[Usuarios Plone] Re: Ataque a Plone 2.1

Tue Nov 10 16:31:55 UTC 2009

Hola Israel. Y gracias por tu interés.

----- Original Message ----- 
From: "Israel Saeta Pérez" <dukebody at gmail.com>
Subject: Re: Ataque a Plone 2.1 Re: [Usuarios Plone] Me presento

> La verdad es que no he leído ni entendido muy bien tu problema, pero

Te lo explicaré con más detalle y si te quedan dudas me lo dices:
Mi problema es uno que me he quedado sin tleo.es 
(http://tleo.objectis.net/view se ve el error que arroja) después de un 
ataque.
Y los temas que se me han sugerido a partir de esto son dos: 1- Analisis del 
ataque y medidas de defensa. 2- Rehabilitación del sitio.
Hasta aqui solo hemos avanzado un poco en el 1º, es el tema de este hilo: 
Ataque a Plone 2.1.

En http://cursoweb.objectis.net/masde4000Undos.rar se ve una lista de Undos 
de tleo ahi se puede ver el listado de acciones y con ella como progresó el 
ataque. Se crearon +o- 2000 usuarios, y -supongo- que fué inyectando codigo 
¿? después de capturar una cookie de session ¿?. He visto que es -o era- una 
vulnerabilidad importante en plone.
En http://www.tleo.objectis.net/PesodelaWeb (es una zpt que nos informa del 
espacio y los objetos) se puede ver que el nº de objetos del portal es igual 
al maximo nº de objetos alojables = 3000.
Respecto a esto resulta que no consigo hayar esos objetos, en el catalogo 
aparecen 1992 ¿quizás no se usar el catálogo?,

> para evitar el problema de que se creen muchísimos usuarios lo que tienes 
> que hacer es no permitir que los usuarios se registren ellos solos.

Desde que detecté que estaba siendo objeto de intento de ataque habilité la 
caracteristica de confirmacion por correo para los nuevos miembros. Así y 
todo este sucedio mas de un mes después.

> También tienes que restringir los comentarios para que sólo los puedan 
> hacer miembros, si no quieres tragarte el SPAM.
>
> Aunque tampoco sé si se podrá hacer esto fácilmente en versiones de Plone 
> tan antiguas como 2.1.
> -- israel

Si se puede tranquilamente, aunque es un problema para portales que desean 
que los anonimos puedan aportar comentarios.

Bueno y aqui estamos. Respecto al 2º tema ahora quizás principal: 
Rehabilitar el sitio.
El dia anterior al desastre simplemente eliminé los usuarios añadidos y 
siguió funcionando, pero al dia siguiente al ver que aquello seguía en un 
momento de ofuscación eliminé la carpeta portal_actions (siendo ignorante en 
tracebacks) diría que es esto lo que indica el mensaje de error (de 
http://tleo.objectis.net/view)
En la ZMi observo mis viejos objetos perfectamente, debiera de asegurarme de 
limpiarlo bien (pero no se como hacerlo (¿el zpt dice 3000 objetos y el 
catalogo 1992?) y conseguir que plone funcione mostrando su entrada y sus 
objetos para esto habré de reponer Portal_Actions y no se tampoco como (el 
undo no lo repone), en una copia en local que tengo no le sirve con añadir 
una carpeta copiada de otro plone similar ... ¿que se te ocurre?
Bueno chic at s, gracias por todo y si pueden orientar en algo no dejen de 
hacerlo.
Saludos.
Juan Gómez. 