Historias
Slashboxes
Comentarios
 
Búsqueda

Login Barrapunto

Login

[ Crear nueva cuenta ]

  • Linux
  • pobrecito hablador
  • Todo-Linux
  • aquí os explicamos todo al detalle
  • Más sobre el tema "Seguridad"
  • También de fernand0

    • Todo-Linux.com: historia de un ataque

    editada por fernand0 el 26 de Febrero 2004, 11:37h   Printer-friendly   Email story
    desde el dept. cuidado-con-los-nukes
    Seguridad
    pobrecito hablador nos cuenta: «Como ya sabeis Todo-Linux ha sido atacada esta mañana (hora Española 6:00). Después de analizar el ataque, hemos comprobado que muchísimas páginas PHPNUKE son vulnerables a dicho ataque, a continuación, enumeramos a grandes rasgos las sentencias que nos han ejecutado para atacar el sitio... aquí os explicamos todo al detalle». El ataque se produjo el otro día. Atentos los 'nukeros'.

    Este hilo ha sido archivado. No pueden publicarse nuevos comentarios.
    Todo-Linux.com: historia de un ataque | Log in/Crear cuenta | Top | 26 comentarios | Buscar hilo
    Mostrar opciones Umbral:
    Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.

    • Es lo que tiene el usar cosas "prefabricadas"

      (Puntos:1)
      por seapot (12028) el Jueves, 26 Febrero de 2004, 12:40h (#270087)
      ( http://angel.enredados.com/ | Última bitácora: Miércoles, 05 Septiembre de 2007, 11:29h )
      Que no tienes control sobre lo que haces. Yo suelo hacer mis páginas PHP "a pelo". Claro que tampoco he tenido que hacer nada grande (ahora es cuando alguíen ataca mi página y la revienta. O cuando me comentan que entonces, porque no tengo la página en un servidor propio, pero bueno) De todas formas cuando se empieza a extender mucho, se le empiezan a buscar fallos. Y recordad que no hay sistema perfecto.
      --
      ¿Necesitas una lista de tareas?:
      http://angel.enredados.com/porhacer

    • php y mysql 4.0

      (Puntos:3, Informativo)
      por manje (1495) el Jueves, 26 Febrero de 2004, 12:50h (#270088)
      ( http://www.manje.net/ | Última bitácora: Martes, 13 Diciembre de 2011, 19:35h )
      Por la pinta que tiene paraece ser un problema asociado a mysql 4, que permite subconsultas.
      Una página sencilla, para ver una noticia o cualquier cosa, en php, hace "select * from noticias where id=$id" , el caso es que en $id se pueden pasar parámetros, como a partir de la versión 4 de mysql un tipo de página con ese fallo deja al descubierto "chupar" cualquier campo de otra base de datos. El problema es que la página no es vulnerable con versiones anterior a mysql 4, pero en realidad el fallo de seguiridad está en código php.

    • inevitable

      (Puntos:2, Informativo)
      por ISeeDeadPeople (10644) el Jueves, 26 Febrero de 2004, 13:13h (#270104)
      ( http://www.fabio.com.ar/ )
      PHP Nuke está considerado el sistema de CMS más inseguro del mundo, basta con aplicar un Nessus contra un website que lo contenga y verán su recomendación terminante: "borrarlo" Yo lo usé hasta hace poco y ahora estoy usando uno propio, todavía me falta filtrar el contenido que se recibe como parámetro, pero hay algo claro: los que "hackean" páginas con nuke no son hackers. Si bien cualquier CMS es hackeable de la misma forma , estos son "hackers" (entre comillas) que hacen copy&paste para hacerlo, es decir, no saben que están haciendo pero saben que molesta. Así uno se encuentra con "grupos hackers" que sólo hacen inyecciones de SQL en sitios con nuke... si eso es ser hacker... pfffffffff pero bueno, es inevitable, idiotas sobran, el Nuke es un desastre en el tema seguridad y codificación y los programadores somos muy tontos también (me incluyo) ya que no programamos pensando en cómo nos van a joder, si no en que funcione, que sea bonito, etc... pero la seguridad... nos olvidamos siempre! El problema no está en que sea prefabricado, si no que está MAL prefabricado, ejejej, por eso me puse a programar el mío propio (que es totalmente vulnerable a inyecciones SQL por estar en desarrollo) pero que por lo menos estos "hackeritos" no encuentran formas de inyectar sql porque no saben nada de código PHP. La "fuente" de información siempre han sido los mismos foros de seguridad del nuke, como los tiempos para el parche son largos a veces, o los webmasters no nos enteramos... ahí está la brecha que permite el "ataque"
      --
      Only the good die young...
      • Re:inevitable de mka (Puntos:2) Jueves, 26 Febrero de 2004, 18:13h
        • Re:inevitable de x2l2 (Puntos:1) Viernes, 27 Febrero de 2004, 06:30h
      • Y PostNuke .. de Pec (Puntos:2) Jueves, 26 Febrero de 2004, 19:12h

    • Buf, pues con la cantidad de webs que hay en Nuke

      (Puntos:1)
      por Aloriel (9082) el Jueves, 26 Febrero de 2004, 13:24h (#270111)
      ( http://turismogoogle.net/ | Última bitácora: Martes, 19 Agosto de 2008, 06:18h )
      se lo pueden pasar en grande juakeando y juakeando, eso pasa por usar PHP-Nuke cuando hay alternativas mucho más seguras (postnuke [postnuke.com]) y equivalentes. Y si no, como dice otro comentario, programatelo tú mismo.
      --
      "Sólo los muertos han visto el final de la guerra" (Platón)

    • Re:sobre la página...

      (Puntos:1)
      por DonkeyMCP (9879) el Jueves, 26 Febrero de 2004, 15:53h (#270181)
      ( Última bitácora: Lunes, 04 Junio de 2018, 10:55h )
      Habiendo sistemas operativos más sencillos, seguros y bonitos que el Windows ¿por qué más del 80% de la gente se empeña en usarlo?
      [ Padre ]

    • Re:Eing?

      (Puntos:2)
      por puefale (4477) <{puefale} {at} {yahoo.com}> el Viernes, 27 Febrero de 2004, 08:28h (#270356)
      ( http://barrapunto.com/~puefale/bitacora | Última bitácora: Jueves, 01 Mayo de 2014, 10:26h )
      Precisamente esa es la gracia de un buen ataque, que el atacado no se entere, a no ser que el atacante quiera que se entere, claro...
      --
      Pué fueno, pué fale, pué m'alegro.
      Maquinavaja.
      [ Padre ]
    • 3 respuestas por debajo de tu umbral de lectura actual.