[Reddes] [Reddes.bvs-tech] LILDBI-Web del CC AR393.1
Asael Costa da Silva
asael.silva at bireme.org
Thu Apr 11 14:57:02 BRST 2013
Estimado Facundo
El sistema LILDBI-Web es un aplicativo desarrolado con el lenguaje IsisScript nativa del WWWISIS. Las bases ISIS siempre están junto con el sistema en la carpeta bases.
Acerca de la red de documentalistas eso es una tarea de la persona de coordina la red local en la región o país. Copio al correo de LILACS que les podrán ayudar con esta duda menos tecnológica y mas operacional.
Acerca de la restricción del servidor para acceso externo, eso puede se puede hacer a través del .htaccess (en Apache) o a través de un firewall y es una tarea del administrador de red de su institución.
Como les he comentado en mi correo anterior, para bajar la versión mas reciente del aplicativo Uds necesitan un usuario y contraseña que solamente pueden ser enviados a los Centros Cooperantes de la red LILACS.
Saludos
Asael Costa da Silva
Analista de Sistemas
Metodologias e Tecnologias de Informação - MTI
Fone: 11 5576-9813
BIREME/OPAS/OMS
Siga-nos
From: "Facundo Matias Victor Turi" <fvictor at bblanca.com.ar>
To: "Asael C. da Silva (BIR)" <asael.silva at bireme.org>
Cc: "Carlos Victor" <cvictor at bblanca.com.ar>, "Leonardo de - Matteis" <ljd.dematteis at gmail.com>, "Sergio Delgado" <sdelgado at bblanca.com.ar>, "bvs technical support" <bvs.technical.support at listas.bireme.br>, lilacs at bireme.org
Sent: Tuesday, 9 April, 2013 6:31:35 PM
Subject: Re: LILDBI-Web del CC AR393.1
Estimado Asael ,
Muchísimas gracias por la pronta respuesta y muchas gracias por la información.
Te comento que estaremos leyendo la información que nos enviaste.
Necesitamos que nos envíen en lo posible la lista de las redes a las cuales el servidor va a subir la información alojada en la base de datos del sistema LILDBI-Web, y aquellas redes que usted conozca que deben poder ingresar al sistema. Queremos restringir el acceso al servidor para que puedan acceder solo aquellas redes y la de nuestro cliente (ASOCIACIÓN MEDICA DE BAHÍA BLANCA) para mayor seguridad.
Esperamos su respuesta. Desde ya muchas gracias.
Saludos cordiales
Facundo Victor
Administrador de Red
Compel Computación Electrónica S.R.L.
El 9 de abril de 2013 10:28, Asael Costa da Silva < asael.silva at bireme.org > escribió:
Estimado Facundo
Toda información acerca de instalación de software prérequisito del LILDBI-Web (Apache y PHP) y también los archivos leame para instalación del aplicativo encuentranse disponibles desde la URL:
http://wiki.bireme.org/pt/index.php/LILDBI-Web
En este documento tiene también secciones acerca de migración de versiones anteriores a la versión mas nueva (1.7b) que no requiere un patch de seguridad (está incluso).
Además, la vulnerabilidad de seguridad que Ud nos comunica fue corrigida por un patch de protección actualizado por última vez el Octubre del 2010 a través de la URL:
http://wiki.reddes.bvsalud.org/index.php/LILDBI-WEB-proteccion
Este patch permite reparar el aplicativo 1.7a y mantenerlo sin nuevos riesgos pero para eso es necesario que el administrador del sistema saque el servidor del internet y lo mantenga sin conexión hasta que el patch tenga sido aplicado.
Después de aplicado el patch cambie los permisos en el directorio htdocs (y sus subdirectorios) como sigue:
a. permisos de directorios
find htdocs/ -type d|xargs chmod 755
b. permisos de archivos
find htdocs/ -type f|xargs chmod 644
c. cambie el owner para root y el grupo para cualquiera que no sea el de Apache
El directorio bases tiene de tener atributos de escritura para el usuario Apache, por lo tanto, con excepción del mx1660.exe, los otros directorios y archivos deben tener los permisos abajo:
a. directorios
find bases/lildbi -type d|xargs chmod 775
b. archivos
find bases/lildbi -type f|xargs chmod 664
c. owner para el Apache (ej. usuario apache)
chown -R apache.apache bases/lildbi
El directorio cgi-bin tiene de tener solamente permiso de file scan y ejecución para el wxis1660.exe en el caso del LILDBI-Web.
Si el entorno del servidor tiene además del LILDBI-Web otras aplicaciones de Bireme (LIS, DirEve) los aplicativos también deben ser actualizados.
También les comentamos que para bajar la nueva versión del LILDBI-Web 1.7b no es mas necesario tener un usuario y contraseña, pero para utilizarse el DeCS, sea cualquiera versión, el usuario debe ser un Centro Cooperante de la red LILACS y tener un código válido para bajar las bases de terminologia DeCS.
También les informamos que el Sñr. Luciano Duarte no está mas en la institución y que copiamos al correo del area LILACS para mantener copia de estos tramites.
Saludos cordiales
Asael Costa da Silva
Analista de Sistemas
Metodologias e Tecnologias de Informação - MTI
Fone: 11 5576-9813
BIREME/OPAS/OMS
Siga-nos
From: "Facundo Matias Victor Turi" < fvictor at bblanca.com.ar >
To: "asael silva" < asael.silva at bireme.org >, "bvs technical support" < bvs.technical.support at listas.bireme.br >, "luciano duarte" < luciano.duarte at bireme.org >
Cc: "Carlos Victor" < cvictor at bblanca.com.ar >, "Leonardo de - Matteis" < ljd.dematteis at gmail.com >, "Sergio Delgado" < sdelgado at bblanca.com.ar >
Sent: Monday, 8 April, 2013 7:13:50 PM
Subject: LILDBI-Web del CC AR393.1
Estimado Asael,
Me presento, mi nombre es Facundo Victor. Trabajo como administrador en Compel Computación Electrónica S.R.L., ubicada en la ciudad de Bahía Blanca (Provincia de Buenos Aires, Argentina). En esta empresa, se esta alojada la página LILDBI-Web para l a AMBB (ASOCIACION MEDICA DE BAHIA BLANCA). Esta entidad está registrada en BIREME como entidad AR393.1.
Esta empresa ha mantenido contacto con ustedes hace más de un año, a través de Carlos Victor, Sergio Delgado y Gladys Bellavia.
Me comunico con ustedes debido al siguiente problema:
El servidor ( CentOS release 5.9) donde se alojaba LILDBI-Web fue atacado, bvs/htdocs/lildbi/index.php fue reemplazado por la frase "HACKED BY RAINSEVEN DOTMY .MY TEAM HEH, BE SECURE NEXT TIME AMIGO :)". -rw-rw-r-- 1 root apache 879 Feb 24 13:13 index.php
Por más que restauremos el archivo index.php, el sistema no permite loguearnos para verificar el estado de la base de datos.
Debido a que este servidor está comprometido, no rescataremos ningún archivo de este. Será completamente eliminado. Adicionalmente no se cargaron muchos datos, por lo que solicitaremos a nuestros clientes que los vuelvan a cargar por seguridad.
Por esto les pedimos que nos provean de:
1. Una guía completa, de como instalar su sistema, sin tener que otorgar permisos root a los archivos y no dar permisos de escritura a apache a archivos (ni carpetas). Para que de esta forma, ante un intento de ataque, no se pueda modificar ejecutables, no se pueda crear nuevos archivos, y lo más importante, no se pueda obtener permisos root. Tampoco podemos dejar navegar el directorio de la página. Para que sea seguro debemos agregar "Options -Indexes".
2. Una lista de IP/MASK de las redes que debemos permitir acceder al servidor. Para poder limitar las posibilidades de otros posibles ataques.
Cualquier consejo que nos pueda dar para poder mantener seguro su sistema alojado en nuestros servidores será bienvenido.
Esperamos su respuesta. Desde ya muchas gracias por la atención.
Saludos cordiales
Facundo Victor
Administrador de Red
Compel Computación Electrónica S.R.L.
De: Carlos Victor <cvictor at bblanca.com.ar>
Asunto: Fwd: Problemas con LILDBI-Web del CC AR393.1
Para: "Betty Bellavia" <bellavia_betty at yahoo.com.ar>
Fecha: jueves, 26 de enero de 2012, 16:31
-------- Mensaje original --------
Asunto: Problemas con LILDBI-Web del CC AR393.1
Fecha: Thu, 26 Jan 2012 12:43:51 -0200 (BRST)
De: Asael Costa da Silva <asael.silva at bireme.org>
Responder-a:: Asael C. da Silva (BIR) <asael.silva at bireme.org>
A: Carlos Victor <cvictor at bblanca.com.ar> , Sergio Delgado <sdelgado at bblanca.com.ar>
CC: BVS: BVSTECHS lista <bvs.technical.support at listas.bireme.br> , luciano.duarte at bireme.org <luciano.duarte at bireme.org> , Betty Bellavia <bellavia_betty at yahoo.com.ar>
Estimado Carlos
Hoy recibimos la visita de la Sñra. Gladys Bellavia con el documento adjunto solicitando una atención especial al tema del LILDBI-Web del Centro Cooperante LILACS AR393.1.
Al buscar por correos y contestaciones solamente encuentramos el de 12 de Julio del 2011 enviado por Wilson Moura al Sñr. Sergio Delgado y no contestado hasta el momento. Les adjuntamos también como PDF las contestaciones de correo que tenemos.
Notese que si la contestación no ha copiado el correo de la lista BVS Technical Support ni el correo de la lista de desarrolladores, nosotros no lograremos encuentrarla en nuestros servidores.
El caso que Uds han enviado correos después de la fecha de arriba, les pedimos enviar una copia adjunta como respuesta a nuestro correo para que podamos analisar lo que pasó después de esta fecha.
Les pedimos también confirmar si antes de hacer la actualización del aplicativo
LILDBI-Web Uds hicieron una cópia de respaldo (backup) de la base de datos certificada.
Aguardamos sus comentários.
Saludos cordiales
Asael Costa da Silva
Analista de Suporte
MTI/RST
BIREME/OPAS/OMS
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://listas.bireme.br/pipermail/reddes/attachments/20130411/44230481/attachment-0001.html
-------------- next part --------------
_______________________________________________
Reddes.bvs-tech mailing list
Reddes.bvs-tech at listas.bireme.br
http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech
More information about the Reddes
mailing list