« anterior próximo »
Páginas: [1]   Ir Abajo

Autor Tema: [Cuidado]Ninguna empresa esta segura..  (Leído 829 veces)

Desconectado FuriaHost

  • PHPerit@
  • *
  • Mensajes: 17
  • Karma: 0
  • Nuev@ PHPer@
    • Ver Perfil
[Cuidado]Ninguna empresa esta segura..
« en: 17 de Julio de 2012, 15:53:53 pm »
Hola,

Bueno el problema con el cual hackearon muchas veces serversna y sus clientes, el usuario que lo hizo o quienes lo hicieron ya me notificaron el problema y ninguna empresa que venda cuenta cpanel o hosting cpanel esta segura.

Porque no esta segura?
Te pueden joder con 1 solo archivo php, es una nueva forma hack que salio a la net pero pocos lo saben y lo usan. (Symlink)

Que hace?
Bueno solo tienen que comprar un host en tu empresa suben el archivo y ya esta tienen acceso a todas tus cuentas que esten alojado a tu servidor. La verdad solo he visto funcionando en cpanel en ningun otro. Con este archivo los ahckers no pueden modificar archivos en los host, pero pueden verlos el source y config.php todo hasta los datos de la db que tengas todo.

La verdad la unica empresa que he visto que ellos modificaron algo del servidor es www.furiahost.com con ayuda de ese amigo se lo pase a unos de los dueños y ellos pudieron quitar.

Aqui les dejo unos pantas del hack:
[spoiler][/spoiler]
[spoiler][/spoiler]
Con solo dar click en symlink puedes ver todo los archivos que contiene el host o la web alojada,(el panta 2 creo que me paso el config.php de goodweb.es)
En línea


Consigue 1 dominio GRATIS!! Por la compra de Hosting pagos .
http://www.furiahost.com/

Comunidad PHPeros

[Cuidado]Ninguna empresa esta segura..
« en: 17 de Julio de 2012, 15:53:53 pm »

Desconectado CarlosRdrz

  • Moderador Global
  • PHPero Master
  • *****
  • Mensajes: 2.505
  • Karma: 131
  • Sexo: Masculino
  • A.k.a. TLX
    • Ver Perfil
Re:[Cuidado]Ninguna empresa esta segura..
« Respuesta #1 en: 17 de Julio de 2012, 16:21:45 pm »
Hola!

He estado investigando, y esta vulnerabilidad no es "muy nueva".
Hay noticias de ella desde principios del año pasado.

Hay algunos foros en internet que explican como arreglarlo.
Básicamente el problema es que un usuario crea un Symlink desde su cuenta al directorio raiz del server "/", y a partir de ahí puede leer todos los archivos para los que tenga permisos de lectura, que generalmente abarcan los de los otros usuarios.

Solución: desactivar la directiva FollowSymLinks de Apache, de forma que no puedan sobreescribirla con el archivo .htaccess
Problema: algunos scripts como Joomla necesitan esta directiva, y por lo tanto habrá problemas con los usuarios que usen scripts como este.

¿Como desactivar la directiva FollowSymLinks?
En general está desactivada, son los usuarios los que la activan modificando el archivo .htaccess
Por lo tanto lo que tenemos que hacer es desactivar la posibilidad de activar FollowSymLinks, es decir, cambiar la opción "Override".
En http://www.webhostingtalk.com/archive/index.php/t-1091567.html explican que, en el archivo httpd.conf sustituyas las lineas que son más o menos como

Código: [Seleccionar]
<Directory "/">
Options +ExecCGI -FollowSymLinks Includes IncludesNOEXEC Indexes MultiViews SymLinksIfOwnerMatch
AllowOverride All
</Directory>
A estas otras

Código: [Seleccionar]
<Directory "/">
Options +ExecCGI -FollowSymLinks Includes IncludesNOEXEC Indexes MultiViews SymLinksIfOwnerMatch
AllowOverride AuthConfig FileInfo Indexes Limit Options=Includes,Indexes,MultiViews
</Directory>
El caso es que en AllowOverride en lugar de All (que implica que los usuarios puedan sobreescribir todas las opciones en los archivos .htaccess) ponemos una lista de las acciones que se puede sobreescribir, y la opcion FollowSymLinks no está entre ellas.

Re*****: cuidado con sistemas que usen symlinks como Joomla, que dejarán de funcionar.
Hay que encontrar una solución a esto.

Por ultimo, quiero decir que esto no es una vulnerabilidad de cPanel, si no de Apache (también funciona con otro script que no sea cPanel) pero más que "vulnerabilidad" yo lo describiría como error de configuración, puesto que no es un "bug" de Apache.

Un saludo
En línea
La dedicación de mi respuesta sera directamente proporcional a la dedicación de tu pregunta.
Hacer códigos que entiendan las máquinas es fácil, lo difícil y realmente útil es hacer códigos que entiendan las personas.
http://twitter.com/CarlosRdrz
http://www.carlosrdrz.es

Desconectado HunterCash97

  • PHPerit@
  • *
  • Mensajes: 44
  • Karma: 0
  • Sexo: Masculino
    • Ver Perfil
    • ºº--Mundo-Adictos--ºº Diversión sin limites !!
Re:[Cuidado]Ninguna empresa esta segura..
« Respuesta #2 en: 02 de Agosto de 2012, 03:13:05 am »
   Bueno, debido a esto, quisiera decirte que estás advirtiendo a los que tienen sitios y eso.

  Pero también estás hacer que mas gente conozca estos métodos de "Hacking", así mas sitios van a caer bajo su poder. Ten mas cuidado con lo que publicas, aunque también podrías dar una forma de evitar esos ataques.

  Saludos.
En línea
HunterCash - WebMaster, Experto en HTML y aprendiendo otros lenguajes

Tutoriales:

http://www.phperos.net/foro/index.php?topic=8765.0  - Tutorial HTML Parte 1.

http://www.phperos.net/foro/index.php?topic=8774.0 - Tutorial HTML Parte 2.

Desconectado AlejoSketch

  • PHPero Avanzado
  • ****
  • Mensajes: 339
  • Karma: 12
  • Sexo: Masculino
  • Aprendiendo algo nuevo cada día!
    • Ver Perfil
Re:[Cuidado]Ninguna empresa esta segura..
« Respuesta #3 en: 02 de Agosto de 2012, 05:19:13 am »
"La verdad la unica empresa que he visto que ellos modificaron algo del servidor es www.furiahost.com con ayuda de ese amigo se lo pase a unos de los dueños y ellos pudieron quitar."

No creo que sea la única, además pensé que tu mismo eras el dueño por tu nombre de usuario.
En línea

Desconectado CarlosRdrz

  • Moderador Global
  • PHPero Master
  • *****
  • Mensajes: 2.505
  • Karma: 131
  • Sexo: Masculino
  • A.k.a. TLX
    • Ver Perfil
Re:[Cuidado]Ninguna empresa esta segura..
« Respuesta #4 en: 02 de Agosto de 2012, 22:17:31 pm »
Cita de: HunterCash97 en 02 de Agosto de 2012, 03:13:05 am
   Bueno, debido a esto, quisiera decirte que estás advirtiendo a los que tienen sitios y eso.

  Pero también estás hacer que mas gente conozca estos métodos de "Hacking", así mas sitios van a caer bajo su poder. Ten mas cuidado con lo que publicas, aunque también podrías dar una forma de evitar esos ataques.

  Saludos.

Hola,

No ha sido involuntario. No veo nada de malo en publicarlo.
Son las empresas las que deben proteger a sus usuarios, a sus sistemas y a sus servidores.
Doy el método y también la solución (solución parcial, pero solución al fin y al cabo).

Con esa información se puede realizar un ataque, y también se pueden defender de él.
Yo doy la información, pero no digo como utilizarla, y creo que es lo correcto. Que cada cual sea responsable con la información. Tanto los "hackers" (si se pueden llamar así) respecto a usar esto con empresas, como a las "empresas" (si se pueden llamar así) respecto a defender sus sistemas y a sus clientes.

Un saludo
En línea
La dedicación de mi respuesta sera directamente proporcional a la dedicación de tu pregunta.
Hacer códigos que entiendan las máquinas es fácil, lo difícil y realmente útil es hacer códigos que entiendan las personas.
http://twitter.com/CarlosRdrz
http://www.carlosrdrz.es
Páginas: [1]   Ir Arriba
« anterior próximo »