[Usuarios Plone] Me presento

Juan Gómez txontaweb at telefonica.net
Sat Nov 7 15:41:51 UTC 2009 

Saludos a todos.
Me presento.
Son ya unos años (como pasa el tiempo) siguiendo vuestra lista usuarios-plone (y Hispazope y plone-cono-sur y plone-france).
También hace ya años de mi 1º plone http://tleo.objectis.net dedicado a la literatura (la comunicacion escrita, lectura, ecritura, la actualidad etc) fue el que me animo a introducirme en la informatica tecnica.
Mi perfil es el de un aprendiz de administrador de zope y plones. Llegado al phyton me paro y aun no he empezado pero tengo la base (y documentación) para hacerlo y con el tiempo dios dirá. Ahora mismo tengo tres plones [1] todos ellos se los agradezco a objectis.org.

He decidido mandar mi cuestión a usuarios-plone en vez de hispazope por que creo que se puede ajustar mas.
Y la razón por la que me he visto necesitado de consultar con vosotros es que http://tleo.objectis.net a sido atacado y las consecuencias son obvias. Dos posibles temas (o vertientes) del problema:
1- Analisis forense. ¿Como se ha llevado a cabo el ataque?. Metodo, vulnerabilidad, precauciones posibles (defensa) etc..
2- Rehabilitación. ¿Como restituir el plone al momento justo anterior en que colapsó? (el undo falla). 

Así que quizás deba de abrir dos hilos diferentes (o lo que haga falta) vosotros direis.
Pienso en uno que se titule en principo ataque en plone 2.1 (zope 2).

1- Respecto a la 1ª cuestión, aun http://tleo.objectis.net/view arroja un traceback de error. He colgado en: http://cursoweb.objectis.net/masde4000Undos.rar toda la lista de Undos de tleo ahi se puede ver el listado de acciones y con ella como progresó el ataque. Se crearon +o- 2000 usuarios, se le llama ataque DNS (denegacion de servicio) y -supongo- que fué inyectando codigo después de capturar una cookie de session. He visto que es -o era- una vulnerabilidad importante en plone.
En http://www.tleo.objectis.net/PesodelaWeb se puede ver que el nº de objetos del portal es igual al maximo nº de objetos alojables.

2- Respecto al 2º: a) habré de asegurarme que el plone no contiene codigo malicioso. y b) puedo ir al grano diciendoos que me encuentro (despues de descubrir que existe un manage_emergency por el que ya consigo acceder a ZMI) con que falta la carpeta portal_actions así que reparar esta falta será imprescindible ¿? (titulo posible para el 2º tema: reponer portal_actions borrado ¿?). En una replica en local del sitio que tengo, no se soluciona con copiar otra carpeta Portal_Actions.

[1] http://tleo.objectis.net , http://cursoweb.objectis.net , http://georges-braque.objectis.net

Bueno gentes. Se agradece de antemano toda la ayuda que podais prestarme y aprovecho la ocasión para felicitaros por lo ejemplar de la lista y en especial toda esa gente que estais ahi dia a dia dispuestos a no dejar pasar ni un tema por alto.
Saludos y Gracias.
Juan
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.plone.org/pipermail/plone-usuarios-plone/attachments/20091107/6d49f52f/attachment.html>

More information about the Usuarios-Plone mailing list