Archive for the ‘seguridad’ category

La Rebelión de los spammers

March 30th, 2010

La Rebelión de los spammers es un interesante artículo de David Barroso que leí hace años y ahora lo he vuelto a encontrar por casualidad. El documento habla de la metodología que usa para localizar e identificar procesos maliciosos, cómo identifica el fallo de seguridad, y análisis del enemigo. Se detalla el uso de herramientas de sistema lsof, strace, etc.. etc… Aunque para muchos este tipo de tareas es trivial por realizarlas a diario, no deja de ser un documento interesante para leer.

Dejo copia en el servidor del documento que he localizado en http://his.sourceforge.net/proy_his/papers/spammers/spammers.es.html del proyecto Honeynet In Spanish aparantemente muerto en 2006

El documento lo podeis encontrar en http://www.hostingaldescubierto.com/rebelion-spammers/spammers.es.html

  • Share/Bookmark

No comments »

Posted in Artículos, antispam, seguridad, servidores

Vulnerabilidad Windows usando compatibilidad para 16 bits

January 21st, 2010

Extraido de la noticia en hispasec

“Se han publicado los detalles de una grave vulnerabilidad en todas las versiones de Windows que permite elevar privilegios en el sistema. No existe parche disponible y el exploit está al alcance de cualquiera, lo que lo convierte en un serio “0 day” para Microsoft.”

“Se trata de un fallo de diseño que arrastran todos los Windows de 32 bits (basados en tecnología NT) desde 1993. Esto va desde el NT hasta Windows 7, pasando por 2000, 2003, 2008, XP y Vista.”

“Ormandy avisó a Microsoft en junio de 2009, y poco después confirmaron el problema. Harto de que no publicasen una solución (que considera no muy compleja), ha decidido hacer público el fallo.”

“Evitar el fallo implica deshabilitar el soporte para aplicaciones de 16 bits, ”

http://www.hispasec.com/unaaldia/4106/

Los vídeos publicados con cómo realizar esto (en inglés) desde la consola de políticas y aplicarlo a todos los clientes de un Directorio Activo están disponibles desde:

Windows Server 2003:
http://www.youtube.com/watch?v=XRVI4iQ2Nug

Windows Server 2008
http://www.youtube.com/watch?v=u8pfXW7crEQ

Para Windows XP:
http://www.youtube.com/watch?v=u7Y6d-BVwxk

Para sistemas más antiguos, NT4, aquí se explica cómo deshabilitar esta funcionalidad:
http://support.microsoft.com/kb/220159

Microsoft Windows NT #GP Trap Handler Allows Users to Switch Kernel Stack
http://lists.grok.org.uk/pipermail/full-disclosure/2010-January/072549.html

  • Share/Bookmark

No comments »

Posted in seguridad, windows

rkhunter: Error: Invalid display – language keyword cannot be found: Display line

August 24th, 2009

Alertas en rkhunter indicando este probelma :

Error: Invalid display - language keyword cannot be found: Display line: display --to LOG --type PLAIN --result OK --log-indent 4 ROOTKIT_ADD_SUCKIT_LINK
Error: Invalid display - language keyword cannot be found: Display line: display --to LOG --type INFO STARTUP_FOUND_LOCAL_RC_FILE /etc/rc.d/rc.local
Error: Invalid display - language keyword cannot be found: Display line: display --to LOG --type INFO STARTUP_FOUND_LOCAL_RC_FILE /etc/rc.d/rc.sysinit
Error: Invalid display - language keyword cannot be found: Display line: display --to LOG --type INFO STARTUP_FOUND_LOCAL_RC_FILE /etc/inittab
Error: Invalid display - language keyword cannot be found: Display line: display --to LOG --type INFO STARTUP_FOUND_LOCAL_RC_FILE /etc/rc.d/rc.local
Error: Invalid display - language keyword cannot be found: Display line: display --to LOG --type INFO STARTUP_FOUND_LOCAL_RC_FILE /etc/rc.d/rc.sysinit
Error: Invalid display - language keyword cannot be found: Display line: display --to LOG --type INFO STARTUP_FOUND_LOCAL_RC_FILE /etc/inittab
Error: Invalid display - language keyword cannot be found: Display line: display --to SCREEN+LOG --type PLAIN --color GREEN --result FOUND --log-indent 2 --screen-indent 4 STARTUP_LOCAL_RC_FILE
Error: Invalid display - language keyword cannot be found: Display line: display --to SCREEN+LOG --type PLAIN --color GREEN --result NONE_FOUND --log-indent 2 --screen-indent 4 STARTUP_CHECK_LOCAL_RC
Error: Invalid display - language keyword cannot be found: Display line: display --to LOG --type INFO STARTUP_CHECK_SYSTEM_RC_FOUND /etc/rc.d
Error: Invalid display - language keyword cannot be found: Display line: display --to SCREEN+LOG --type PLAIN --result NONE_FOUND --color GREEN --log-indent 2 --screen-indent 4 STARTUP_CHECK_SYSTEM_RC

Es debido a que no teneis instalado rkhunter 1.3.4
Si lo quereis instalar rápìdamente en Centos/Red Hat podeis usar esta chuleta

wget http://surfnet.dl.sourceforge.net/sourceforge/rkhunter/rkhunter-1.3.4.tar.gz
tar zxvf rkhunter-1.3.4.tar.gz
cd /usr/src/rkhunter-1.3.4
sh ./installer.sh --layout default --install
/usr/local/bin/rkhunter --update
  • Share/Bookmark

No comments »

Posted in Software, Soporte, seguridad

Debian: Fallo de seguridad en BIND

July 29th, 2009

Se ha publicado una actualización del paquete BIND para Debian .

Exite un fallo de seguridad con el cual el denomio de dns cae con un paquete especificamente mal formado

15:38:11.676045 IP (tos 0x0, ttl  64, id 0, offset 0, flags [DF], proto: UDP (17), length: 178) 10.2.0.205.59447 > 10.2.0.205.53:  17378 update [1a] [1n] [1au] SOA? 8.0.10.in-addr.arpa. 8.8.0.10.in-addr.arpa. ANY ns: [|domain]

Bind solo fallará si se usa un nameserver como fqdn.

Script que proporcionan en debian para probar el fallo :

#!/usr/bin/perl -w

use Net::DNS;

our $NSI = '<dns server>';
our $NSI_KEY_NAME = '<key name>';
our $NSI_KEY = '<key>';

my $rzone = '<zone>';
my $rptr  = "1.$rzone";

my $packet = Net::DNS::Update->new($rzone);

$packet->push(
    pre => Net::DNS::RR->new(
        Name  => $rptr,
        Class => 'IN',
        Type  => 'ANY',
        TTL   => 0,
    )
);
$packet->push(
    update => Net::DNS::RR->new(
        Name  => $rptr,
        Class => 'ANY',
        Type  => 'ANY',
    )
);

$packet->sign_tsig( $NSI_KEY_NAME, $NSI_KEY ) if $NSI_KEY_NAME && $NSI_KEY;

print $packet->string;

Net::DNS::Resolver->new( nameservers => [$NSI] )->send($packet);

Más información aquí

  • Share/Bookmark

No comments »

Posted in Artículos, dns, seguridad

Las 9 mejores herramientas de monitorización gratuitas

July 16th, 2009

Interesante artículo publicado en linuxlinks.com en el que se revisan nueve de las mejores herramientas de monitorización grautitas.

  • Nagios
  • OpenNMS
  • Zabbix
  • Xymon
  • Mon
  • Pandora FMS
  • OpsView
  • FreeNats
  • Monit

Se echa en falta una valoración global, ya que parece mas un índice de aplicaciones que una comparativa entre ellas. De todas formas siempre viene bien tener un resumen a mano para ver cual cubre mejor nuestras necesidades.

Más información en : 9 Herramientas de monitorizacion en linuxlinks.com

  • Share/Bookmark

No comments »

Posted in Artículos, seguridad

Alerta de seguridad : apache vulnerable en RedHat/CentOS

July 15th, 2009

Ayer día 14 de Julio de 2009 se publica una actualización de seguridad para apache ( httpd ) en RedHat / CentOs debido a un fallo de seguridad que provoca Denial Of Service aprovechando un fallo en el modulo mod_proxy. Esta denegación de servicio parece ser explotable únicamente cuando se usa este modulo mod_proxy como un proxy inverso, cargando la cpu y generando así la denegación del servicio.
Se ha encontrado también una posible denegación de servicio usando el modulo mod_defalte intantando comprimir ficheros grandes que genera una alta carga de cpu provocando la denegación de servicio aún cuando se haya cortado la conexión.

Más información en https://rhn.redhat.com/errata/RHSA-2009-1148.html

  • Share/Bookmark

No comments »

Posted in centos, rhe, seguridad

Cómo instalar chkrootkit en Centos/Fedora

October 13th, 2008

chkrootkit es una herramienta de búsqueda de gusanos, troyanos, etc…. muy útil en caso de duda y conviene ejecutarlo junto con rkhunter

Para copiar y pegar:

yum -y install gcc
cd /usr/src
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar zxvf chkrootkit.tar.gz
cd chkrootkit*
make sense
  • Share/Bookmark

No comments »

Posted in Software, seguridad

Tags:

Protegiendo el servidor: APF (Advanced Policy Firewall)

September 5th, 2008

Un paquete de software muy usado para defender nuestros servidores es APF. La instalación es muy rápida por lo que podemos ver en seguida si resulta eficaz ante un ataque. Se basa en filtros usando iptables y listas de ips para bloquear. Es muy completo, pero lo más importante es que es rápido de instalar y no da problemas. Solución rápida en momentos de crisis

Para instalarlo :

cd /usr/src
wget http://www.r-fx.ca/downloads/apf-current.tar.gz
tar zxvf apf-current.tar.gz
cd apf-*
sh install.sh

La instalación es así: 

# sh install.sh
Installing APF 9.6-5: Completed.

Installation Details:
  Install path:         /etc/apf/
  Config path:          /etc/apf/conf.apf
  Executable path:      /usr/local/sbin/apf

Other Details:
  Listening TCP ports: 111
  Listening UDP ports: 111,45188,45234,46761,48062
  Note: These ports are not auto-configured; they are simply presented for information purposes. You must manually configure all port options.

Iniciar el servicio apf

apf -s

Los logs están en /var/log/apf_log

más información en http://rfxnetworks.com/apf.php

  • Share/Bookmark

No comments »

Posted in knowledge base, seguridad, servidores

Tags: