[AYUDA] servidor sobrecargado... la continuacion...
javier delgado
javierd en paralax.com.mx
Jue Jul 1 00:15:12 CDT 2010
mhhh.
Ya entendi lo de "a la mexicana".... seguro que si les digo a los
desarrolladores lo que estoy haciendo... alguno va a saltar.
Pero me parece buena idea.
Acaban de reportarme una actualizacion "de seguridad" la vo a isntalar,
en lo que leo si arregla alguno de estos problemas
YA me estare reportando...
Ya van varios bugs que les reporto...
javier
Paynalton escribió:
> Pues por lo que veo el archivo no hace una validación de permisos
> realmente....
>
> Vamos a hacer un arreglo a la mexicana jejjej. Primero altera la línea
> 102 y agrega lo siguiente:
>
> $options->message = $message."<<<".$options->user_id.">>>" ;
>
> Deja que se publiquen algunos spam y hasta el final del mensaje te
> aparecerá una línea como: "<<<123>>>>"... anota el número que aparece
> y revisa otros spams, debe de coincidir en todos ellos y además ser
> diferente del que aparece en los mensajes de tus usuarios reales. Una
> vez que tengas el número, devuelve esa línea a como estaba y en la
> línea 104 agrega lo siguiente:
>
> if($options->user_id=="Aqui va el numero que anotaste")
> {
> session_destroy();
> header("location:/");
> exit;
> }
>
> Con eso creo que será suficiente para detenerlos al menos hasta que
> encuentren otro agujero...
>
> Esto no es un parche como tal, es una "solución a la mexicana"... si
> quieres un buen parche, necesitaré el archivo donde viene las clases
> "AgoraPostController" y "Agora" para ver exáctamente donde diablos
> está esa vulnerabilidad jejje.
>
> Si un ave no rompe su huevo morirá antes de nacer.
> Nosotros somos el ave y el mundo es nuestro huevo.
> POR LA REVOLUCIÓN DEL MUNDO!!!!
>
> Ciudad de México
>
>
> El 30 de junio de 2010 23:25, javier delgado <javierd en paralax.com.mx
> <mailto:javierd en paralax.com.mx>> escribió:
>
> Hola
>
> Si estaba intrigado por ese mensaje en blanco...
>
> El link, al picarlo. me crea un mensaje en blanco.. efectivamente
> eso es una falla de seguridad a que voy a reportar.
>
> En lo personal no pude crear un mensaje en blanco directamente
> desde el foro... pero con ese link si se puede.
>
> anexo el script que corresponde a esa llamada. dado que es
> software abierto, no creo que exista problema... no se mucho de
> php, asi que no entiendo mucho... como para poderlo parchar.
>
> Tengo dos foros, uno es muy viejo y ya esta inactivo, solo lo
> tengo en linea porque tiene mas de 10 años de conversaciones y
> chismes... ademas de que el software tiene casi 7 años sin ninguna
> actualizacion. Solo deje activas las opciones de busqueda. aun
> asi, me reporta casi 23,000 visitas al mes..
>
> por cierto este es mi sitio personal... asi que le he metido hasta
> el molcajete... para aprender que debo hacer y que no... De
> momento en los sitios de mis clientes no he puedo ningun foro...
> pero eventualmente tendre que ponerlo.
>
> compatibles con joomla hay varios foros.. pero este "agora" me
> gusto, pero aun tiene asuntos pendientes que resolver, comparados
> con otros foros mas maduros. Pero por otro parte el equipo de
> desarrollo esta muy activo y usualmente responden muy rapido...
>
> Javier
>
> Paynalton escribió:
>> a ver mira, tienes problemas de seguridad con el archivo:
>> http://mundo.paralax.com.mx/index.php/foro/post/topic/save.html
>>
>> Al parecer no está comprobando por completo el formulario que se
>> le envía, de hecho por alli postee un mensaje en blanco, sin
>> título y sin mensaje, cosa que no debiera estar permitida.
>>
>> Ese mensaje está en:
>> http://mundo.paralax.com.mx/index.php/foro/topic.html?id=1145
>> para que lo borres.
>>
>> Como sea, dado que ese es el archivo encargado de recibir las
>> peticiones, busca el archivo y pásanos el código fuente para ver
>> si hay forma de parcharlo.
>>
>> Veo que tienes otros foros, usas el mismo sistema en ellos?
>>
>>
>>
>>
>>
>> Si un ave no rompe su huevo morirá antes de nacer.
>> Nosotros somos el ave y el mundo es nuestro huevo.
>> POR LA REVOLUCIÓN DEL MUNDO!!!!
>>
>> Ciudad de México
>>
>>
>> El 29 de junio de 2010 11:10, javier delgado
>> <javierd en paralax.com.mx <mailto:javierd en paralax.com.mx>> escribió:
>>
>> Con gusto:
>>
>> http://mundo.paralax.com.mx
>>
>> Javier
>>
>> Paynalton escribió:
>>
>> Puedes pasarme el link de tu foro, quisiera ver por mi
>> mismo si encuentro una vulnerabilidad...
>>
>>
>> Si un ave no rompe su huevo morirá antes de nacer.
>> Nosotros somos el ave y el mundo es nuestro huevo.
>> POR LA REVOLUCIÓN DEL MUNDO!!!!
>>
>> Ciudad de México
>>
>>
>> El 29 de junio de 2010 09:41, Miguel Guirao
>> <miguel.guirao en mail.telcel.com
>> <mailto:miguel.guirao en mail.telcel.com>
>> <mailto:miguel.guirao en mail.telcel.com
>> <mailto:miguel.guirao en mail.telcel.com>>> escribió:
>>
>>
>> Ya se está aclarando el asunto!!!
>>
>>
>>
>> ------------------------------------------------------------------------
>>
>> *From:* ayuda-linux en googlegroups.com
>> <mailto:ayuda-linux en googlegroups.com>
>> <mailto:ayuda-linux en googlegroups.com
>> <mailto:ayuda-linux en googlegroups.com>>
>> [mailto:ayuda-linux en googlegroups.com
>> <mailto:ayuda-linux en googlegroups.com>
>> <mailto:ayuda-linux en googlegroups.com
>> <mailto:ayuda-linux en googlegroups.com>>] *On Behalf Of
>> *javier delgado
>> *Sent:* Monday, June 28, 2010 8:53 PM
>>
>> *To:* ayuda-linux en googlegroups.com
>> <mailto:ayuda-linux en googlegroups.com>
>> <mailto:ayuda-linux en googlegroups.com
>> <mailto:ayuda-linux en googlegroups.com>>
>> *Subject:* RE: [AYUDA] servidor sobrecargado... la
>> continuacion...
>>
>>
>>
>> Hola
>>
>> Utilizo agora ( http://www.jvitals.com/ ) en joomla
>>
>> Y justo acabo de ver que efectivamente tiene un
>> problema con el
>> uso de /*/captcha /*/
>> <http://en.wikipedia.org/wiki/CAPTCHA>
>>
>> en guest... resultado de su ultima actualizacion...
>>
>>
>> *ID:159 Captcha in Forum Access*
>>
>> Enable guests with Captcha and guest can post without
>> entering
>> Captcha code.
>>
>>
>>
>>
>>
>> Y... ademas su ultima actualizacion reseteo los
>> permisos del
>> foro... de manera que activó que los "guest" pudieran
>> postear...
>>
>> de todas maneras estoy checando tus sugerencias... y les
>> preguntare... hasta la fecha no han terminado el
>> manual de su
>> ultima actualizacion....
>>
>> muchas gracias
>>
>> Javier
>>
>> nota: perdon por los ultimos mensajes que dicen spam...
>> de repente a spamassain le dio por reportar que este
>> grupo es spam...
>>
>> Victor Martinez escribió:
>>
>> Javier: ¿Que foro utilizas? puedes añadirle akismet o
>> badbehaviour?
>>
>> son dos opciones de filtrado muy interesantes,
>> investiga si se pueden
>>
>> añadir a tu foro.
>>
>>
>> Saludos.
>>
>>
>>
>>
>>
>>
>>
>>
>> ------------------------------------------------------------------------
>>
>>
>>
>>
>> Se certificó que el correo entrante no contiene virus.
>>
>> Comprobada por AVG - www.avg.es <http://www.avg.es>
>> <http://www.avg.es>
>> Versión: 9.0.830 / Base de datos de virus:
>> 271.1.1/2969 - Fecha de la versión: 06/28/10 13:35:00
>>
>>
>>
>>
>>
>>
>> --
>> Javier Delgado R.
>>
>>
>> http://www.paralax.com.mx
>>
>> video 3d, conversion 2d/3D
>>
>> materiales para estereoscopia.
>>
>> -- Has recibido este mensaje porque estás suscrito
>> a Grupo "ayuda-linux"
>> de Grupos de Google.
>> Si quieres publicar en este grupo, envía un mensaje de
>> correo
>> electrónico a ayuda-linux en googlegroups.com
>> <mailto:ayuda-linux en googlegroups.com>
>> <mailto:ayuda-linux en googlegroups.com
>> <mailto:ayuda-linux en googlegroups.com>>
>> Para anular la suscripción a este grupo, envía un
>> mensaje a
>> ayuda-linux-unsubscribe en googlegroups.com
>> <mailto:ayuda-linux-unsubscribe en googlegroups.com>
>> <mailto:ayuda-linux-unsubscribe en googlegroups.com
>> <mailto:ayuda-linux-unsubscribe en googlegroups.com>>
>>
>> Para obtener más opciones, visita este grupo en
>> http://groups.google.es/group/ayuda-linux?hl=es. o
>> http://www.compunauta.com/ayuda/ --
>> Has recibido este mensaje porque estás suscrito a
>> Grupo "ayuda-linux"
>> de Grupos de Google.
>> Si quieres publicar en este grupo, envía un mensaje de
>> correo
>> electrónico a ayuda-linux en googlegroups.com
>> <mailto:ayuda-linux en googlegroups.com>
>> <mailto:ayuda-linux en googlegroups.com
>> <mailto:ayuda-linux en googlegroups.com>>
>> Para anular la suscripción a este grupo, envía un
>> mensaje a
>> ayuda-linux-unsubscribe en googlegroups.com
>> <mailto:ayuda-linux-unsubscribe en googlegroups.com>
>> <mailto:ayuda-linux-unsubscribe en googlegroups.com
>> <mailto:ayuda-linux-unsubscribe en googlegroups.com>>
>>
>> Para obtener más opciones, visita este grupo en
>> http://groups.google.es/group/ayuda-linux?hl=es. o
>> http://www.compunauta.com/ayuda/
>>
>>
>> --
>> Has recibido este mensaje porque estás suscrito a Grupo
>> "ayuda-linux"
>> de Grupos de Google.
>> Si quieres publicar en este grupo, envía un mensaje de correo
>> electrónico a ayuda-linux en googlegroups.com
>> <mailto:ayuda-linux en googlegroups.com>
>> Para anular la suscripción a este grupo, envía un mensaje a
>> ayuda-linux-unsubscribe en googlegroups.com
>> <mailto:ayuda-linux-unsubscribe en googlegroups.com>
>> Para obtener más opciones, visita este grupo en
>> http://groups.google.es/group/ayuda-linux?hl=es. o
>> http://www.compunauta.com/ayuda/
>> ------------------------------------------------------------------------
>>
>>
>>
>>
>> Se certificó que el correo entrante no contiene virus.
>> Comprobada por AVG - www.avg.es <http://www.avg.es>
>> Versión: 9.0.830 / Base de datos de virus: 271.1.1/2970 -
>> Fecha de la versión: 06/29/10 01:35:00
>>
>>
>>
>>
>>
>> --
>> Javier Delgado R.
>>
>> http://www.paralax.com.mx
>> video 3d, conversion 2d/3D
>> materiales para estereoscopia.
>>
>>
>> --
>> Has recibido este mensaje porque estás suscrito a Grupo
>> "ayuda-linux"
>> de Grupos de Google.
>> Si quieres publicar en este grupo, envía un mensaje de correo
>> electrónico a ayuda-linux en googlegroups.com
>> <mailto:ayuda-linux en googlegroups.com>
>> Para anular la suscripción a este grupo, envía un mensaje a
>> ayuda-linux-unsubscribe en googlegroups.com
>> <mailto:ayuda-linux-unsubscribe en googlegroups.com>
>> Para obtener más opciones, visita este grupo en
>> http://groups.google.es/group/ayuda-linux?hl=es. o
>> http://www.compunauta.com/ayuda/
>>
>>
>> --
>> Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
>> de Grupos de Google.
>> Si quieres publicar en este grupo, envía un mensaje de correo
>> electrónico a ayuda-linux en googlegroups.com
>> <mailto:ayuda-linux en googlegroups.com>
>> Para anular la suscripción a este grupo, envía un mensaje a
>> ayuda-linux-unsubscribe en googlegroups.com
>> <mailto:ayuda-linux-unsubscribe en googlegroups.com>
>> Para obtener más opciones, visita este grupo en
>> http://groups.google.es/group/ayuda-linux?hl=es. o
>> http://www.compunauta.com/ayuda/
>> ------------------------------------------------------------------------
>>
>>
>> Se certificó que el correo entrante no contiene virus.
>> Comprobada por AVG - www.avg.es <http://www.avg.es>
>> Versión: 9.0.830 / Base de datos de virus: 271.1.1/2970 - Fecha de la versión: 06/29/10 01:35:00
>>
>>
>
>
> --
> Javier Delgado R.
>
> http://www.paralax.com.mx
> video 3d, conversion 2d/3D
> materiales para estereoscopia.
>
>
> --
> Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
> de Grupos de Google.
> Si quieres publicar en este grupo, envía un mensaje de correo
> electrónico a ayuda-linux en googlegroups.com
> <mailto:ayuda-linux en googlegroups.com>
> Para anular la suscripción a este grupo, envía un mensaje a
> ayuda-linux-unsubscribe en googlegroups.com
> <mailto:ayuda-linux-unsubscribe en googlegroups.com>
> Para obtener más opciones, visita este grupo en
> http://groups.google.es/group/ayuda-linux?hl=es. o
> http://www.compunauta.com/ayuda/
>
>
> --
> Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
> de Grupos de Google.
> Si quieres publicar en este grupo, envía un mensaje de correo
> electrónico a ayuda-linux en googlegroups.com
> Para anular la suscripción a este grupo, envía un mensaje a
> ayuda-linux-unsubscribe en googlegroups.com
> Para obtener más opciones, visita este grupo en
> http://groups.google.es/group/ayuda-linux?hl=es. o
> http://www.compunauta.com/ayuda/
--
Javier Delgado R.
http://www.paralax.com.mx
video 3d, conversion 2d/3D
materiales para estereoscopia.
--
Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
de Grupos de Google.
Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a ayuda-linux en googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
ayuda-linux-unsubscribe en googlegroups.com
Para obtener más opciones, visita este grupo en
http://groups.google.es/group/ayuda-linux?hl=es. o http://www.compunauta.com/ayuda/
Más información sobre la lista de distribución Ayuda