Creo que alguien no leyó la posdata del post inicial.  

No busco crear un filtro con PHP porque eso ya lo sé, solo quiero saber por que el servidor ejecuta como php (archivo.php.jpg) cuando la extensión final del archivo es .jpg y como solucionarlo desde una configuración global desde el servidor (sin usar .htaccess por carpeta)

Saludos.

usa gd para leer el archivo y abrirlo... el lo intentará abrir en memoria leyéndolo como una imagen, si falla, no es una imagen valida

Hola, iré al grano... subi una shell que renombre archivo.php.jpg a un upload de archivos pero no tuve que hacer nada para bypasearlo y obvio que subio porque aparentemente es un archivo de "imagen" válido por su extensión final, pero cuando fui a verlo por su url: http://hosting.com/imagenes/archivo.php.jpg me muestra la shell sin problemas.

La carpeta y la raiz del sitio NO tienen ningún archivo .htaccess que permita ejecutar otras extensiones como php, y no solo eso, he subido otro archivo con un phpinfo y lo renombre: algo.php.txt.pdf y también me muestra el phpinfo completo.

Estuve investigando y vi que esto se debe a una configuración por defecto del servidor apache
http://www.php.net/manual/es/install.unix.apache2.php (punto #8)
pero no llego a entender como evitar todo esto.

Así que fuí a ver el archivo /etc/httpd/conf.d/php.conf de la web que tengo la shell (solo con fines educativos, no pienso hacer ningún deface)  y tiene esta config:



Y al parecer esta todo en orden, se ejecuta php solo a la extensión necesaria, aunque este usuario dice lo contrario pero no llega a la solución: URL

Así que me preguntaba, como podría solucionar este problema? que debo modificar??... claro que no puedo fixear este hackedhost por permisos pero quiero saber la solucion por si si algún jefe me lo pregunta o por si en el futuro me toca un hosting con esta configuración.

PD: agradecería leer solo soluciones de configuración del servidor apache o similar, filtros de php con librerias gd las leí todas y las aplico a diario.

Saludos.

en el tema viejo donde escribiste, eso es justo lo que decían y explicaban...

Gracias por sus respuestas:

@lipman: No le veo como. En los ejemplos que he visto siempre hay una función ya dada. Acá lo que busco es la función.

@xiruko y @Rey11: No sé usar excel, de hecho ni siquiera lo tengo en la máquina. Tengo Libreoffice Calc, supongo debe servir para lo mismo.

Más que mandarme el archivo me gustaría saber cómo hiciste para obtener la función (para futuras situaciones similares), que aunque en el último valor se queda un poco corta, es lo que más se apega a lo que necesito y ver si se pudiera ajustar un poco.

Saludos y gracias por su ayuda.

me dijeron que se puede hacer con un troyano configurado como url,la vitima pincha en el link y tachan.....sin querer nos da su ip

La manera más sencilla sería crear un camino con anterioridad y "bloquearlo" para que no puedas edificar en él.

Muchas gracias "skapunky" tu info me ha servido de mucho, la tendré muy en cuenta, y en especial gracias a "||MadAntrax||" realmente me has ayudado mucho, pero tengo tres dudas.

Yo actualmente se algo de programación Batch (si se puede llamar lenguaje de programación) y VB, pero estoy estudiando más para profundizar en VB y la idea también es aprender C++.

- Primera pregunta: ¿Cuál es el mejor lenguaje de programación para hacer lo que dices? ó ¿Cuál otro ademas debería aprender?



También me interesa mucho esto (se que no es fácil, pero estamos para aprender)


- Segunda pregunta: ¿En qué lenguaje en especial puedo yo hacer esto posible? que sus funciones se ejecuten en cualquier tipo de SO, ó ¿Qué en especial debería aprender para hacer esto posible?



Planeo que mi gusano se encuentre unido a otro archivo (usaré un Joiner) pero según lo que planeo, ninguno de los dos archivos pueden estar separados del otro para el correcto funcionamiento del gusano.

- Tercera pregunta: ¿Igual podría hacer esto sin importar que mi ejecutable final del gusano esta unido a otro por un Joiner?



Gracias.

Juas!

Pues como no te lleven a la misma NASA para que te dejen programar allí...

No se yo quien podría ser el Genius capaz de planificar y desarrollar un algoritmo semejante ...sentado enfrente de su PC, sin disponer del instrumental astronómico necesario (telescopios o que se yo) para realizar las distintas pruebas y comparaciones, y un software de predicción astronómica que solo la NASA y 4 gatos más tendrán para poder calcular todas las posibles variantes aritméticas (no muy documentadas hasta la fecha si lo comparamos con cualquier otro objeto cercano) que conlleva el estudio de un objeto a miles y millnes de kilómetros y/o incluso años luz como es un Asteroide.

No es por ser pesimista, pero el concurso me parece más que ridículo, destinado a gente con muchos, pero muchos recursos científicos,
en fin considero una pérdida de tiempo inconmesurable el simple hecho de leer más que el enunciado del artículo xD (he leido eso y pocos párrafos más).

Saludos!

uff , es facilismo , gracias por mostrarme el codigo , voy hacer como treinta traducciones con esto