Cron

Cron

by Juan Antonio Regalado -
Number of replies: 4

En algunos sites -cierto que en pocos- es posible acceder como Administrador sin pasar por el login, o sea, sin teclear usuario ni contraseña.surprise

No se corre mucho peligro pues tan solo se puede cambiar la configuración de la página de inicio (y algo más), pero considero que es demasiado grave.black eye

Piensen que algunas páginas podrían ser hackeadas.clown

¿Nadie se había dado cuenta? Yo soy docente, no informático, y lo he averiguado. De todas formas, basta con cambiar los permisos del archivo cron.php para evitar esta intrusión.evil

Espero haber ayudado a alguien ante los intrusos.wink

Saludos.approve

Average of ratings: -
In reply to Juan Antonio Regalado

Re: Cron

by Finsals Collons -

Juan Antonio.

¿Podrías dar más información sobre este problema? ¿Cómo se puede acceder como Administrador sin pasar por el login? Sabiéndolo uno puede detectar si su site es vulnerable a ese problema o no.

¿Cómo hay que dejar los permisos de cron.php para evitar el problema?

Muchas gracias,

Finsals Collons

Average of ratings: -
In reply to Finsals Collons

Re: Cron

by Eloy Lafuente (stronk7) -
Picture of Core developers Picture of Documentation writers Picture of Moodle HQ Picture of Peer reviewers Picture of Plugin developers Picture of Testers
Hola,

entiendo que, por razones obvias, no debe publicarse en estos foros, la "vulnerabilidad" que comentas. Espero que estéis de acuerdo.

Actualizando tu servidor de Moodle a la versión 1.3.2 el problema (que solo afectaba a versiones de PHP 4.1.x) desaparece completamente.

Para más información, te recomiendo que leas esta discusión del curso de Moodle en Español.

Ciao smile
Average of ratings: -
In reply to Finsals Collons

Re: Cron

by Juan Antonio Regalado -

Hola Finsalls,

Yo no estoy de acuerdo con Eloy y pienso que la gente debe saber sobre la seguridad de su site.

Descubrí por casualidad el fallo en mi página e investigué si el problema era mio o de alguien más. Pedí opinión a los expertos (yo no lo soy) y cuando éstos me insinuaron la detección del mismo, dejé el tema.

A mí nadie me ha ayudado a solucionar ese problema, pues no olvidemos que toda esta historia viene porque descubrí que en mi página se podía acceder como administrador sin pasar por el login. Finalmente, con mis justos conocimientos informáticos, opté por cambiar los permisos de cron.php, aún a sabiendas que la solución no sería esa.

Eloy Lafuente te la dará. Yo, conozco el fallo, pero no la solución.

Gracias a todos.

Average of ratings: -
In reply to Juan Antonio Regalado

Re: Cron

by Eloy Lafuente (stronk7) -
Picture of Core developers Picture of Documentation writers Picture of Moodle HQ Picture of Peer reviewers Picture of Plugin developers Picture of Testers
Hi Finsalls and Juan Antonio,

as I commented in my previous post here (in Spanish) you should update your server to Moodle 1.3.2.

Anyway, this course must be used in English (I think) so I recommend you to join to the "Moodle en Español" course (or to use English here, as you want wink).

Ciao smile
Average of ratings: -