seguridad
Buscar y reemplazar texto en muchos ficheros
El otro día tenía la necesidad de buscar y reemplazar de forma masiva y automática un texto (html) en muchos ficheros a la vez, y hacerlo a mano era una locura. Con este script en perl que encontré en Internet (también pregunte en Twitter y me ayudaron mucho) podemos buscar y sustituir texto de forma recursiva. La primera utilidad de un código así es ante un problema de seguridad en el que nos inyecten código en nuestras páginas podremos detectar el código y sustituirlo de forma rápida.
#!/usr/bin/perl
# A simple recursive find and replace tool
# Copyright (C) 2010 Anatoliy Dimitrov, website-security.info
# This program is free software: you can redistribute it and/or modify
# it under the terms of the GNU General Public License as published by
# the Free Software Foundation, either version 3 of the License, or
# (at your option) any later version.
#
# This program is distributed in the hope that it will be useful,
# but WITHOUT ANY WARRANTY; without even the implied warranty of
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
# GNU General Public License for more details.
#
# You should have received a copy of the GNU General Public License
# along with this program. If not, see <http://www.gnu.org/licenses/>.
#If used escape these characters . * ? + [ ] ( ) { } ^ $ | \ ;
#The ‘s’ RE modifier makes it work on more than one line by default.
use strict;
use warnings;
use File::Find;
use Cwd;
my $changefrom = ‘code to be replaced\n’; #always leave \n at the end to avoid blank lines being left
my $changeto = ”; #usually empty unless you want to place something
my $extensions = ‘.php’;
my $path = cwd; #usually the current working directory
#do not change anything below this line
sub matchPattern {
my $file = $File::Find::name;
if ($file =~ /$extensions/) {
open INPUT, ‘<’, $file or warn;
my @input_array=<INPUT>;
close(INPUT);
my $file_code=join(“”,@input_array);
$file_code =~ s#$changefrom#$changeto#sg;
open OUTPUT, ‘>’, $file or warn;
print(OUTPUT $file_code);
close(OUTPUT);
}
}
find (\&matchPattern, $path);
En este script tenemos que destacar las variables del principio que son las que nos ayudarán en nuestra tareas:
- $changefrom es el texto que vamos a buscar para sustituir por el que pondremos en $changeto
- $extensions es la extensión de fichero en las que se buscarán las cadenas a sustituir.
Por poner un ejemplo por si nos han inyectado código malicioso en nuestros ficheros php, imaginar que nos ha introducido esto:
<script type=”text/javascript”>alert(“¿Estas seguro de que tu sitio web está protegido?”)</script>
my $changefrom =’<script.*seguro.*cript>\n’;
Vamos que podéis usar expresiones regulares sin problemas para las buscar y sustituir. Si necesitais un retorno de carro para añadir o eliminar recordar que podéis usar \n.
El código original lo podéis conseguir en GitHub. vía: Website-security
¿Por qué no debes buscar “Free WordPress Themes” en Google?
Interesante artículo en WPMU donde nos dicen porque no deberíamos de buscar nunca algo como “Free WordPress Themes” (Temas gratis para WordPress) en Google, ya que los resultados puede que no sean todo lo seguro que uno piensa.
El artículo nos habla de como muchos hablamos de la seguridad en WordPress pero nunca nos fijamos en cosas como las búsquedas que realizan los usuarios a la hora de buscar algo tan normal como plantillas o temas para WordPress. En este caso hablan del caso en inglés “free WordPress Themes” y realiza un sencilla prueba a los temas de cada página web con el plugin Theme Authenticity Checker Plugin y el Escaner de Exploit de Donncha O Caoimh’s con unos resultados increíbles de los 10 primeros resultados solo uno de ellos es seguro.
En los otros 9 resultados se han encontrado textos cifrados en las plantillas que insertan enlaces para posicionamiento en tu tema y que si lo eliminas hacen que estos no funcionen. Entre otras cosas. Os recomiendo ver el artículo en inglés, seguro que os resultará muy ilustrativo.
Al menos en la búsqueda en castellano “Tema WordPress gratis” no parece pasar lo mismo, son casi todo enlaces a recopilaciones de plantillas de WordPress.
Actualizar Dropbox a su version 1.0 RC
Llego haciendo uso del genial sistema de almacenamiento Dropbox desde hace tiempo en su modalidad de pago con 100 GB disponibles para todos mis documentos y ficheros que quiero mantener con copia de seguridad en la nube, además de sincronizados entre mis diferentes ordenadores.
Son millones de usuarios los que utilizan Dropbox y hasta hace nada seguía en fase beta, ahora acaban de lanzar la versión 1.0 release candidate, lo que sin duda es una buena noticia. Sigo pensando que Box.net es mejor porque permite utilizar un servicio de sincronización para empresas con creación de grupos de usuarios, cosa que Dropbox aún no hace. La pega de Box.net es que no tiene versión para Mac OS X, por eso no he podido empezar a probarla en serio.
Según leo en VisualBeta, gracias a quien me entero de esta actualización, no recomiendan actualizar si usamos Linux o Mac OS X, donde es mejor mantener la versión 0.7.111 (0.8.64 en mi caso, una beta que si es estable). Solo si utilizas Windows parece seguro actualizar. NO entiendo bien porque lanzan una versión que no es seguro utilizar en Mac y Linux. Si aun así quieres arriesgarte, yo de momento no lo haré, ya que recomiendan eliminar la carpeta ./dropbox previo a la instalación, asegurándonos de apuntar la instalación de Dropbox a las carpetas actuales, y aceptar la pregunta de fusionar instalaciones.
Si aún no estás dado de alta en DropBox, pruebalo gratis para siempre con 2 GB de espacio.
Más información en foros de Dropbox. Descargar Dropbox 1.0 RC (Windows / Linux 32 bits / Linux 64 bits / Mac OS X)
Confirmado, ¡MULTA por mandar emails sin Copia Oculta!
Fijaros que curioso, acabo de enviar un email con copia a cinco personas, para que lean una noticia interesante de la nueva normativa de las subvenciones,cuando leo la siguiente noticia. “Multa por mandar emails sin copia oculta.Varios ciudadanos han recibido una multa de 600 euros de la Agencia Española de Protección de Datos de Carácter Personal, pese a desconocer que estaban haciendo algo ilegal”
Como verán,mi sorpresa ha sido grande, ya sabemos que el desconocimiento de la LEY no exime de su cumplimiento, pero estas multas no dejan de llamarme la atención.Todos enviamos y recibimos emails con noticias, es una práctica habitual en el dia a dia, no sólo en el trabajo, tambien en casa con amigos y conocidos.
DROPitTOme para recibir ficheros en tu DropBox
DROPitTOme es un servicio para recibir ficheros de forma segura en tu cuenta de DropBox. Una interesante servicio que puedes configurar para facilitar un dirección donde podrán subirte ficheros a tu cuenta en DropBox siempre que facilite la dirección y la contraseña de protección. Permite subir ficheros de hasta 75 megas.
Ademas de DropBox hay otras soluciones de almacenamiento similares como SugarSync. También tenemos alternativas a DROPitTOme como es AirDropper que también funciona con DropBox y tiene el mismo límite de 75 mb.
Actualización: otra opción competencia de DropBox y realmente potente con muchas más opciones y versión gratis con 5 Gb es Box.net.
