El preocupante fallo de ayer del servidor de burbuja

fayser · 2012-08-30T14:37:54+0200

Le han regalado esto y se ha puesto a liarla, como siempre.

Y mira que ya se lo decían de pequeñito... "tate quieto querido líder".

barullo · 2012-08-30T15:43:38+0200

y tanto que preocupante...como que se me ha estropeado el pc

Lukytrike · 2012-08-30T15:53:24+0200

dionbouton dijo:
y UN HASH MD5 De la contrasenna . Eso quiere decir que ni siquiera burbuja -o querido líder- o cualquiera que tuviese acceso a la bd podria saber tu contrasenna . No hay forma de sacarla desde la bd. es imposible.

Hombre, tanto como imposible... MD5 tiene colisiones, con un gran diccionario de colisiones y un poco de suerte podrías encontrar unas cuantas.

Calculín · 2012-08-30T15:58:53+0200

Lukytrike dijo:
Hombre, tanto como imposible... MD5 tiene colisiones, con un gran diccionario de colisiones y un poco de suerte podrías encontrar unas cuantas.

Eso venía a decir yo, difícil no es lo mismo que imposible

시켈 ! · 2012-08-30T16:12:18+0200

querido líder dijo:
El fallo de ayer podría haber permitido a alguien ver el password de la base de datos, afortunadamente el acceso a la base de datos está deshabilitado para cualquier petición desde fuera de la propia máquina, con lo cual no serviría de nada.

No obstante, se agradece el aviso.

Pues ponle un thank en el post, so tacaño.:

:

Alvin Red · 2012-08-30T17:44:29+0200

Nada nuevo bajo el sol, del 16-abr-2008 .....

:

Alvin Red dijo:
querido líder, ve con cuidado ... hubo un rato la noche del 15 que el servidor estaba abierto en plan FTP, suerte que la parte de alias, contraseñas, etc. estaba protegida o no estaba alli.

<
/*======================================================================*\
|| #################################################################### ||
|| # vBulletin 3.5.8 - Licence Number SUPRIMIDO por mi
|| # ---------------------------------------------------------------- # ||
|| # Copyright ©2000-2007 Jelsoft Enterprises Ltd. All Rights Reserved. ||
<br />Content Relevant URLs by <a rel="nofollow" href="http://www.crawlability.com/vbseo/">vBSEO</a> 3.6.0
<br />Content Relevant URLs by <a rel="nofollow" href="http://www.crawlability.com/vbseo/">vBSEO</a> 3.6.0
|| # This file may not be redistributed in whole or significant part. # ||
|| # ---------------- VBULLETIN IS NOT FREE SOFTWARE ---------------- # ||
|| # http://www.vbulletin.com | http://www.vbulletin.com/license.html # ||
||

Hacer clic para expandir...

Al loro que luego hackean ....

y punto pelota · 2012-08-30T22:17:51+0200

dionbouton dijo:
o la direccion Ip desde la que te conectas.

Para algunas personas, no es tan problematico .

Pero para otras : -digamos-

Fulano_Menganez_Zutano@yahoo.com y la direccion IP apunta a Soria ... , la intimidad de esa persnoa esta seriamente comprometida.

En otras digamos

RosaRosae@hotmail.com y la IP apunta a Madrid ,pues no pasa nada de nada.

vidarr dijo:
Si alguien se da de alta en burbujolandia dando nombre real, email real y una contraseña que use en otros sitios, se merece todo cuanto le pase... ;D

Aviso a navegantes.

Calculín · 2012-08-30T22:21:01+0200

Para pillar la dirección IP de alguien no hay que explotar el servidor precisamente

dionbouton · 2012-08-30T22:40:33+0200

Calculín dijo:
Para pillar la dirección IP de alguien no hay que explotar el servidor precisamente

...ya , pero con "el truco" -que mejor no vamos a revelar- solo pillas la ultima IP del que esta conectado (que puede no interesar ) , mientras que mirando en la tabla de posts XXX_MFPostDB , pillas hora , dia , autor y IP desde la que se publico ese post.

El peligro en el caso del fallo de ayer es que en todos los foros hay un fichero que se llama XXXXXX.XXX que es el que php incluye cada vez que hace un dbConnect$

y dentro de ese fichero esta -literalmente-

-----------------------------------------------------------
$dbuser = "admin"
$dbpass = "patata" (obviamente es un ejemplo )
$dbhost = "127.0.0.0" ->Localhost.
-----------------------------------------------------------

Ese fichero ayer era publico (os lo aseguro ) , y lo mismo que lo pude haber visto yo -preferi no mirarlo para no meterme en lios , porque despues todo eso sale en los logs del apache - , lo debio haber visto hasta el tato.

Efectivamente , como querido líder tendra restringido el acceso admin del SQL a localhost , pues solo el podra entrar. El problema , es que muchas veces esa misma contrasenna *(de verdad espero que no sea el caso )* es la misma con la que se ssh(a) o se rdp-ea para entrar .

Cui Bono · 2012-08-30T23:58:18+0200

Para acceder a la base tienes que tener un servicio que haga de proxy. Eso es lo que significa que mySQL solo permita acceso a la base en localhost. Ese servicio podría ser Apache con phpMyAdmin, pero en realidad es Plesk con contraseña y su panel de control de las bases.

No tienes nada que hacer. Incluso cuando volvió a restaurar los mime-types y se volvió a ejecutar php en vez de descargar los archivos, tampoco tenías capacidad de ver la base porque tendrías que hacer ejecutar un php creado por tí, y como que no te creo capaz.

Te explicaría más, pero tengo restringido el acceso a los wannabes.

시켈 ! · 2012-08-31T00:08:12+0200

Calculín dijo:
Para pillar la dirección IP de alguien no hay que explotar el servidor precisamente

Bah, algún foro marca parte de la IP , creo que no toda(foro de facilísimo)
O por ejemplo te metes aquí: http://www.burbuja.info/inmobiliaria/1000884-post78.html y se ven las IP completas de los que participan(al menos la última vez que entré)

Reymambo_borrado · 2012-08-31T03:29:59+0200

¿Pero funciona la internet, no?

Soy Serio · 2012-08-31T09:41:28+0200

indenaiks dijo:
Para acceder a la base tienes que tener un servicio que haga de proxy. Eso es lo que significa que mySQL solo permita acceso a la base en localhost. Ese servicio podría ser Apache con phpMyAdmin, pero en realidad es Plesk con contraseña y su panel de control de las bases.

No tienes nada que hacer. Incluso cuando volvió a restaurar los mime-types y se volvió a ejecutar php en vez de descargar los archivos, tampoco tenías capacidad de ver la base porque tendrías que hacer ejecutar un php creado por tí, y como que no te creo capaz.

Te explicaría más, pero tengo restringido el acceso a los wannabes.

Tan simple como usar el mismo server de burbuja como proxy y acceder como root , es como si fueras el mismo localhost

dionbouton · 2012-08-31T10:49:04+0200

indenaiks dijo:
e porque tendrías que hacer ejecutar un php creado por tí, y como que no te creo capaz.

Te explicaría más, pero tengo restringido el acceso a los wannabes.

whoaaaaaaaao ..

ya me has impresionado.

...Si es que no somos nada....

blackholesun_borrado · 2012-08-31T12:36:16+0200

siken dijo:
Bah, algún foro marca parte de la IP , creo que no toda(foro de facilísimo)
O por ejemplo te metes aquí: http://www.burbuja.info/inmobiliaria/1000884-post78.html y se ven las IP completas de los que participan(al menos la última vez que entré)

tu calla que esto no es para tí!!!!

El preocupante fallo de ayer del servidor de burbuja

fayser

Será en Octubre

barullo

Será en Octubre

Lukytrike

Madmaxista

Calculín

Madmaxista

시켈 !

Lonchafinista.

Alvin Red

El antepenúltimo del floro

y punto pelota

Guest

Calculín

Madmaxista

dionbouton

Madmaxista

Cui Bono

So far, so good

시켈 !

Lonchafinista.

Reymambo_borrado

Guest

Soy Serio

Baneado

dionbouton

Madmaxista

blackholesun_borrado

Guest

Similar threads