DaboBlog

Edito y añado; Resumen de mi charla

A raíz de una distendida y enriquecedora charla que mantuve con Carlos Urioste (Blog > “Voolive“), gerente de El Comercio Digital y gran conocedor de un medio tan “desconocido a veces por los medios” (tradicionales) como es Internet, me he embarcado de lleno (hasta la piscina diría yo-;) en la tercera edición del Foro Internet Meeting Point, Fimp) que se celebrará en Gijón entre los días 1 y 3 de Julio.

En reunión estuvo también Ana Fernández Ordíz (Blog > “Con Alegría e Ilusión“), ella forma parte del equipo que se encarga de promoción y participación online en El Comercio Digital y se nota cuando la gente hace su trabajo llevando el título de su blog a la práctica “con alegría e ilusión”.

Insistieron en que tenía que estar en el FIMP de este año y a pesar de que les dije que hay gente más preparada que yo para estar en un evento de tal calibre, quise estar a la altura de la confianza que depositaron en mi y acepté encantado, consciente de la responsabilidad que supone.

No hay más que darle un vistazo al plantel de ponentes o participantes de este Fimp 2010 (PDF) en las diferentes charlas o mesas redondas para darse cuenta de lo que hablo cuando digo “responsabilidad”…Podéis también ponerles cara a algunos de los organizadores y participantes (no pude estar) que vía Twitter lo presentaron.

Carlos me dio libertad total para prepararlo, imagino que buscaba también la experiencia personal de alguien que como yo, se ha tenido que ir buscando la vida para ir canalizando el tráfico que le llegaba a sus webs.

Un incremento de tráfico que tuve que lidiar primero con un Daboweb que, cuando empezamos (año 2002) ya era un foro con bastante tráfico y sobre todo, hablando de incremento de tráfico, la prueba definitiva para mi llegó a partir del 2005 con Caborian que, al mover tantas imágenes y con unas dos millones de páginas vistas al mes, además de muchas consultas a la base de datos, también es un buen “potro” que domar, además de otras webs que ya conocéis.

Por otro lado, los más asiduos al podcast o el blog, ya sabéis de mi relación tan estrecha con los temas relacionados con la seguridad. El eterno aprendiz, así me podría catalogar en un campo tan vivo como este. Al final, después de darte de leches noches y más noches con el sistema (ya lo digo en mi ficha de participante en el FIMP, no he tenido la suerte de poder estudiar nada relacionado con la informática dentro de un aula) te das cuenta de la gran relación con la seguridad que hay entre un sistema bien optimizado y uno que no lo esté.

Corría el año 2005 cuando contraté mi primer servidor dedicado en Interdominios, (a los que les doy las gracias por el apoyo continuado desde que empecé), un Pentium III con 512 mb de Ram y 40 Gb de disco duro que se portó siempre como un campeón, estaba cansado de sufrir caídas del foro dentro del alojamiento compartido en el que estaba y gracias a Raúl Naveiras, gran amigo y mejor sysadmin, programador y un largo etc, comencé a ser mi propio ISP y de paso, a verle las orejas al lobo y darme cuenta de lo poco que sabía acerca de estas temáticas.

Gracias a Raúl, también aprendí a vivir sin esos paneles gráficos como Plesk, Cpanel, DA, etc que tanto te facilitan la vida cuando no sabes pero que a su vez, tanto limitan tus conocimientos sobre el sistema (GNU/Linux en mi caso), además de tomar un protagonismo excesivo sobre el mismo. Ya les dediqué una entrada en el blog a estos sistemas y la falta de una administración adicional en la máquina.

Luego, cuando fui aprendiendo a base de prueba-error, pasé a meterle mano a servidores dedicados más potentes y a administrar otros de terceros. En estos 5 años, he ido pasando por diferentes fases hasta llegar a comprender más o menos como se mueve todo esto.

También a ser consciente de los problemas que se encuentra cualquiera que inicia un blog u otro proyecto web y empiezan a subir sus visitas, y con ello sus problemas a la hora de elegir su plan de alojamiento adecuado, o ser consciente de lo que deberían pedir cuando contraten un nuevo hosting.

No deja de ser menos cierto que el compartir experiencias en nuestros foros de Daboweb, te ayuda hacerte una idea de los problemas de los demás y cómo intentar paliarlos llegado el caso. Y relacionado con todo esto y la charla-demostración práctica del FIMP, pensé que el compañero de viaje ideal para llevarla a buen puerto era Oscar Reixa (Oreixa).

Alguien que de blogs, ahí están todos sus planetas dentro de Galaxia Blog, ( Recién renovados; Reixa, Mac, iOS, iPhone), de tráfico y de cómo buscarse la vida también sabe mucho. El mismo día en que se confirmó mi asistencia al FIMP, me tomé una cerveza con otro que de este medio podría hablar largo y tendido, desde el punto de vista del blogger, formador, usuario o sufridor de los picos de tráfico de su éxito -;). Hablo de mi amigo Juan García, “Kids” de Blogoff, quien por cierto ha escrito una recomendable entrada sobre “Por qué ir al Fimp sin conocer el Fimp“.

Juan me dio algún consejo para la charla, o más bien me contó cómo le gustaría que fuese según su percepción de las cosas o cómo le afectan las cuestiones de optimización y seguridad en el día a día de la publicación y la forma de afrontarlas. Además darme un montón de ánimos para el día 3, como muchos de vosotros -;).

También estos días, hablando con grandes amigos y gente que lleva adelante proyectos con peso y solera en Internet como pueden ser Destroyer y Danae, Forat, AJ, Rafa Espada o Diego, (juntos llevamos adelante DebianHackers) en este caso me refiero a personas que llevan adelante blogs regularmente pero que también administran sus servidores Privados/Dedicados (o co-administramos, ahí estamos ayudándonos unos a otros desde hace años-;), también voy cogiendo ideas (Liamngls, me faltas tú-;).

Pero para no perder la perspectiva, las sugerencias de otros que van “más tranquilos” en La Red como David Busto o Karbonato, nos vienen muy bien para preparar la charla. En este caso hablo de usuarios a los que no les preocupa tanto el sistema, sino el resultado final de la publicación aunque se interesan por el sistema y Karbonato por ejemplo, tiene un VPS bajo Debian.

¿El resultado?, más o menos la descripción que Oscar y yo a modo de resumen, hemos hecho para dar unas pinceladas de lo que compartiremos con el resto de compañeros que asistirán al evento. Tal y como se indica en el programa definitivo del Fimp; También está al completo con los participantes en PDF.

Título;

“Sobrevive a tu tráfico web sin morir o arruinarte en el intento”.

Descripción;

“Soñamos con aumentar el tráfico de nuestros blogs, pero ¿estamos preparados para un incremento súbito en las visitas sin perder el “sueño”? Repasaremos técnicas básicas de guerrilla para tener a punto tu WordPress, optimizar y preparar el servidor web para absorber ese tráfico.

También veremos con ejemplos y demostraciones prácticas, lo complejo que resulta a veces diferenciar entre el tráfico legítimo y el indeseado que llega hacia tu sitio web. Todo ello apoyado con escenarios reales de ataques web de diversos tipos, dando desde nuestra propia experiencia, algunas pautas para paliarlos y una visión global de lo que deberías saber antes de pasar por caja y contratar una nueva máquina”.

Quizás lo más complejo haya sido darle forma a todo o más bien resumir lo más importante. Esa fase ya está superada (más o menos-;) y ahora queda preparar cada uno nuestra parte. Dispondremos de 60 min y lo haremos en dos bloques, estamos controlando ahora mismo el tiempo para cada uno de ellos. En ambos casos, apoyaremos lo comentado con ejemplos realizados en riguroso (esperemos que no falle-;) directo.

Mi compañero de viaje en el Fimp, Oreixa, se centrará en temas relativos a lo importante que es la elección de un hosting y los puntos a tener en cuenta para contratar un nuevo plan de alojamiento, hablará de optimización desde lo más básico en WordPress (usado por la gran mayoría de asistentes a la charla, también dará pautas y herramientas para asegurarlo), hasta temas de más complejidad en el lado del servidor, válido para un VPS o dedicado, (cachés de disco, memoria, PHP, MySQL, etc), monitorización de servicios y el sistema, etc.

Por mi parte me centraré en temas que afectan a la seguridad y en lo complejo que resulta a veces diferenciar el tráfico legítimo del indeseado. También haré alguna demostración práctica de cómo se llevan a cabo ataques de fuerza bruta como los que realizan servidores o hosts troyanizados (típica Botnet) contra protocolos tan delicados como SSH, FTP, etc, ataques DoS bajo peticiones HTTP o Syn.

También se verán ejemplos de cómo un buscador puede tumbarte un servidor, ataques XSS, vulnerabilidades en PHP y otros servicios, seguridad por oscuridad con varios ejemplos y sus correspondientes test de intrusión externos, ver un firewall en acción y algún consejo para usarlos, búsqueda de Rootkits, control de puertos y servicios a la escucha, etc.

A su vez, iremos viendo alguna medida para poder paliar (en parte, ya que la seguridad “total” es una utopía y más en un servidor web). Como todo esto se va realizar usando 4 o 5 servidores reales en producción, sólo espero que no nos fallen las comunicaciones aunque intentaremos tener un plan B o C. Si os pasáis por el Fimp esos días, puede ser un buen punto de encuentro para ponernos cara delante de unas birras -;).

Edito y añado;

Resumen de mi participación y los temas que traté

Muchas gracias a todos por los ánimos y por vuestras entradas que voy leyendo ;)

Oscar en Planeta Reixa

Fernando en SInLaVeniA

David en Ennegativo

Forat en Forat Dot Info

Diego en DebianHackers.

Caborian Caborians en el FIMP

Además de todos los apoyos que llegan desde Twitter, mails, etc. En “Fimp” que sois la leche ;)

Compartir

Tags: Apache, Ataques, Blogs, Cpanel, DaboBlog, Debian, Gijón, GNU/Linux, hosting, Internet, ISP, MySQL, PHP, Plesk, Servidor Web, Sysadmin, Wordpress

Bueno amigos, Forat ha cumplido como un campeón, además de ser un “súper papá”, ha demostrado que cuando decía que cerraba los comentarios para poder seguir creando contenidos, no lo decía por decir.

Ahí está el gran trabajo que ha hecho con su último proyecto, “Servidor Web 2010 con Ubuntu GNU/Linux”, una gran ayuda en el camino de cualquiera que quiera montarse su servidor web en casa con todos los servicios necesarios para echarlo a andar “con fundamento” -;).

A continuación os traigo aquí el índice del tutorial entrega por entrega;

Introducción

- Vol 1 ( Como instalar Linux Ubuntu Server 9.10 )
- Vol 2 ( Configuración de Red y manejo remoto vía OpenSSH con SSH y SFTP
- Vol 3 ( Como instalar LAMP + PhpMyAdmin )
- Vol 4 ( Abrir y redirigir puertos desde nuestro Router )
- Vol 5 ( Encontrando nuestro servidor desde Internet con No-Ip )
- Vol 6 ( Servidor web Apache y su VirtualHost con NoIp )
- Vol 7 ( Dominios comerciales + VirtuaHost en Apachee )
- Vol 8 ( Estadísticas web Open Source con Piwik )
- Vol 9 ( Estadísticas sobre nuestro Hardware con PhpSysInfo

Enhorabuena bro, otro aporte más para la comunidad, a ver con que nos sorprendes ahora -;).

Compartir

Tags: Apache, Forat, FTP, GNU/Linux, Hardware, Internet, IP, PHP, Server, Servidor Web, SSH, Ubuntu

Si amigos, Forat suelta la mecha del que será su próximo gran proyecto para empezar el 2 010 con fuerza y celebrar su reciente paternidad (podéis seguir las novedades de su “apt-get remove pañal” xD en www.forat.es, el blog de su hijo Eric-;).

En una de mis anteriores entradas, me hice eco de la nueva situación de Forat a nivel personal que se avecinaba y también en su blog con el cierre de comentarios, decisión que le ayudé a tomar y que apoyé en todo momento. Pero como dijo en su día, no iba a parar su actividad, sino que este punto y seguido serviría para preparar futuros contenidos de un modo más pausado y aquí está el resultado.

Instalación de un servidor web bajo GNU/Linux con Ubuntu Server.

He estado muy cerca de la creación de este tutorial en el que paso a paso, podréis instalaros un servidor web en vuestra casa con software libre y listo para funcionar a pleno gas y os puedo decir que Forat ha echado el resto como podréis ir viendo en cada entrega del tutorial.

Somos compañeros de podcast y de terminal muchas noches en interminables y apasionantes sesiones vía SSH coordinando la jugada por Skype (con el cambio de su server que comenta en la intro del tuto tuvimos alguna memorable-;) pegándonos con Apache, MySQL, PHP y “casi todo lo que se menea” en un servidor web y os aseguro que si seguís los pasos que plantea Forat, os vais a ahorrar mucho trabajo -;).

Acceso a “Servidor Web bajo Linux Ubuntu Server – Introducción”

Ánimo bro !! Estamos con ganas de ver ya todo el material -;)

Compartir

Tags: Apache, Forat, GNU, GNU/Linux, MySQL, PHP, Server, Servidor Web, Software, SSH, Ubuntu

Desde el blog “desvaríos informáticos“, su autor nos avisa de un grave ¿gravísimo? bug que afecta a la última versión de WordPress (2.8.4) y anteriores, el fallo se da en el fichero wp-trackback.php y una vez se lanza el exploit sobre el sitio web atacado, el consumo de memoria y uso de CPU del servidor web intentando procesar esas peticiones, sube hasta el punto de (en 3 minutos en mi caso) dejar K.O la máquina en cuestión.

Aunque todavía no hay una solución al bug por parte de WordPress, el propio autor, además de hacer público el exploit para comprobarlo, informa sobre como solventarlo (además de quejarse de la falta de respuesta de WordPress y la solución que le comentaron).

Solución al fallo;

1º) Buscad en “wp-trackback.php” (línea 45);

$charset = $_POST['charset'];

2º) Sustituid por;

$charset = str_replace(",","",$_POST['charset']);
if(is_array($charset)) { exit; }

He probado el exploit y puedo dar fe de que funciona;

debian:/home/dabo# php exploitwp.php http://www.url_victima.com
hit!
hit!
hit!
hit!
hit!
hit!
^C

Y con una simple conexión, (la mía) he conseguido casi dejar K.O (estaba monitorizado y lógicamente paré) a un servidor web de alguien que comenta habitualmente por aquí. Aprovecho para informaros que el php y otros aspectos del servidor no estaban nada mal configurados (límites del php, tiempo de ejecución, etc) por lo que sin querer entrar en populismos, el bug me parece simplemente devastador…

Sólo me queda darle las gracias a jcarlosn, autor del post (que con la portada de Menéame tiene mayor repercusión) por informar y dar la solución. Si alguien se pregunta que me parece el hecho de que haya hecho público el exploit junto a la solución, le diré que entiendo que si desde WordPress y aún habiendo informado, no acababan de dar salida o solución al tema, se ha visto obligado a hacerlo público.

Creo que no es momento de discutir sobre el “sexo de los ángeles” si “yo hubiera hecho esto o lo otro” sino de parchear los blogs y en mi caso informar y dar fe de la seriedad del asunto.

Entiendo que desde WordPress se liberará una nueva versión que lo solvente. Hay una gran comunidad de desarrolladores detrás y estarán en ello, aunque en este caso y por el bien de muchos servidores web, espero que se den prisa ya que son sólo dos líneas de código.

Compartir

Tags: Blogs, CMS, Exploit, PHP, Seguridad Informatica, Wordpress

Si, llevaba años sin pegarme con uno y la verdad es que la impresión ha sido muy buena. Ese sistema de foros, phpBB, era lo que en origen teníamos en Daboweb y Caborian y la verdad es que cuando la versión 2x empezó a dar guerra, migramos a SMF hasta la actualidad.

Pero cosas de la vida y por un trabajo que me han encargado, estos días he estado actualizando una obsoleta versión 2.0x a la flamante 3.0.5 y me ha sorprendido gratamente en muchos aspectos.

Sobre phpBB encontraréis la mejor información posible en phpbb-es.com, donde colaboro y hay un equipazo impresionante de gente que os hará la vida muy fácil con estos foros, pero por mi experiencia de estos días con la migración de phpBB2 a phpBB3 (se instala una versión 3 nueva y luego se usa el conversor), os diré que todo lo que he visto ha sido bueno a nivel de configuración, administración, cacheo de contenidos, control de usuarios, opciones para los usuarios y administradores, seguridad,etc, etc.

Yo, cuando la versión 2 de SMF sea estable, migraré de la 1.x porque con ese sistema de foros estoy muy contento, pero después de lo visto, phpBB3 es una opción muy a tener en cuenta, además, con un soporte en español más potente que SMF (resultando una tarea más sencilla e intuitiva el manejo de foros, grupos de usuarios, permisos, etc.) y herramientas como “Automod” que os facilitarán mucho la tarea de gestionar “mods” o añadidos y mejoras para el foro.

Si tenéis un foro en phpBB de la rama 2.x, (ya obsoleta y con muchas versiones inseguras) no dudéis en actualizarlo a la 3.05 (versión actual estable) y sabréis de lo que estoy hablando, eso si, dependiendo de como sea el servidor o plan de alojamiento elegido, esa migración puede dar algo de guerra, cosa que me sucedió a mi y como era en un servidor dedicado, pude ver los errores en los logs y trastear un poco con MySQL server y Apache para aumentar los límites y rendimiento necesarios para la conversión, a mi por dos veces me falló, pero al final se migraron todos los mensajes, foros, usuarios, etc.

Para acabar, el mejor consejo que os puedo dar es “deja al script de migración-conversión hacer su trabajo sin tocar nada hasta que acabe” -;) y “reza para que tu servidor este correctamente configurado para convertir todos los mensajes” xD.

(PDT)

Esta entrada está dedicada a Joseba que se va a “pegar” también estos días con phpBB, mucha suerte y al toro, que no se diga !

Compartir

Tags: Apache, CMS, foro, MySQL, PHP, phpBB, SMF, Webmaster

Este es un gran trabajo de Forat que cansado de ver sus tutoriales en otras webs llenos de publicidad y casi sin poder ver la autoría, se ha puesto manos a la obra y ha preparado en PDF y para descargar vía Megaupload 4 de sus mejores tutoriales.

Entre ellos (Servidor web bajo Ubuntu, sistema de vigilancia en Debian y Media Center en Ubuntu Alternate) destaco por el uso que le doy y por “cercanía” el de como montar un servidor web con Debian GNU/Linux desde el primer paso que es el hardware, pasando por la instalación del sistema base (con fotos y explicaciones muy útiles para los que empiezan) y terminando en como se instala y configura MySQL, PHP, Apache, un sistema de estadísticas, servidor FTP, de control del sistema, etc, etc.

Unos tutoriales a modo de libros electrónicos que siempre viene bien tener a mano y que os recomiendo descargar y leer con calma. Vaya desde aquí mi más sincera enhorabuena al autor por este excelente trabajo -;).

Más información y descarga.

Compartir

Tags: Apache, Debian, Forat, GNU/Linux, Libros, MySQL, PDF, PHP, Proftpd, Tutoriales

Estaba mirando las noticias “pendientes” de menéame y me he encontrado con esta entrada. Desde propiedad pública nos hablan asi de este Vídeo curso para aprender PHP desde cero.

- En este primer video instalaremos las herramientas necesarias para trabajar con PHP en nuestro ordenador, crearemos un documento HTML y repasaremos su estructura. Para finalizar crearemos nuestro primer programa en PHP, el ya mítico “Hola, esta es mi primera página en PHP”. -

Sin duda una gran iniciativa que os recomiendo seguir y como digo en el título, con licencia Creative Commons. Suerte con el curso los que os animéis a seguirlo -;)

Compartir

Tags: Creative Commons, PHP, Tutoriales, Videos

Es un Doc de los buenos, de esos que me guardo por ahí en mis marcadores para consultarlos con calma. La gente de TLDP-ES/Lucas esta vez viene con este tutorial para instalar un servidor web (mini servidor dice el tuto) con Debian GNU/Linux y todo el “arsenal” de recursos en forma de software libre que harán de tu viejo ordenador un señor server en toda regla :D.

Abarca casi todos los aspectos que puedas necesitar tales como compartición de archivos con Windows mediante Samba, seguridad con iptables etc etc. Todo ello explicado de una forma clara y ordenada. El autor es Antonio Jesús Díaz Fernández y el tutorial lo verás pinchando aquí. Ya me contarás -:)

Yo además de en el portatil como sabéis, en mi PowerMac G3 tengo junto con OS X Debian GNU/Linux funcionando y va como un tiro, servidor Apache para hacer pruebas incluido, si tenéis por casa una máquina por ahí apartada haced la prueba y veréis :D

Compartir

Tags: Apache, Debian, GNU/Linux, MySQL, PHP