Campaña de traducción de documentación

fabdeco · Mai 29, 2007, 2:16

Hola:
un htaccess con ese código, se debería subir a la carpeta IMG

ese código -diciéndolo simple- lo que hace es permitir que vos puedas subir archivos con esas extensiones, pero no deja que se listen los contenidos del directorio sino tiene un « index.html », (el IMG no lo tiene), y a su vez impide que se suban otros archivos como PHP, etc, o los que no tengas listados…

vale aclarar que desde una imagen también nos pueden ocasionar un ataque…

y dejas a IMG con permiso 0777

esto no es la gran garantía pero ayuda muchísimo y es lo que suelen recomendar (o exigir, según el caso) los proveedores de hosting…

por otro lado, htaccess sirve para muchísimas cosas, no solo reescribir URL ni tampoco solo cuestiones de seguridad, pero no soy un entendido

hasta acá puedo ayudar, pero nomás, porque no se más,

no obstante, quedémonos tranquilo: les cuento que estuve buscando información sobre ataques o bugs de seguridad en SPIP, y -aplausos- es el CMS más seguro o con menor vulnerabilidad de todos, según mi « investigación », que puede estar errada por cierto,

saludos
juan pablo

Metrodelegados master@metrodelegados.com.ar escribió:

Parece que fue una epidemia…
Revisando el sitio www.corrientepraxis.org.ar el index solo mostraba un texto que decia echo;echo;echo;echo;echo;
Reestableci la conexion con la base de datos, subi nuevamente el sommaire y la pagina se mostraba duplicada una arriba de la otra y queria descargar archivos desde otras url’s que fueron bloqueados por el NOD32.
Segun el soporte, alguien con la clave correcta modifico via ftp algunos archivos.
Cambie las claves.
Ahora reescribi los index.php del 1.9.1(7502) y esta solucionado

Me interesaria informarme un poco mas acerca de la seguridad a traves de los .htacess ya que crei que eran solo para url personalizadas.

Creo un archivo llamado .htacces con el texto

Options All -Indexes

<Files ~ « .*.(gif|jpg|swf|png|bmp|fla|doc|pdf|mp3)$ »>
order allow,deny
allow from all

y lo/los subo donde? En la raiz? En cada carpeta?
Dejo los permisos en 777?

----- Original Message -----
From: Juan Pablo Portugau
To: Spip lista
Sent: Monday, May 28, 2007 2:21 PM
Subject: Re: [Spip-es] directorios 777 y hackers

yo en el servidor que estoy trabajando, dado los owners, con 0755 no funcionan los sitios, así que indefectiblemente debo tenerlos en 0777

para esos tres directorios con un archivo .htaccess se ayuda a la seguridad

los /ecrire/data y /CACHE los genera automáticamente el spip

con « deny from all »
que siginifica que no se le permite acceso a nadie, asi nadie « externo » al sitio puede meterse por allí y deja a SPIP trabajar tranquilo…

con respecto a /IMG
sugiero colocar un .htaccess con este código:

Options All -Indexes

<Files ~ « .*.(gif|jpg|swf|png|bmp|fla|doc|pdf|mp3)$ »>
order allow,deny
allow from all

así lo tengo yo porque esos son los archivos que se suelen subir, de necesitarse MP3 habría que agregarlo
|mp3
y así con los archivos que se suelen subir mediante la interfaz privada del SPIP (Documentos adjuntos, Logotipo de Artículo)

ahora con respecto a la pregunta del « ataque turco » (que no nos escuche Bush porque bombardea Turquía), sospecho (sin conocimiento de causa) que no debe ser un problema por este lado, habría que esperar que algunos de los gurues de « SPIP / PHP / servidores » que andan por la lista acoten algo al respecto, a ver si se trata de algún bug

¿versión de SPIP? revisaste con una actualización?.. yo no he tenido hasta ahora (cruzo los dedos) ningún problema de hacks…

saludos, espero que sirva la ayuda
juan pablo

Santiago Flores santiagoflores@gmail.com escribió:

yo tengo servidores donde no me permiten tener 777 y con 755 anda bien
pero creo que es un tema de los owners.

El 28/05/07, Metrodelegados

Preguntá. Respondé. Descubrí.
Todo lo que querías saber, y lo que ni imaginabas,
está en Yahoo! Respuestas (Beta).
Probalo ya!

Spip-es@rezo.net - http://listes.rezo.net/mailman/listinfo/spip-es

Spip-es@rezo.net - http://listes.rezo.net/mailman/listinfo/spip-es

[www.periodismoentrerios.com.ar](http://www.periodismoentrerios.com.ar)
| punto de ingreso a la información |

[www.graciasdenada.com.ar](http://www.graciasdenada.com.ar) (blog!)

www.fabdeco.com.ar [FabdeCo]
{desarrollo web & comunicación digital}
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

---

**Preguntá. Respondé. Descubrí.**
Todo lo que querías saber, y lo que ni imaginabas,
está en **Yahoo! Respuestas** (Beta).
**[Probalo ya!](http://ar.answers.yahoo.com)**

Joan_Carles · Mai 29, 2007, 3:29

De nuevo me pongo en contacto con la lista por algo que me está suciediendo con SPIP y es muy extraño... y miren que llevo SPIPs intalados a mis espaldas...

Resulta que, en una reciente instalación de SPIP, cuando voy a escribir un artículo, si éste solo tiene un único párrafo (en el campo #texte) pues perfecto. Sin embargo, si tengo dos o más párrafos revienta. El tema no tiene nada que ver con esqueletos, ni programación, ni nada, puesto que revienta en el propio "backoffice", es decir en el "ecrire". Cuando digo "reventar" me refiero a que los párrafos desaparecen mágicamente al "guardar" el artículo. Si le doy a "modificar" entonces ahí están los dos. Pero si guardo de nuevo, lo mismo: desparecen. Si dejo sólo uno entonces todo se ve perfectamente... (importante: en esos dos párrados solo hay palabras... ni html, ni links, ni imágenes, ni nada que no sea texto puro y duro).

Sabe alguien qué puede ser?

Uf...

Joan Carles

Joan_Carles · Juin 4, 2007, 5:38

Hola de nuevo,
Os cuento que mi proveedor de hosting me ha recomendado poner en el directorio IMG un .htaccess con la siguiente línea...

php_flag engine off

...para evitar problemas de seguridad.
¿Qué opinión os merece? ¿En que se diferencia de...

Options All -Indexes

<Files ~ ".*.(gif|jpg|swf|png|bmp|fla|doc|pdf|mp3)$">
order allow,deny
allow from all
</Files>

... que se ha propuesto anteriormente?
Saludos!

----- Original Message ----- From: Juan Pablo Portugau
To: Metrodelegados ; Spip lista
Sent: Tuesday, May 29, 2007 4:16 PM
Subject: Re: [Spip-es] directorios 777 y hackers

Hola:
un htaccess con ese código, se debería subir a la carpeta IMG

ese código -diciéndolo simple- lo que hace es permitir que vos puedas subir archivos con esas extensiones, pero no deja que se listen los contenidos del directorio sino tiene un "index.html", (el IMG no lo tiene), y a su vez impide que se suban otros archivos como PHP, etc, o los que no tengas listados...

vale aclarar que desde una imagen también nos pueden ocasionar un ataque....

y dejas a IMG con permiso 0777

esto no es la gran garantía pero ayuda muchísimo y es lo que suelen recomendar (o exigir, según el caso) los proveedores de hosting...

por otro lado, htaccess sirve para muchísimas cosas, no solo reescribir URL ni tampoco solo cuestiones de seguridad, pero no soy un entendido

hasta acá puedo ayudar, pero nomás, porque no se más,

no obstante, quedémonos tranquilo: les cuento que estuve buscando información sobre ataques o bugs de seguridad en SPIP, y -aplausos- es el CMS más seguro o con menor vulnerabilidad de todos, según mi "investigación", que puede estar errada por cierto,

saludos
juan pablo

Metrodelegados <master@metrodelegados.com.ar> escribió:
Parece que fue una epidemia....
Revisando el sitio www.corrientepraxis.org.ar el index solo mostraba un texto que decia echo;echo;echo;echo;echo;
Reestableci la conexion con la base de datos, subi nuevamente el sommaire y la pagina se mostraba duplicada una arriba de la otra y queria descargar archivos desde otras url's que fueron bloqueados por el NOD32.
Segun el soporte, alguien con la clave correcta modifico via ftp algunos archivos.
Cambie las claves.
Ahora reescribi los index.php del 1.9.1(7502) y esta solucionado

Me interesaria informarme un poco mas acerca de la seguridad a traves de los .htacess ya que crei que eran solo para url personalizadas.

Creo un archivo llamado .htacces con el texto

Options All -Indexes

<Files ~ ".*.(gif|jpg|swf|png|bmp|fla|doc|pdf|mp3)$">
order allow,deny
allow from all
</Files>

y lo/los subo donde? En la raiz? En cada carpeta?
Dejo los permisos en 777?
----- Original Message ----- From: Juan Pablo Portugau
To: Spip lista
Sent: Monday, May 28, 2007 2:21 PM
Subject: Re: [Spip-es] directorios 777 y hackers

yo en el servidor que estoy trabajando, dado los owners, con 0755 no funcionan los sitios, así que indefectiblemente debo tenerlos en 0777

para esos tres directorios con un archivo .htaccess se ayuda a la seguridad

los /ecrire/data y /CACHE los genera automáticamente el spip

con "deny from all"
que siginifica que no se le permite acceso a nadie, asi nadie "externo" al sitio puede meterse por allí y deja a SPIP trabajar tranquilo...

con respecto a /IMG
sugiero colocar un .htaccess con este código:

Options All -Indexes

<Files ~ ".*.(gif|jpg|swf|png|bmp|fla|doc|pdf|mp3)$">
order allow,deny
allow from all
</Files>

así lo tengo yo porque esos son los archivos que se suelen subir, de necesitarse MP3 habría que agregarlo
|mp3
y así con los archivos que se suelen subir mediante la interfaz privada del SPIP (Documentos adjuntos, Logotipo de Artículo)

ahora con respecto a la pregunta del "ataque turco" (que no nos escuche Bush porque bombardea Turquía), sospecho (sin conocimiento de causa) que no debe ser un problema por este lado, habría que esperar que algunos de los gurues de "SPIP / PHP / servidores" que andan por la lista acoten algo al respecto, a ver si se trata de algún bug

¿versión de SPIP? revisaste con una actualización?... yo no he tenido hasta ahora (cruzo los dedos) ningún problema de hacks....

saludos, espero que sirva la ayuda
juan pablo

Santiago Flores <santiagoflores@gmail.com> escribió:
yo tengo servidores donde no me permiten tener 777 y con 755 anda bien
pero creo que es un tema de los owners.

El 28/05/07, Metrodelegados escribió:

Hola:

Si mal no recuerdo, ecrire, cache y la img DEBEN ESTAR CON PERMISOS 777
porque las usa SPIP para trabajar

Igual, aguarda la confirmacion de parte de la gente que sabe mas en la lista

Saludos
Quique
----- Original Message -----
From: "Joan Carles Martorell"
To:
Sent: Sunday, May 27, 2007 8:23 PM
Subject: [Spip-es] directorios 777 y hackers

Buenas,

Saco un tema peliagudo. Resulta que ya en varias ocasiones (con diferentes
proveedores de hostings, dominios, contraseñas, clientes y fechas) unos
hackers/crackers (¿turcos?) han entrado en los directorios donde estaba
intalado SPIP. Por suerte simplemente cambiaron el "index.php" y dejaron el
resto intacto. Supongo para avisarte: "que sepas que podemos joderte".

En un primer momento pensé que se debía a que usaba contraseñas demasiado
fáciles de FTP. Sin embargo, la broma volvió a suceder tiempo después
(insisto: con diferentes proveedores de hostings, dominios, contraseñas,
clientes y fechas). Lo curioso es que sólo modificaban el "index.php" del
directorio de SPIP, y ningún otro archivo más de todo el servidor...

Así que finalmente, en el servicio técnico me dijeron: "¿no te habrás dejado
ningún directorio con permisos 777?" Y efectivamente, ahí estaba el
problema. Con el "spip_loader.php" que cargas para instalar SPIP te obliga
en un primer momento a poner 777. Lo que nunca leí es que luego hay que
regresar al 755 para que no te quedes en pelotas... Entonces pensé que por
fin había encontrado el "agujero de seguridad" en mis SPIP.

Pero no! Hoy, de nuevo, con el 755 en mi directorio SPIP, una de mis webs ha
vuelto a ser hackeada por mis amigos (¿turcos?).

A alguien se le ocurre cómo es posible? Tendrá el SPIP algún otro agujero?

Gracias de antemano...

Joan Carles

_______________________________________________
Spip-es@rezo.net - http://listes.rezo.net/mailman/listinfo/spip-es

__________ Información de NOD32, revisión 2293 (20070527) __________

Este mensaje ha sido analizado con NOD32 antivirus system
http://www.nod32.com

_______________________________________________
Spip-es@rezo.net - http://listes.rezo.net/mailman/listinfo/spip-es

_______________________________________________
Spip-es@rezo.net - http://listes.rezo.net/mailman/listinfo/spip-es

Preguntá. Respondé. Descubrí.
Todo lo que querías saber, y lo que ni imaginabas,
está en Yahoo! Respuestas (Beta).
Probalo ya!

_______________________________________________
Spip-es@rezo.net - http://listes.rezo.net/mailman/listinfo/spip-es
_______________________________________________
Spip-es@rezo.net - http://listes.rezo.net/mailman/listinfo/spip-es

~~~~~~~~~~~~~~~~~~~~~~~~~
www.periodismoentrerios.com.ar
| punto de ingreso a la información |

www.graciasdenada.com.ar (blog!)

www.fabdeco.com.ar [FabdeCo]
{desarrollo web & comunicación digital}
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Preguntá. Respondé. Descubrí.
Todo lo que querías saber, y lo que ni imaginabas,
está en Yahoo! Respuestas (Beta).
Probalo ya!

_______________________________________________
Spip-es@rezo.net - http://listes.rezo.net/mailman/listinfo/spip-es

fabdeco · Juin 4, 2007, 7:01

las dos funciones son diferentes, igual de buenas y sirven
veamos:

php_flag engine off

lo que hace es desactivar el funcionamiento de PHP en ese directorio

así, se pueden subir archivos PHP al directorio IMG, pero estos no se « ejecutarán »…

con la otra opción, lo que haces es limitar qué archivos se pueden subir a ese directorio (en el caso mostrado, directamente no deja que se suban via Web archivos .php)

se pueden « colocar » las dos opciones a la vez, lo que redundaría en más seguridad…
se puede y no afecta nada,
aunque no se si es « redundante sin sentido »…

Joan Carles Martorell jc@yerblues.net escribió:

Hola de nuevo,
Os cuento que mi proveedor de hosting me ha recomendado poner en el
directorio IMG un .htaccess con la siguiente línea…

php_flag engine off

…para evitar problemas de seguridad.
¿Qué opinión os merece? ¿En que se diferencia de…

Options All -Indexes

… que se ha propuesto anteriormente?
Saludos!

----- Original Message -----
From: Juan Pablo Portugau
To: Metrodelegados ; Spip lista
Sent: Tuesday, May 29, 2007 4:16 PM
Subject: Re: [Spip-es] directorios 777 y hackers

Hola:
un htaccess con ese código, se debería subir a la carpeta IMG

ese código -diciéndolo simple- lo que hace es permitir que vos puedas subir
archivos con esas extensiones, pero no deja que se listen los contenidos del
directorio sino tiene un « index.html », (el IMG no lo tiene), y a su vez
impide que se suban otros archivos como PHP, etc, o los que no tengas
listados…

vale aclarar que desde una imagen también nos pueden ocasionar un ataque…

y dejas a IMG con permiso 0777

esto no es la gran garantía pero ayuda muchísimo y es lo que suelen
recomendar (o exigir, según el caso) los proveedores de hosting…

por otro lado, htaccess sirve para muchísimas cosas, no solo reescribir URL
ni tampoco solo cuestiones de seguridad, pero no soy un entendido

hasta acá puedo ayudar, pero nomás, porque no se más,

no obstante, quedémonos tranquilo: les cuento que estuve buscando
información sobre ataques o bugs de seguridad en SPIP, y -aplausos- es el
CMS más seguro o con menor vulnerabilidad de todos, según mi
« investigación », que puede estar errada por cierto,

saludos
juan pablo

Metrodelegados

[www.periodismoentrerios.com.ar](http://www.periodismoentrerios.com.ar)
| punto de ingreso a la información |

[www.graciasdenada.com.ar](http://www.graciasdenada.com.ar) (blog!)

www.fabdeco.com.ar [FabdeCo]
{desarrollo web & comunicación digital}
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

---

**Preguntá. Respondé. Descubrí.**
Todo lo que querías saber, y lo que ni imaginabas,
está en **Yahoo! Respuestas** (Beta).
**[Probalo ya!](http://ar.answers.yahoo.com)**