Mensaje de ALERTA . Notas importantes de actualización de php y apache.
66 views
Skip to first unread message
Ricardo Perilla
Sep 4, 2020, 1:58:25 AM9/4/20
to OrfeoGPL
Vari@s compañer@s de la COMUNIDAD ORFEO nos informan que se están realizando ataques, basados en vulnerabilidades de php y apache antiguos o no suficientemente configurados,
lo cual es recomendable actualizar.
El ataque se realiza
aprovechando la posibilidad de ejecutar comandos desde javascript,
específicamente usando el comando eval de php.
Con este comando
aprovechan y modifican archivos php y html, añadiendo código que ejecuta
apis de minería de monedas criptográficas.
Es importante limitar
esta posibilidad asegurando las carpetas del código fuente, para que el
usuario de apache
(debian, ubuntu -> www-data, redhat -> apache),
no pueda modificar este código.
El código debe quedar con propiedad de un usuario diferente de apache. y con permisos limitados.
La
bodega de documentos debe ser configurada para que no se pueda ejecutar
código php sobre ella.
En la página www.orfeogpl.org está explicado cómo hacerlo. Próximamente, con ayuda de otros compañeros consolidamos todo en los manuales de la wiki https://wiki.correlibre.org con mayor detalle.
Tener en cuenta que si se está trabajando en versiones antiguas de
Orfeo (antes de 3.8), es importante actualizarse, se debe limitar el acceso a los link de documentos
(Que no se puedan listar.)
Desde el año antepasado, con ayuda de algunos compañeros de la comunidad, se mantiene actualizado el orfeo según la versión de php que se está publicando, con el ánimo de mitigar riesgos de seguridad y los famosos obsoletos.
Si está en una versión superior la bodega ya
se puede dejar de publicar, porlo tanto la bodega no tendrá acceso desde
la web, así mismo recordar la limitación de ejecución sobre esta y los
directorios tmp/.
Cordial saludo,
Ricardo Perilla
www.orfeogpl.org
"Compartiendo conocimiento, construyendo desarrollo Local"
-------
La Fundación para la creación y promoción del conocimiento libre, CorreLibre, es una organización sin ánimo de lucro, que apoya y promueve iniciativas que facilitan la apropiación de conocimiento, compartiéndolo con toda la humanidad y buscando a través de ello la mejora social.
Para conocer algunas de las bondades del Sistema y en general del proyecto comuninario más importante de Software Libre hecho en Colombia los invitamos a que visiten el sitio de la comunidad de ORFEO (www.orfeogpl.org) y a que consulten la documentación que se pone a disposición de todo el mundo donde podrán encontrar un resumen de las bondades de este sistema (http://orfeogpl.info/wiki/index.php/OrfeoWiki) y donde podrán hacer las descargas del sistema. La Fundación CorreLibre mantiene disponible la infraestructura de este y otros proyectos de conocimiento libre.
Carlos Mario Mora Restrepo
Sep 4, 2020, 11:35:24 PM9/4/20
to OrfeoGPL
Hola
Muchas gracias por la información. Estoy realizando pruebas con las configuraciones recomendadas y encuentro una situación relacionada con el manejo de la bodega. Si el propietario no tiene permisos de ejecución, no me permite cargar el adjunto al radicado. La opción que use para evitar que se pueda ejecutar código php en el directorio de bodega es darle permisos de ejecución solo al propietario, y agregar en ese directorio un .htaccess con este contenido.
AllowOverride None
Require all denied
Options -ExecCGI
Require all denied
Require all denied
Options -ExecCGI
Require all denied
Usando este .htaccess en bodega, puedo seguir cargando adjuntos a los radicados, sin que permita ejecutar código desde ese directorio.
¿Que opinan de este procedimiento?
Quedo atento a sus comentarios.
saludos y muchas gracias.
Carlos Mario Mora Restrepo
(+57)304 4442632
Skype: carlosmora.biz || Twitter: @carlosmora_biz
http://carlosmora.biz
(+57)304 4442632
Skype: carlosmora.biz || Twitter: @carlosmora_biz
http://carlosmora.biz
--
--
Ha recibido este mensaje ya que se suscribió a nuestro grupo de trabajo.
Groups "OrfeoGPL" group.
La Fundación CorreLibre apoya la comunidad OrfeoGPL.org, administrando y poniendo a disposición de ella infraestructura y coordinando tareas que la comunidad defina para la mejora del sistema. Lo invitamos a conocer más proyectos de Conocimiento Libre visitando nuestro sitio en internet http://www.correlibre.org.
Podrá poner sus mensajes al grupo enviando un correo a orfe...@googlegroups.com
El sitio oficial de la comunidad: http://www.orfeogpl.org
Si no desea pertenecer más al grupo envie un correo a:
orfeogpl-u...@googlegroups.com
Para más opciones visite
http://groups.google.com/group/orfeogpl?hl=en
---
Has recibido este mensaje porque estás suscrito al grupo "OrfeoGPL" de Grupos de Google.
Para cancelar la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a orfeogpl+u...@googlegroups.com.
Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/orfeogpl/CAB7xXBV51PxTS6xXMgu0jSGT1x5vYV4J2TCFVY_ikTn6tBeNqQ%40mail.gmail.com.
Ricardo Perilla
Sep 5, 2020, 4:05:57 AM9/5/20
to OrfeoGPL
No estoy seguro.
Tal vez pueda servir en la configuración de apache :
<Directory "/directorio_orfeo/bodega">
php_flag engine off
AllowOverride None
Options -Indexes -Indexes -FollowSymLinks -Includes -ExecCGI -includesNOEXEC +MultiViews
</Directory>
Cordial saludo,
Ricardo Perilla
www.orfeogpl.org
-------
La Fundación para la creación y promoción del conocimiento libre, CorreLibre, es una organización sin ánimo de lucro, que apoya y promueve iniciativas que facilitan la apropiación de conocimiento, compartiéndolo con toda la humanidad y buscando a través de ello la mejora social.
Para conocer algunas de las bondades del Sistema y en general del proyecto comuninario más importante de Software Libre hecho en Colombia los invitamos a que visiten el sitio de la comunidad de ORFEO (www.orfeogpl.org) y a que consulten la documentación que se pone a disposición de todo el mundo donde podrán encontrar un resumen de las bondades de este sistema (http://orfeogpl.info/wiki/index.php/OrfeoWiki) y donde podrán hacer las descargas del sistema. La Fundación CorreLibre mantiene disponible la infraestructura de este y otros proyectos de conocimiento libre.
Ricardo Perilla
www.orfeogpl.org
"Compartiendo conocimiento, construyendo desarrollo Local"
-------
La Fundación para la creación y promoción del conocimiento libre, CorreLibre, es una organización sin ánimo de lucro, que apoya y promueve iniciativas que facilitan la apropiación de conocimiento, compartiéndolo con toda la humanidad y buscando a través de ello la mejora social.
Para conocer algunas de las bondades del Sistema y en general del proyecto comuninario más importante de Software Libre hecho en Colombia los invitamos a que visiten el sitio de la comunidad de ORFEO (www.orfeogpl.org) y a que consulten la documentación que se pone a disposición de todo el mundo donde podrán encontrar un resumen de las bondades de este sistema (http://orfeogpl.info/wiki/index.php/OrfeoWiki) y donde podrán hacer las descargas del sistema. La Fundación CorreLibre mantiene disponible la infraestructura de este y otros proyectos de conocimiento libre.
Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/orfeogpl/CAONSFQKZzXwxctV79h-sBMsRYzCHRsM37NRS3j2SZ6YRZoPOkQ%40mail.gmail.com.
Reply all
Reply to author
Forward
0 new messages