jueves, enero 27, 2011

Otro listing más

La verdad es que no hemos mirado bien cómo coño ha llegado esto a estos servidores, y tengo que darle más vuelta. Tal vez sea algo conocido por todos y sea muy sencillo de explicar, así que si sabes la respuesta, pon un comentario y me ahorras el trabajo de buscar el origen del problema.

El caso es que uno de los compañeros, el de Huelva, había encontrado que un servidor devolvía el listado de todos los ficheros de un directorio cuanod pedía un fichero .listing, pero no sabía la razón.

Como era .listing, le dije: "¡Coño!, Google lo va a tratar como una extensión, busca por los ficheros de extensión .listing y vemos cuantos tienen el mismo fail"... y flipamos.


Figura 1: 75.000 sitios con listing... indexados.. ¿cuántos habrá sin indexar?

La historia es que hay más de 75.000 sitios listados por Google con este programita que te permite navegar por el árbol de ficheros de la forma más sutil y sin vulnerar la seguridad de ningún sitio ni ninguna ley. Basta buscar en Google y hacer clic.


Figura 2: Sí, están instalados los archivos como root en este sitio

Lo gracioso es que hay algunos sitios especialmente curiosos que tal vez culmen tus expectativas...


Figura 3: El listing en la Nasa

Hay muchos freebsds, sitios de forensics, hacking, etc... para echar un rato esta mañana navegando por ahí en lugar de ligando en el Facebook. Por supuesto, la nueva versión de la FOCA buscará estos programitas en todos los directorios.

Saludos Malignos!

11 comentarios:

Pedro Laguna dijo...

Una busqueda rapida lleva al manual del wget: http://www.gnu.org/software/wget/manual/wget.html#FTP-Options

Vendra a ser como el WS_FTP.LOG de los linuxeros :P

Anónimo dijo...

A-cojonante o.o

Newlog dijo...

Vaya lolazo!

Anda que no da juego la NASA: http://fermi.gsfc.nasa.gov/FTP/FTP/.integral_archive2/FTPINTEGRAL/software/root/tutorials/

Vaya tela...

Newlog dijo...

Jajaja, alguien dijo Spectra?

http://fermi.gsfc.nasa.gov/FTP/FTP/.integral_archive2/FTPINTEGRAL/high_level/spectra/

Newlog dijo...

******************************************************************************
U.S. GOVERNMENT COMPUTER
If not authorized to access this system, disconnect now.

YOU SHOULD HAVE NO EXPECTATION OF PRIVACY
By continuing, you consent to your keystrokes and data
content being monitored
******************************************************************************


Ups... Desconectando... ^^'

Anónimo dijo...

Hola,

mira por aqui http://www.meneame.net/story/error-segurida-servidores-web

Un saludin

Anónimo dijo...

Moooooola:)

Un saludo.
Manolo.

aabilio dijo...

Entonces, ya se sabe qué provoca estos .listing? algún módulo del servidor?

Chema Alonso dijo...

@aabilio, aquí tienes la explicación:

Resuelto el misterio del .listing

Saludos!

Daniel dijo...

Si quisiera buscar los fichero .listing en un sitio en especial como le hago, probe con site:elsito ext:listing
pero nop
Saludos

Anónimo dijo...

que fuerte!

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares