“La seguridad de un sistema, es tan fuerte como la de su eslabón más débil.”

Esta herramienta fue la que nos colaron y con la que nos hicieron travesuras en año nuevo. La subo por que merece la pena instalarla en los servidores de cada uno y ver que tanto daño puede hacer o que tan inseguro es nuestro servidor.

La pueden descargar -junto con otras- de aquí: c99

La herramienta se llama ajnnk.php, que aparentemente es el seudónimo de quien nos la dejó, estaba encriptada pero igual subí una versión legible para que se pueda analizar, con fines educativos obviamente :P Básicamente, son una recopilación de comandos y pequeños algoritmos en PHP que te permiten explorar y atacar el sistema donde está instalado. Es una herramienta para newbies, pero algunos de los errores que cometimos fueron bastante ridículos. El consuelo es que así se aprende.

Así es como pasé año nuevo. Feliz año musulmanes extremistas de Arabia Saudí. Resulta que la suma de muchas cosas (falta de mantenimiento en el servidor, permisos 777 por todos lados y así), logró que un par de mocosos hijos de Alá pudieran inyectar html en algunos archivos de nuestros blogs vía cPanel y WordPress. Note usted que en el momento de la foto, Arturo me mandaba sus deseos de año nuevo vía la consola :D

Aparentemente no tuvieron mayor acceso salvo la inyección del texto a determinados archivos, las bases de datos están a salvo y la mayoría de los errores de seguridad ya están cerrados, pero aún sigo con la paranoia por los errores que quizás no he detectado. Nos atacaron por un bug de cPanel y después por el plugin de Facebook Connect y WordPress, pero creo que ya dejé todo un poco más seguro.

¡Feliz año nuevo!

Que puedo decir. Fue un año muy difícil para WEM, Otháner ya dijo algunas cosas al respecto. Las montañas rusas emocionales y financieras del 2009 parecían interminables, pero aquí estamos, motivados y listos para el 2010 :D

Afortunadamente en WEM siempre he contado con los #wemmers, con Otháner sobre todo para tomar decisiones y para visitar clientes. Soy un terrible vendedor, siempre llego temblando, aunque de la nada aparece el coraje que necesito para encararlo, creo.

Muchos no tienen idea que para mantener una empresa, saber programar o saber diseñar no es suficiente. La estrategia, las decisiones, la administración los recursos, conseguir contactos, intercambios comerciales, búsqueda y atención de clientes, etc. Es un trabajo sumamente estresante. Toda empresa tiene gastos que debe cubrir y la mayoría de las veces estos nos absorben de tal manera que incluso olvidamos quienes somos como empresa, olvidamos la cultura de trabajo que elegimos y caemos en el error de prostituirse por dinero. Así que, mientras yo caía en la depresión, Otháner me animaba, Maru me hacía reir y Slider coloreaba mi vida -y sueños- trolleando xD, que puedo decir… emprender así es divertido.

Kosto incluso me cuidó cuando quedé dormido con las manos aún en el teclado mientras programaba en la Campus Party. Arturo, que no me asesina por llamarle en navidad y año nuevo para darle mantenimiento al servidor. También se que cuento con Jalil para cualquier cosa y con Staf621 para cualquier duda sobre programación.

Y espero poder responderles igual :)

Así es como se termina un año difícil. Empieza el 2010 y la verdad es que le tengo miedo. Mi vida escolar es bastante mediocre y es algo que he querido corregir desde… bueno, no importa. Lo importante es que estoy decidido a enfrentar este año escolar, el cual tiene toda la pinta de ser tan hijo de puta como fue el 2009 para WEM. Sin embargo aquí estoy, temblando de miedo, pero listo para lo que sea y esperando que el coraje “aparezca” como suele hacerlo.

Trabajaré por un buen 2010. No soy fan de la esperanza ni las creencias, así que no me queda otra más que trabajar por que mis deseos se cumplan. Espero que todos ustedes trabajen por los suyos. Feliz año nuevo a todos, si a todos, incluyendo a los musulmanes.

¡Salúd! :D

La mayoría de los ataques con SQL Injection comienzan con pruebas de inyección sencillas, solo para ver si el sitio es candidato a ser invadido. Si parece que tu sitio es “invadible”, empezarán inyecciones más fuertes hasta lograr lo cometido (que hoy en día más que vandalismos, es para hacer SPAM, malditos crackers). Así que ya saben, con fines educativos, me alegra mucho hacer eco de este documento SQL Injection Cheat Sheet v1.4 . Ampliamente recomendable para newbies en programación.

Vía | Sentido Web: SQL injection cheatsheet, este gran blog al que le había perdido la pista hace un tiempo :)