de Apache.
Siempre debes tener en cuenta que modulos de apache que no utilizaras
(por ejemplo, mod_imap y mod_rewrite, a menos que este ultimo lo
requieras expresamente para tu aplicacion) no solo a~aden mas peso a
tu Apache, sino que tambien a~aden codigo que debe ser mantenido, y
esto es igual para Apache 1.3 o 2.0.
He visto mucha gente que activa los VirtualHosts sin necesidad:
tambien es deleteable, ya que agrega escuchas y codigos y cosas asi
que tambien son vulnerables.
Con PHP, una laaaaaaaaaaaaaaaarga lista de recomendaciones:
1.- fuera todo exec();
2.- fuera todo allow_url_include() y allow_url_fopen();
3.- fuera todo mysql_query (usa adodb o creole en vez de eso)
4.- fuera todo include o require, mejor usa include_once y require_once
5.- fuera todo readfile(); usa file_get_contents() si quieres parsear algo.
6.- please usa PHP 5.2... PHP 4 deberia extinguirse para desarrollos nuevos.
Con MySQL, una sola recomendacion: Usa PostgreSQL mejor, por mucho que
Cristian Rodriguez lo defienda a brazo partido.
> Que pasa con IIS 5 o 6? es mas facil o dificil hacer estas maldades?
Con IIS 5, la solucion es ir a hablarle al gran telefono blanco.
Si tienes IIS 6 /bien/ configurado (cosa que no es tan facil como
parece: por mucho que sea usando el mouse, la cosa se complica
/bastante/ y lo digo por experiencia propia), la unica posibilidad de
hacer phishing es consiguiendo acceso fisico a la maquina. De otra
forma, basta que manejes bien el Visual Studio .NET y las relaciones
de confianza entre servidores para ownear un sitio completo.
IIS 7 va por la linea de SQL/2005. Los tipos hacen gala de su pericia
(por fin Microsoft deja la herencia MSDN.) y ofrecen como 5000 dolares
por quien le pille una pifia. Claro que para eso hay que tener Windows
Vista Enterprise y unos 8 Gb de RAM por lo bajo.
> Si hago un sitio con Joomla, que riesgos corro?
MILES! (sorry las mayusculas, pero Joomla tiene un historial de
seguridad mas bien malo). Si no requieres contenidos dinamicos, o si
los que requieres no son muchos, es mejor utilizar paginitas html o
algun template manager como PHPTAL o Smarty.
> alguien tiene algun link interesante para leer? sobre estas cosas.
Como andas con el ingles? te interesaria mirar por secunia,
securityfocus y un par mas. Tambien el blog de Stefan Esser (o no,
Cristian?) que es uno de los personajes que mas ha aportado a la
seguridad de aplicaciones en PHP. Y (aqui va el gui~o a la lista
Chix...), las PHP Women tienen articulos interesantisimos sobre como
asegurar aplicaciones en Web, concretamente unos de Elizabeth
Naramore.
> Porque alguna vez,
> tuve la graciosa suerte de un defaced en mambo, que agradeci
> enormemente a quien me aviso, esto fue cuando a mega.cl tb tuvo
> problemas.
Joomla es Mambo++ (object-oriented)...
> Saludos!
Saludos.
[[ Si sigo metiendo la cuchara cuando alguien pregunte sobre sistemas
MS, seguro me van a exorcizar... ]]
--
Rodrigo Fuentealba Cartes
Desarrollador de Sistemas Web
Registered User 387639 - http://counter.li.org
Más información sobre la lista de distribución Linux