jueves, enero 27, 2011

Otro listing más

La verdad es que no hemos mirado bien cómo coño ha llegado esto a estos servidores, y tengo que darle más vuelta. Tal vez sea algo conocido por todos y sea muy sencillo de explicar, así que si sabes la respuesta, pon un comentario y me ahorras el trabajo de buscar el origen del problema.

El caso es que uno de los compañeros, el de Huelva, había encontrado que un servidor devolvía el listado de todos los ficheros de un directorio cuanod pedía un fichero .listing, pero no sabía la razón.

Como era .listing, le dije: "¡Coño!, Google lo va a tratar como una extensión, busca por los ficheros de extensión .listing y vemos cuantos tienen el mismo fail"... y flipamos.


Figura 1: 75.000 sitios con listing... indexados.. ¿cuántos habrá sin indexar?

La historia es que hay más de 75.000 sitios listados por Google con este programita que te permite navegar por el árbol de ficheros de la forma más sutil y sin vulnerar la seguridad de ningún sitio ni ninguna ley. Basta buscar en Google y hacer clic.


Figura 2: Sí, están instalados los archivos como root en este sitio

Lo gracioso es que hay algunos sitios especialmente curiosos que tal vez culmen tus expectativas...


Figura 3: El listing en la Nasa

Hay muchos freebsds, sitios de forensics, hacking, etc... para echar un rato esta mañana navegando por ahí en lugar de ligando en el Facebook. Por supuesto, la nueva versión de la FOCA buscará estos programitas en todos los directorios.

Saludos Malignos!

11 comentarios:

  1. Una busqueda rapida lleva al manual del wget: http://www.gnu.org/software/wget/manual/wget.html#FTP-Options

    Vendra a ser como el WS_FTP.LOG de los linuxeros :P

    ResponderEliminar
  2. Vaya lolazo!

    Anda que no da juego la NASA: http://fermi.gsfc.nasa.gov/FTP/FTP/.integral_archive2/FTPINTEGRAL/software/root/tutorials/

    Vaya tela...

    ResponderEliminar
  3. Jajaja, alguien dijo Spectra?

    http://fermi.gsfc.nasa.gov/FTP/FTP/.integral_archive2/FTPINTEGRAL/high_level/spectra/

    ResponderEliminar
  4. ******************************************************************************
    U.S. GOVERNMENT COMPUTER
    If not authorized to access this system, disconnect now.

    YOU SHOULD HAVE NO EXPECTATION OF PRIVACY
    By continuing, you consent to your keystrokes and data
    content being monitored
    ******************************************************************************


    Ups... Desconectando... ^^'

    ResponderEliminar
  5. Hola,

    mira por aqui http://www.meneame.net/story/error-segurida-servidores-web

    Un saludin

    ResponderEliminar
  6. Moooooola:)

    Un saludo.
    Manolo.

    ResponderEliminar
  7. Entonces, ya se sabe qué provoca estos .listing? algún módulo del servidor?

    ResponderEliminar
  8. Si quisiera buscar los fichero .listing en un sitio en especial como le hago, probe con site:elsito ext:listing
    pero nop
    Saludos

    ResponderEliminar