Sabemos que mod_security es una gran forma de proteger nuestros servidores.
Sin embargo, en mod_security 1.x los usuarios podían deshabilitarlo en el archivo .htaccess. Existen algunos exploits que aprovechan esa vulnerabilidad en seguridad, como por ejemplo syrian shell.
No obstante, mod_security 2.x ya no es posible deshabilitarla desde archivos .htacess.
La recomendación es utilizar la versión 2.x lo antes posible.
lunes, 29 de agosto de 2011
viernes, 19 de agosto de 2011
Como prevenir que los usuarios modifiquen php.ini
Cuando usamos suPHP es posible que nuestros usuarios creen un archivo php.ini en la misma carpeta que su script, lo que les permite sobreescribir cualquier directiva de seguridad que tengamos.
Para terminar con este problema debemos editar el archivo configuracion de suphp:
Y lo modificaremos de la siguiente forma:
Luego reiniciamos apache y asunto arreglado.
Para terminar con este problema debemos editar el archivo configuracion de suphp:
# nano /opt/suphp/etc/suphp.confY lo modificaremos de la siguiente forma:
[phprc_paths]
;Uncommenting these will force all requests to that handler to use the php.ini
;in the specified directory regardless of suPHP_ConfigPath settings.
application/x-httpd-php=/usr/local/lib/
application/x-httpd-php4=/usr/local/lib/
application/x-httpd-php5=/usr/local/lib/
Luego reiniciamos apache y asunto arreglado.
martes, 16 de agosto de 2011
Como limpiar una cuenta hackeada
Como administradores a veces nos enfrentamos a que alguna de nuestras cuentas han sido hackeadas.
Primero que todo debemos restaurar los archivos originales en caso de que haya tratado de un defacement. En un defacement, el delincuente modifica el archivo index del sitio para poner algún tipo de mensaje de su interés.
Después que restablecimos la apariencia del sitio web dañado debemos buscar los scripts que el atacante habrá dejado en la cuenta con la finalidad de repetir una y otra vez su hazaña.
Para eso utilizaremos el comando:
Con el primer comando nos moveremos a la raíz de la cuenta atacada. Debemos reemplazar cuenta_atacada por el username real de la cuenta que fue atacada.
El segundo comando nos muestra una lista de todos los archivos que fueron modificados durante las últimas 24 horas. Si nuestra cuenta fue hackeada antes de un día, debemos cambiar el -1 por un -2 para dos días, -3 para tres días, y así sucesivamente.
Identificados los scripts procedemos a eliminarlos o a clasificarlos según sean las políticas de nuestra administración.
Luego debemos revisar las bases de datos para ver si nuestro atacante se creó una cuenta de usuario administrador, cosa típica para sitios con Joomla! u OsCommerce y eliminarla.
Podemos dejarlo hasta aquí, pero todavía debemos determinar cómo fue vulnerada la cuenta para poder tomar las medidas necesarias de modo de evitar que se vuelva a repetir en el futuro.
Primero que todo debemos restaurar los archivos originales en caso de que haya tratado de un defacement. En un defacement, el delincuente modifica el archivo index del sitio para poner algún tipo de mensaje de su interés.
Después que restablecimos la apariencia del sitio web dañado debemos buscar los scripts que el atacante habrá dejado en la cuenta con la finalidad de repetir una y otra vez su hazaña.
Para eso utilizaremos el comando:
cd /home/cuenta_atacada/public_html
find . -mtime -1Con el primer comando nos moveremos a la raíz de la cuenta atacada. Debemos reemplazar cuenta_atacada por el username real de la cuenta que fue atacada.
El segundo comando nos muestra una lista de todos los archivos que fueron modificados durante las últimas 24 horas. Si nuestra cuenta fue hackeada antes de un día, debemos cambiar el -1 por un -2 para dos días, -3 para tres días, y así sucesivamente.
Identificados los scripts procedemos a eliminarlos o a clasificarlos según sean las políticas de nuestra administración.
Luego debemos revisar las bases de datos para ver si nuestro atacante se creó una cuenta de usuario administrador, cosa típica para sitios con Joomla! u OsCommerce y eliminarla.
Podemos dejarlo hasta aquí, pero todavía debemos determinar cómo fue vulnerada la cuenta para poder tomar las medidas necesarias de modo de evitar que se vuelva a repetir en el futuro.
Could not fetch uid or gid for root
Es posible que alguna vez que intentamos entral al panel WHM nos encontremos con el siguiente mensaje:
Internal Server Error
Could not fetch uid or gid for : root
Por suerte la causa de este problema es muy sencilla y su solución también lo es:
Lo que pasa es que estamos tratando de ingresar como usuario root al cPanel, cuando debemos ingresar al WHM.
Probablemente estamos ingresando a:
http://www.midominio.com/cpanel
Cuando debemos ingresar a:
http://www.midominio.com/whm
Internal Server Error
Could not fetch uid or gid for : root
Por suerte la causa de este problema es muy sencilla y su solución también lo es:
Lo que pasa es que estamos tratando de ingresar como usuario root al cPanel, cuando debemos ingresar al WHM.
Probablemente estamos ingresando a:
http://www.midominio.com/cpanel
Cuando debemos ingresar a:
http://www.midominio.com/whm
Como modificar el puerto SSH
Como medida de seguridad muchos administradores quieren modificar el puerto SSH cuyo numero es 22.
Para hacerlo, basta seguir los siguientes pasos:
1. Ingrese a su servidor vía SSH
Puede utilizar un programa llamado PUTTY o bien TeraTerm. Nosotros recomendamos el segundo.
2. Modifique el puerto de acceso
Para modificar el puerto de acceso debemos ejecutar los siguientes comandos:
En caso de que no dispongamos de la herramienta nano, podemos instalarla con el siguiente comando:
Luego debemos asegurarnos de modificar los siguientes parametros:
Podemos modificar el numero de puerto al que queramos, pero no olvidemos que debe estar abierto en el firewall, o perderemos el control de nuestro servidor. Se recomienda utilizar "Protocol 2"
Finalmente tenemos que reiniciar el servicio SSH:
A partir de este momento debemos conectarnos via SSH utilizando el nuevo puerto.
Para hacerlo, basta seguir los siguientes pasos:
1. Ingrese a su servidor vía SSH
Puede utilizar un programa llamado PUTTY o bien TeraTerm. Nosotros recomendamos el segundo.
2. Modifique el puerto de acceso
Para modificar el puerto de acceso debemos ejecutar los siguientes comandos:
# nano /etc/ssh/sshd_configEn caso de que no dispongamos de la herramienta nano, podemos instalarla con el siguiente comando:
# yum install nanoLuego debemos asegurarnos de modificar los siguientes parametros:
Port 22
Protocol 2Podemos modificar el numero de puerto al que queramos, pero no olvidemos que debe estar abierto en el firewall, o perderemos el control de nuestro servidor. Se recomienda utilizar "Protocol 2"
Finalmente tenemos que reiniciar el servicio SSH:
# service sshd restartA partir de este momento debemos conectarnos via SSH utilizando el nuevo puerto.
Las entradas del cPanel
cPanel tiene varias entradas a las distintas zonas de trabajo.
Vamos a revisar para conocerlas para ver qué podemos hacer con nuestro cPanel:
1. Panel de control WHM
El panel de control WHM permite al usuario administrador, llamado root, o al usuario reseller, administrar las cuentas que posee dentro del servidor. Así también permite realizar y modificar todo tipo de configuraciones en los servicios de correo o de web.
Para ingresar al WHM, debemos utilizar alguna de las siguientes formas:
Forma clásica: http://www.midominio.com/whm
Forma clásica alternativa: http://whm.midominio.com
Directo al puerto sin SSL: http://www.midominio.com:2086
Directo al puerto con SSL: https://www.midominio.com:2087
Para poder ingresar al WHM debemos tener abierto el puerto 2086 o 2087 en nuestro firewall.
Si tenemos dichos puertos cerrados, debemos utilizar la forma clásica alternativa que utiliza el puerto 80.
2. Panel de control cPanel
El panel de control cPanel es la zona donde cada usuario puede administrar sus propios recursos, como sus cuentas de correo, filtros de correo, redireccionamientos, dominios adicionales, subdominios, cuentas de FTP y mucho más.
Las formas de ingreso son:
Forma clásica: http://www.midominio.com/cpanel
Forma clásica alternativa: http://cpanel.midominio.com
Directo al puerto sin SSL: http://www.midominio.com:2082
Directo al puerto con SSL: https://www.midominio.com:2083
Cuando tenemos cerrados los puertos 2082 y 2083 en nuestra red, solamente podremos utilizar la forma clásica alternativa.
3. Webmail
El webmail es la zona donde cada usuario de correo electrónico puede ingresar para leer o enviar correos, pero permite también crear autorespuestas y cambiar la contraseña.
Las formas de ingreso son:
Forma clásica: http://www.midominio.com/webmail
Forma clásica alternativa: http://webmail.midominio.com
Directo al puerto sin SSL: http://www.midominio.com:2095
Directo al puerto con SSL: https://www.midominio.com:2096
Igual que en los casos anteriores, si tenemos cerrados los puertos 2095 y 2096 solamente podremos utilizar la forma clásica alternativa.
Vamos a revisar para conocerlas para ver qué podemos hacer con nuestro cPanel:
1. Panel de control WHM
El panel de control WHM permite al usuario administrador, llamado root, o al usuario reseller, administrar las cuentas que posee dentro del servidor. Así también permite realizar y modificar todo tipo de configuraciones en los servicios de correo o de web.
Para ingresar al WHM, debemos utilizar alguna de las siguientes formas:
Forma clásica: http://www.midominio.com/whm
Forma clásica alternativa: http://whm.midominio.com
Directo al puerto sin SSL: http://www.midominio.com:2086
Directo al puerto con SSL: https://www.midominio.com:2087
Para poder ingresar al WHM debemos tener abierto el puerto 2086 o 2087 en nuestro firewall.
Si tenemos dichos puertos cerrados, debemos utilizar la forma clásica alternativa que utiliza el puerto 80.
2. Panel de control cPanel
El panel de control cPanel es la zona donde cada usuario puede administrar sus propios recursos, como sus cuentas de correo, filtros de correo, redireccionamientos, dominios adicionales, subdominios, cuentas de FTP y mucho más.
Las formas de ingreso son:
Forma clásica: http://www.midominio.com/cpanel
Forma clásica alternativa: http://cpanel.midominio.com
Directo al puerto sin SSL: http://www.midominio.com:2082
Directo al puerto con SSL: https://www.midominio.com:2083
Cuando tenemos cerrados los puertos 2082 y 2083 en nuestra red, solamente podremos utilizar la forma clásica alternativa.
3. Webmail
El webmail es la zona donde cada usuario de correo electrónico puede ingresar para leer o enviar correos, pero permite también crear autorespuestas y cambiar la contraseña.
Las formas de ingreso son:
Forma clásica: http://www.midominio.com/webmail
Forma clásica alternativa: http://webmail.midominio.com
Directo al puerto sin SSL: http://www.midominio.com:2095
Directo al puerto con SSL: https://www.midominio.com:2096
Igual que en los casos anteriores, si tenemos cerrados los puertos 2095 y 2096 solamente podremos utilizar la forma clásica alternativa.
Suscribirse a:
Entradas (Atom)