viernes, 28 de agosto de 2009

El Ministerio de Economía y sus descuidos

Y si, esta vez el Ministerio de Economía y Finanzas. No es que tenga nada con el gobierno, pero es notable como siempre algo fuera de lugar encuentro en sus servidores.

En esta ocasión se trata de un problema de configuración en el servidor web (Microsoft IIS) donde falta un mapeo ISAPI de la extensión .asa al archivo asa.dll. Lo que esto nos permite es la visualización de un archivo de configuración llamado global.asa el cual suele contener información de direcciones internas o bases de datos.

En este caso contiene información de una base de datos:



Nos encontramos con usuario, contraseña y nombre de una base de datos...algo muy peligroso y descuidado.

En caso de que ustedes tengan el mismo problema, acá les dejo la solución del mismo:

Abran Internet Services Manager. Hagan clic en el servidor Web afectado y seleccionen Propiedades en el menú contextual. Seleccionen Propiedades principales, seleccionen Servicio WWW -> Editar -> Inicio Directorio -> Configuración. Hagan clic en el botón Agregar, especifiquen C:\WINDOWS\system32\inetsrv\asp.dll como el ejecutable (puede ser diferente dependiendo de su instalación), ingresen .asa como la extensión, limiten los metodos a GET, HEAD, POST, TRACE, asegurense que el checkbox del motor de scripts está activado y por ultimo hagan clic en Aceptar.

Otras cosas que vi por ahí son unos scripts que armaron para instalar y actualizar un Antivirus. Esto no es bueno por dos razones:

  • Primero porque nos dejan saber que Antivirus tienen instalado en su red lo que nos puede permitir planificar un ataque en base al mismo
  • Segundo, porque en dichos scripts se pueden obtener nombres de recursos y servidores de la red, información que no debería ser visible para cualquiera.

Les dejo las capturas:





No veo la necesidad de tener esto en la carpeta web del servidor...


Ximo

No hay comentarios:

Publicar un comentario