Errores de (los administradores) cPanel

marzo 30, 2012 § Deja un comentario

Cualquier página Web presente en Internet tiene detrás un servidor (físico o virtual) y un hosting que le da servicio, conectividad y visibilidad a todo el mundo. Existen múltiples empresas dedicadas a ofrecer sus servicios de alojamiento Web (hosting) donde poder colgar una página Web y posibilitar así que cualquier persona desde el rincón más escondido de Internet pueda visitarla. Al mismo tiempo, todas estas empresas de Web Hosting facilitan la labor de publicar dicha página y administrarla mediante herramientas de gestión basadas en tecnología Web con un interfaz de usuario sencillo, y a la vez potente, que permite cambiar y editar el contenido, las imágenes, el diseño, utilizar CMS (WordPress, Joomla, Drupal, etc.) como, por ejemplo, cPanel, froxlor o Parallels Plesk Panel.

Algunas de estas empresas de hosting Web son muy conocidas como 1and1, Network Solutions, Bluehost, etc. Aparte de las diferentes ofertas y el precio de cada una de ellas, todas disponen de herramientas de administración y paneles de control para la facilitar al usuario las tareas de gestión de la Web. De entre todas esas herramientas, la que está más extendida es cPanel. CPanel apareció por primera vez allá por el año 1996 y, poco a poco, por su potencia, flexibilidad y facilidad de uso se ha ido asentando y actualmente es el programa de gestión Web más utilizado. cPanel proporciona al usuario control absoluto sobre la página Web en función de lo que el administrador de la empresa de hosting determine.

Tal y como se puede observar en la página Web de cPanel, entre sus principales características destaca:

  • Facilidad para administrar páginas Web con el administrador de archivos de cPanel.
  • Función cPanel Web para cortar y pegar ficheros desde el equipo local del usuario al servidor de la página Web.
  • Métodos tradicionales de transferencia de archivos tales como FTP, SFTP, FTPS, etc.
  • Facilidad en la creación de cuentas de correo electrónico y FTP adicionales.
  • Gran nivel de estadísticas acerca del uso y la actividad de la página.
  • Posibilidad de hacer copias de seguridad y restaurar backups de la página desde el mismo panel de control.
  • Facilidad para instalar aplicaciones comunes como osCommerce, phpBB, foros, CMS, etc.

Habitualmente, los esfuerzos se centran en hacer que las páginas Web sean lo más seguras posible, controlando los contenidos dinámicos (ASP, PHP, etc.) y la respuesta del servidor ante ataques del tipo Inyección SQL (SQLi), Cross Site Scripting (XSS) y, en general, cualquier otro problema que pueda comprometer la seguridad de la plataforma. Se da por hecho que la herramienta que proporciona la empresa de hosting es segura y cumple con los mínimos necesarios y recomendables para poder operar por Internet con ciertas garantías. Una simple búsqueda por Google demuestra que esto no es del todo cierto:

Captura de pantalla con los resultados de la búsqueda en Google de “hascgi: y

Especialmente interesante es el siguiente listado de cuentas de dominios de Indonesia, por ejemplo, obtenidas con la búsqueda anterior (se trata de un documento en formato Word de Microsoft):

http://www.Google.es/url?sa=t&rct=j&q=&esrc=s&source=web&cd=5&ved=0CGYQFjAE&url=http%3A%2F%2Fxa.yimg.com%2Fkq%2Fgroups%2F23114193%2F2086818954%2Fname%2F3%2BIA%2B12.doc&ei=cedyT87EEMOcOsympMAO&usg=AFQjCNG_UTWHyRjZ900irwUHbwF6F00rKA&sig2=tpLPGfaPzVHj_MCPy-qxUA

La potencia del buscador combinado con la caché de Google y acotando dicha búsqueda por países y dominios concretos genera resultados espectaculares y si lo combinas con el buscador Shodan (http://www.shodanhq.com/) buscando “cpanel” se abren un montón de posibilidades como, por ejemplo:

intext:© cPanel, Inc. + site:.es -> para encontrar cPanels de páginas Web españolas, luego hay que añadir el puerto 2082 a la URL y ya se tiene el panel de inicio de sesión de cPanel (http://dominio:2082)

Si se utiliza cPanel para crear un nuevo plan de hosting cuando un usuario se ha dado de alta y quiere hospedar su página Web, los pasos a seguir implican definir el nombre del nuevo paquete, el espacio en megabytes asignado a este nuevo plan, el ancho de banda para el tráfico asignado a dicho plan, etc. Para crear la nueva cuenta de usuario asociada a este plan hay que indicar el nombre de dominio que se quiere alojar, un nombre de usuario, una contraseña, una dirección de correo electrónico de contacto y la cantidad de subdominios, listas de correo y bases de datos, que el usuario podrá crear y gestionar. Al finalizar el proceso, cPanel proporciona un mensaje similar al siguiente:

+===================================+
| New Account Info |
+===================================+
| Domain: hacktimes.com
| Ip: 192.168.0.25 (n)
| HasCgi: y
| UserName: hacktime
| PassWord: contraseña_segura
| CpanelMod: rvlightgreen
| HomeRoot: /home
| Quota: 25 Meg
| NameServer1: ns2.hacktimes.com
| NameServer2: ns1.hacktimes.com
| NameServer3:
| NameServer4:
| Contact Email: hacktimes@hacktimes
+===================================+

wwwacct creation finished
Account Creation Complete!!!

Una vez que se dispone de cuentas de acceso de cPanel, es necesario encontrar el panel de autenticación que suele estar en la misma dirección que el nombre de dominio de la página pero en los puertos TCP 2082 o 2083 si es con SSL.

Como la mayoría de veces, gracias a un descuido de los administradores de sistemas, esta información se ha indexado y Google proporciona resultados sorprendentes donde se obtienen numerosas cuentas de usuario de diferentes empresas de hosting.

Fuente: Hack Times

About these ads

Deja un comentario

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

¿Qué es esto?

Actualmente estás leyendo Errores de (los administradores) cPanel en Seguridad Informática.

meta

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 105 seguidores

%d personas les gusta esto: