Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - animanegra

#321
El problema no es con los permisos del archivo php que estas ejecutando si no con el permiso del archivo que estas abriendo en el fopen.
Te lo dice creo que bastante claro el mensaje de error:

el problema es con este archivo: "/home/xc/resource.txt"

Mueve el resource.txt a la carpeta donde tienes el resto del sistema web y dale privilegios para que lo pueda abrir el usuario que ejecuta el servidor apache:

Mayormente, muevelo a /var/www/html/AAa y haz un chmod o chown para que lo pueda acceder el usuario que ejecuta el programa servidor, normalmente apache.

Tambien puedes cambiarle los permisos al archivo en tu ruta "/home/xc/resource.txt" para que el usuario que ejecuta el servidor pueda leerlo.
Si optas por esa accion y tienes el apparmor activado no te dejara. El apparmor se encarga de que ciertas herramientas no se escapen de las rutas correctas como medida de seguridad.
Si tienes ese problema, desactiva o configura apparmor para que deje acceder al apache o httpd a las carpetas de home, o desactiva el apparmor para el httpd o apache.
#322
¿¿Estas intentando hacerte pasar por tu router wifi?? Porque como los mensajes en la wifi pasan todos por el AP el AP en muchas ocasiones no va a reenviar tráfico con su dirección mac origen que no haya creado el. ¿Puede ser eso? No se si me he explicado bien.
#323
Preguntica, ¿Sabes si el chkwtmp de chkrootkit detecta la entrada tras el uso después de usar No tienes permitido ver enlaces. Registrate o Entra a tu cuenta?
#324
A mi parecer creo que poco debate hay aqui:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
- Las cantidad de tablas que trabajan las empresas son superiores a 500, y no utilizan normalización, claves foraneas y der.

Bienvenido al mundo real en el que a cualquiera le llaman desarrollador. Que eso exista no quiere decir que este bien hecho, en mi pueblo  a eso se le llama chapuza extrema y es mejor que no vayas a caer en una empresa que desarrolle así. Porque te tocará sufrir, y mucho.

Hay una teoría que se lleva desarrollando años en torno a las bases de datos para algo. Que se puede hacer algo que funciona en determinados rangos y va bien en temas de almacenamiento de información. Claro que si, puedes apuntar todos los datos en un excel, en un txt o en un folio y tendrás un sistema con datos que después podrás consultar. ¿Es la manera de hacerlo? Pues bueno, creo que si quieres ser profesional en general la respuesta es no. Recuerda sin ir mas lejos los problemas que derivan de hacer un where para la conjunción en lugar de un join.

Ten en cuenta algo, que algo esté muy extendido no quiere decir que sea la forma correcta de hacerlo. Después cuando las cosas crecen un poco pasa lo que pasa y los sistemas se vuelven totalmente inmantenibles.
#325
El estudiar en la universidad no es mágico. Sacar un titulo puede no implicar saber de algo, al igual que existe gente que termina el bachiller y no sabe nada. Pero eso no quiere decir que la universidad no valga para nada, si no, que si no quieres aprovecharla no te valdrá para nada. Esa es la diferencia. Y es en la dirección es en la que van las contrataciones de las empresas. El título ya no vale nada porque las empresas han empezado a ver que hay una cantidad grande de gente que llega a sacarse el título por aprobar los exámenes y no por saber de verdad. Eso quiere decir que en lo que tienes que enfocar tus estudios universitarios es en aprender y no en aprobar los exámenes. Conforme vas estudiando la carrera tienes que pararte y ver si realmente estás o no aprendiendo, y si no lo estás haciendo, o bien cambias de filosofía o bien deja la carrera. Mientras vayas en la dirección de aprender todo bien, pero como hagas la carrera aprobando y estudiando todo a última hora probablemente pases los años de carrera, eches la vista atrás y te preguntes ¿Para que he hecho esto? Si haces lo fácil, le echaras la culpa a la universidad en la que no has aprendido nada, pero el problema es tuyo por no centrarte en lo que importa que es aprender no de la universidad.

Resumen, haz la carrera si realmente deseas aprender y céntrate en aprender. Tendrás que pasar un montón de horas estudiando y haciendo cosas pero merecerá la pena. Si vas a ir a pasar el rato y a aprobar exámenes al final tendrás un título vacío de conocimientos que te servirá solo para exponerlo en la pared de tu cuarto y rememorar las juergas universitarias que te pegaste y lo malos que eran tus profesores. La decisión de si va a valer de algo tu tiempo en la universidad es tuya y de como enfoques los estudios y no de los demás.
#326
Las versiones afectadas son:

WordPress Core <= 4.7.4

Dejo un link a la información completa del fallo donde se explica todo:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Esto nos debería enseñar que tenemos que tener respeto a las variables de $_SERVER porque engañan. NO engañan de verdad pero al tener ese nombre podemos pensar que el usuario no las puede modificar. La lista ,creo que completa, es todas las que tienen "HTTP_" antes del nombre (si me dejo alguna me comentáis):

Código: text

'HTTP_ACCEPT'
'HTTP_ACCEPT_CHARSET'
'HTTP_ACCEPT_ENCODING'
'HTTP_ACCEPT_LANGUAGE'
'HTTP_CONNECTION'
'HTTP_HOST'
'HTTP_REFERER'
HTTP_REFERER as a feature. In short, it cannot really be trusted.
'HTTP_USER_AGENT'


Y la variables SERVER_NAME en la condicion abajo descrita en la ayuda de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta:

Código: text

Note: Under Apache 2, you must set UseCanonicalName = On and ServerName. Otherwise,
this value reflects the hostname supplied by the client, which can be spoofed.
It is not safe to rely on this value in security-dependent contexts.


No obstante explotar de verdad esto para capturar el email de confimación es súmamente complicado (a mi parecer). A ver quien es el listo que se curra un DOS a gmail o microsoft que es el tipo de correo que suele haber detras de la mayoría de admins y usuarios. Y el tema de que alguien conteste al correo, lo veo también poco práctico. Si bien el error es facil de reproducir, el utilizarlo para el mal y hacer un ataque no es tan fácil (según mi punto de vista).
#327
¿Y esto por que esta compartido? Me refiero, ¿Es gente que ha shareado algo de contenido privado poniendo el link en alguna web sin querer o sin saber lo que hacia o como?
#328
También si el virtualizador tiene algun tipo de problema en el sandbox, el virus podria infectar el ordenador host. Ha habido bastante errores en casi todos los programas de virtualizacion que permitian salir del sandbox. Cuando existe un error de que se puede salir del sandbox es que alguien que este en la maquina virtualizada puede hacer uso de los recursos de la maquina completa.

Además, dependiendo como tengas configurada la máquina, si comparten unidades también podrá coger archivos de la parte compartida.
#329
Joder!!! 50 pavos. ¿Y para tener algo que se conecte por usb y haga de teclado no se puede usar un arduino lonardo nano? le pones un case aparente y lo conectas por usb, y le programas lo que desees que saque por el teclado del ordenador.
#330
¿Seguro que un select sin from pidiendo el campo password devuelve algo?
#331
En el apache.conf tienes una linea donde pone LogLevel y un valor. Estos son los posibles valores:

Código: text

emerg, alert, crit, error, warn, notice, info, debug


Esto dejará en el archivo de logs, el apache.conf especifica también donde se están guardando los archivos de logs. (Recuerda que al cambiar la configuración del servidor deberás reiniciarlo para que efectúe los cambios.)

Para que los errores te salgan en la pagina que cargas, cambia en el php.ini el display_errors:

Código: text

display_errors = 1


De forma que cuando cargues una pagina con un error de sintaxis, te devolverá un error en forma de texto en lugar de una pagina en blanco. Importante, el poner esto solo en los sistemas de desarrollo. Si te dejas esto habilitado en un sistema en producción estarás dando a los atacantes muchísima información para una posible explotación.

Si no ha quedado algo claro me comentas,
saludos.
#332
Primeramente, no deberias de utilizar los header location y por otro lado no vale de nada que pongas el session_start si despues cargas una pagina en html en la redireccion ya que cualquiera podrá entrar en la pagina html sin credenciales poniendo directamente la ruta en la url. Yo repasaría para que sirven la sesiones.

Tienes un fallo de syntaxis en la linea 21, lo sabrias si habilitases los errores en tu apache. No se puede desarrollar codigo en condiciones si no habilitas eso ya que no sabes los errores de codigo que tienes. Falta una llave de apertura antes del else "}"

Por otro lado, mirate lo que son los sqlinjection porque tienes uno de libro, que hará que cualquiera pueda acceder a partes privadas de tu sistema. Es importante sanitizar todos los datos que vengan del usuario.

El session_start() te recomendaria ponerlo al principio del todo y las cosas que tengan que ver con conexion a la mysql y la base de datos en otro php y hacer un include, si no vas a estar copiando y pegando esas lineas mil veces a lo largo del codigo que vayas desarrollando.
#333
No se si tendras el ./ en el path pero normalmente al compilar se te genera el binario y se ejecuta en la ruta donde te compila, por lo que tienes que ejecutarlo metiendo en la ruta donde este el binario despues de hacer el configure y el make ejecutandolo como:
./hydra

De todas formas, el binario normalmente se genera en la raiz o en el ./bin a partir de la raiz donde tengas los sources.

No se si me he explicado claramente, si no me comentas y clarifico lo que necesites.
#334
Dudas y pedidos generales / Re:Pasar script a GUI
Mayo 06, 2017, 05:15:53 AM
Si la idea es meter GUIs a scripts de tipo bash y eso, mirate la herramienta GTKdialog y glade. En el link siguiente hay un ejemplico de como hacer una ventana:

Código: text
https://www.tecmint.com/gtkdialog-create-graphical-interfaces-and-dialog-boxes


EL modo de funcionamiento se adapta muy bien a la automatización de procesos en bash de manera que puedes hacer interfaces gráficas de tus programas de linea de comando o scripts con relativa facilidad.

Es como un dialog pero que aparte de las interfaces predeterminadas de alerta, abrir fichero, etc... puedes generar tus propias interfaces algo mas complicadas.
#335
Hola:
Comento alguna idea más, igual os parecen horribles o igual no.

En redes igual lo ampliaría con:
ethernet
ARP
HTTP HTTPS
DNS
Y casi lo resumiría en, ¿Sabes lo que pasa desde que pones una url en tu navegador hasta que recibes el paquete de respuesta con la web?

En la parte de BBDD incluiria igual:
SQL (Se que parece que está inherente en creación y modificación pero con las interfaces gráficas se pueden hacer esas cosas sin tocar sql)

En la parte de programación incluiría igual:
punteros (a variables, a funciones...)
Como organiza la memoria el ordenador internamente a la hora de ejecutar un programa (memoria de pila, de programa, etc...) Sin esto entender un buffer overflow, cambiar la dirección de vuelta del rts y meter el payload, etc... es complicado.
Usar algún debugger gdb, ddd o similares
#336
Tienes un fallo de concepto, la sentencia select es un bucle en realidad. Siguiendo la idea que deseas seria esto:

Código: text

clear
echo "Desea Actualizar Arch Linux?"
select upgrade in "Si" "No"; do

        if [ $upgrade == "Si" ]; then
                echo "Se actualizara el Sistema Operativo. . ."
                yaourt -Syyu --devel --aur
                break;
        else
                echo "Se cancelo la actualiazcion."
        break;
        fi

done;


La sentencia yaourt no se que hace, pero parto de la base de que está bien.
#338
Al leer el POST no comprendo su finalidad del todo, perdón por mi torpeza. Me intento explicar, ¿Quieres dar a conocer No tienes permitido ver enlaces. Registrate o Entra a tu cuenta? Entonces el post no esta en la sección adecuada porque no tiene que ver con hacking.
¿Quieres dar a conocer lo de los grupos de whatsapp? Entonces cambia el titulo porque confunde un poco.
¿Quieres dejar patente que buscando por el dork en shodan u otros buscadores se le puede sacar humo al tema? Lo dejaría un poco más claro. Porque esta abajo y resulta un poco marginal en el total del POST.

Si no ves útil mi post, evidentemente elimínalo sin ningún tipo de pudor.

Saludos.
#339
Yo buscaria una ligera basada en ubuntu server sin interfaz grafica. Al final vas a tener un server, la interfaz grafica solo consumira recursos en un ordenador en principio con poca capacidad.

Se que alguno dira, "buuuuu ubuntu es de loosers" pero te explico la razon mas importante de poner una ubuntu frente a otras, gentoo o similares que te ofreceran un sistema mas optimizado. DOCUMENTACION (en negrita subrayada y cambiando de color). Si buscas informacion de cualquier otras distros posiblemente naufragues entre paginas con informacion muchas veces escueta. Si tienes una basada en ubuntu tienes mares de informacion y casi seguro que ante el 99% de los problemas encontraras una solucion rapida con una busqueda en google.

Sobre el firewall, tienes iptables, sencillisimo de usar. (La primera accion a realizar te digo bajo mi punto de vista es deshabilitar ipv6 y dropear todos los paquetes ipv6 y a partir de ahi lo que quieras capar)

Otra cosa, ten en cuenta que los sistemas basados en md5 de archivos solo ven modificaciones de archivos no si estan abiertos en lectura.

El SSH viene de secure shell que es básicamente un telnet cifrado. Tambien puedes copiar archivos con el o hacer un tunel cifrado para permitir abrir servicios en la red de cualquiera de los puntos de la conexion hacia la red de la otra haciendo de proxy (osea que es mas o menos una VPN pero ligada a nivel de aplicacion o puerto). Es una herramienta muy potente, te recomiendo que mires un poco todas sus posibilidades. Ademas, si la ejecutas con -X permite abrir en la maquina local aplicaciones remotas del entorno X por lo que podrias abrir por ejemplo un mozilla en la maquina remota para acceder a una web y verias la ventana en tu ordenador local. Osea que en vez de exportar todo el escritorio a la maquina remota exportas solo la ventana de la aplicacion X que desees utilizar.

Sobre los logs en linux, no tienes mas que ir a la carpeta /var/log y ahi estan todos ordenaditos para que los puedas trabajar y leer.

Para securizar sistemas linux te recomiendo que veas rkhunter, chkrootkit y clamscan que son utiles detectando bichos.

No me enrollo mas, habrá mas gente que te podrá dar consejos más útiles.
#340
Te doy mis opiniones, pero no tienen por que estar bien. Te trato de argumentar el por qué y despues tu ya sacas tus conclusiones.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Amigos, estoy pensando en crear un servidor local para crear una wiki o utilizar owncloud para poder gestionar tareas y elaborar proyectos que tengo en mente, además de usarlo como resguardo de mi ordenador personal.

La cuestión es que quisiera instalarle Windows XP (debido a los bajos recursos del ordenador) ya que estoy más familiarizado con Windows. Descarto la idea de Linux por diversos motivos, pero no lo odio ;)


Lo que me preocupa de esto es la seguridad de los datos, porque tengo pensado acceder desde el exterior. Les describo lo que quiero hacer para que me digan si hay algo que debo cambiar.

La idea sería la siguiente:

- Redireccionar la IP pública a la privada.


Yo redireccionaria solo los puertos que necesites y lo demás no. Asi evitaras ampliar la superficie de exposición de tu equipo.

Citar

- Instalar Windows XP.


No, windows XP es una mala idea tal y como te comentan. Si es equipo viejo yo tiraría a una distro de linux ligera. Mírate un poco los últimos exploits que salieron y los parches que aplicó microsoft a TODOS sus SO menos a XP. Logico porque ya no dan soporte a dicho SO.

Citar

- Instalar WAMP para crear el servidor.


En general un AMP sobre el sistema operativo que toque. Piensa si vas a necesitar la parte de mysql y si no evita instalar servicios que no vas a usar.

Citar

- Instalar y configurar Owncloud o Wiki.


Bueno instala los servicios web que necesites, pero restringete a los que realmente necesites. No dejes nada abierto por hacer pruebas y recuerda cambiar todas las credenciales por defecto. Importante, mantén actualizadas las versiones de los programas que instales SIEMPRE. Y metete en el listado de correo de los servers para mantenerte informado de las ultimas vulnerabilidades y parches.

Citar

- Instalar tunel SSH con llave pública por si necesito transferir archivos desde algún PC o Android.


¿Con esto te refieres a que dejarás el servicio de ssh activo? El tunel se genera desde un cliente hacia un server, pero para que quieres hacer un tunel ¿Quieres acceder a otros equipos de tu misma red? Si solo quieres subir archivos ¿no te vale con el ssh server simplemente?

Para dar un punto mas de seguridad, puedes hacer un port knocking y un cambio de puerto al ssh para que no te den demasiado la lata. Y por otro lado, puedes instalarte un demonio de los que miran el log y ante pruebas al ssh deniegan a la IP hacer mas peticiones.

Citar
- Instalar Firewall y configurar de modo que no permita conexiones entrantes y sólo permita las de determinadas MAC.


El filtrado MAC aqui no te va a ayudar (al menos para las conexiones externas). Las direcciones MAC son de ambito local y se pierden a partir del primer router. Si quieres tendras que hacer filtrado por IP o similares. Si no permites conexiones entrantes, tu tampoco te podrás conectar a él.

Citar

- Configurar la auditoría de los archivos de forma que me informe cualquier acceso o modificación de los mismos.


tienes herramientas que se guardan los md5 de los archivos y avisan ante cambios, pero si vas a cambiar los archivos muy a menudo, entiendo por lo que dices que vas a subir archivos etc... va a ser un coñazo. Recuerda que todos los logs que generes despues, tendras que mirarlos. Si no, no te vale de nada.

Citar

- Crear reglas en el visor de sucesos que filtren sólo los sucesos de auditoría.


Pero recuerda, tendrás que mirarlas. No te vale de nada generar logs si después no los miras. ¿Vas a tener tiempo para hacerlo?

Citar

- Particionar y cifrar una unidad que contenga los datos más importantes para montarla sólo cuando sea necesario.


Si quieres dejar el servidor dando servicio, todo a lo que desees tener acceso tendra que ir sin cifrar. Si lo has cifrado para arrancarlo lo tendrás que descifrar asi que... Recuerda que las claves de ssh de tus usuarios no podrán estar en la unidad encriptada si no se desencripta ya que cuando intentes entrar no podra acceder a tus claves públicas.

Citar

- Instalar y configurar TeamViewer para acceder desde mi ordenador (ya que la pantalla está partida en una parte y se la voy a quitar).


Si tienes acceso ya por ssh para controlar la maquina ¿Para que deseas también acceso por teamviewer?
Yo trataría de limitar al maximo la superficie de exposicion, y no poner servicios que den servicios duplicados.

Por otro lado, al ser un equipo servidor, tiraria de un SO sin interfaz grafica y más si es un equipo viejo. Con el acceso por ssh tienes de sobra para hacer todo.