Thursday, 14. January 2010
Aunque se que no es muy seguro puesto puede ser borrado nos notificara antes que se realice tal evento.
Vamos a editar 2 archivos, el primero sera .bash_profile el cual nos notificara cuando ingresa al sistema la persona:
Debajo del primer comentario agregamos lo siguiente:
echo 'ALERT - Root Shell Access on:' `date` `who` | mail -s "Alert: Root Access from `who | awk '{print $6}'`" mi@email.com
Reemplazamos mi@email.com con el email el cual recibirá la alerta.
Ahora hacemos lo mismo con .bash_logout y agregamos lo siguiente:
echo 'ALERT - Root Shell Logout on:' `date` `who` | mail -s "Alert: Root Logout from `who | awk '{print $6}'`" mi@email.com
Con esto el servidor nos advertirá ante cualquier ingreso o salida del sistema. Prometo que para la próxima entrada sera algo muchísimo mas elaborado que esto.
Posted in /opt/blog/bash, /opt/blog/security by admin -
Wednesday, 16. December 2009
Este pequeño script en perl nos DDoSea de una forma no ilegal nuestro server, abriendo conexiones en cantidad, acá las dependencias:
perl -MCPAN -e 'install IO::Socket::INET'
perl -MCPAN -e 'install IO::Socket::SSL'
Aunque el mismo no es “TAN” efectivo y puede ser detectado por scripts como fail2ban, por otra parte discutiendo con RSnake sobre como mejorar slowloris concluimos que la única forma de hacerlo imparable seria el agregar uso indiscriminado de servidores proxy, de esta forma el atacante no es descubierto ni bloqueado.
Aunque slowloris puede provocar un DDoS no esta hecho para dejar sin servicio al servidor totalmente, ya que este mismo contrario a los sistemas de DDoS normales no efectúa conexiones “FAKE” sino que se conecta de forma normal, como un usuario navegando el sitio atacado.
PD: Empresas de alojamiento e ISP’s son vulnerables a este ataque ya confirmado, para ver que plataformas y servidores webs no son entrar a http://ha.ckers.org/slowloris/.
Posted in /opt/blog/conocimiento, /opt/blog/security, /opt/blog/webservers by admin -
Friday, 11. December 2009
Lo que sucede cuando un grupo de clientes enfadados hacen luego de no encontrar respuesta por parte de su proveedor de Internet.
Read more
Posted in /opt/blog/security, /opt/blog/speedy by admin -
Tuesday, 10. November 2009
Hoy en dia los ataques mas comunes de denegacion de servicio se hacen utilizando redes de maquinas zombies, en teste caso voy a listar un curioso caso que me sucedió el dia 09/11/2009 mientras monitoreaba los servidores.
Una mañana como todas, café en mano mirando que sucedia en los equipos notamos la fuga de varios terabytes de ancho de banda, lo cual nos llamo la atencion, investigando encontramos que un cliente nuestro tenia una falla en un scritp el cual permitia adjuntar codigo malisioso remotamente, para la desgracia del atacante no teniamos nada activado con relacion a funciones de shell por ende su ataque era muy muy limitado, sin embargo se las ingenio para correr un irc bot utilizando nuestro apache sin tener acceso a la cuenta en si, incluyendo el codigo del script en cuestion.
Mirando el codigo fuente del bot script encontre la red de irc, solo me basto ingresar para ver el panorama estremecedor, cientos de bots conectados a un canal maestro, buscando pagar con la misma moneda decidi hacer que sus bots se desconectaran, utilizando su propia clave maestra y su comando magico se les deconecto todos y cada uno de ellos de forma masiva, aca dejo la lista de los “apodos” que tenian los bots junto con alguna informacion que detalla de donde vienen los mismos, los relacionados a argentina fueron notificados dejando por notificar a los internacionales.
La red es:
Welcome to the Internet Relay Chat Network, bet0x^away
Your host is rapidspam.sytes.net, running version 1.2.1546
This server was created out 4 2009 at 22:01:43 HodB (Serial # 00-00-00)
rapidspam.sytes.net IRCXPRO1.2 acdefghiknoprstwxyzACEFGIJLPRS abdefghijklmnopqrstuvwxyzACEFIKLMOPT
IRCX CHANTYPES=%#&+ MODES=6 NOQUIT WALLCHOPS NICKLEN=39 MAXCHANNELS=6 SILENCE=55 WATCH=128 are available on this server
14:39 _ _[ Resumen del IRC : sytes.net ]---•
14:39 |-› 95 usuarios (0 +i) en 1 servidores (95 usuarios por servidor)
14:39 |-› 1 canales (95 usuarios por canal)
14:39 |-› 95 clientes en 0 servidores (rapidspam.sytes.net)
14:39 ¯°--------------------------------------------------------------------------------•
14:39 ••• Current local users: 95 Max: 112
14:39 ••• Current global users: 95 Max: 112
Adjunto acá lista de servidores y código fuente del bot.
Read more
Posted in /opt/blog/php, /opt/blog/programming, /opt/blog/security, /opt/blog/virus by admin -
Friday, 9. October 2009
Hace bastante esta dando vueltas un virus que intercepta e infecta archivos HTML en equipos con Microsoft Windows, XP o Vista o 7, la versión la lo mismo, el problema en cuestión puede solucionarse simplemente instalando este software llamado Spybot-S&D.
No esperen instrucciones dado que esto es una respuesta publica a los emails que me arribaron con consultas sobre dicho tema. El resto esta por su cuenta, cabe destacar que esto con Linux no sucede 
Posted in /opt/blog/microsoft, /opt/blog/security, /opt/blog/virus by admin -