Archive for the ‘seguridad’ category

Newer Entries »

VeriSign: Sellos de confianza a 1 euro, pero no ssl

November 3rd, 2010

Nos ha llegado a hostingaldescubierto.com la noticia de la campaña de VeriSign de la venta de sellos de confianza a 1€ para hoy día 3 de Noviembre de 2010.
Verisign Trust Seal no debe confundirse con un certificado SSL, tan sólo es una imagen dentro de tu web que garantiza ciertos aspectos de seguridad. Pero NO ES UN CERTIFICADO SSL NI GARANTIZA LA PRIVACIDAD DE LAS TRANSACCIONES.

Esta información se puede comprobar en el enlace del producto:
http://www.verisign.com/trust-seal/trust-and-security/index.html
Donde “Includes SSL encryption for secure online transactions” no aparece en la opción del ‘Trust Seal’.

Hay que leer tranquilamente antes de comprar.

No comments »

Posted in Empresas, seguridad

[xploit] Grave fallo de seguridad en el kernel 2.6

September 23rd, 2010

Aunque llegamos tarde para anunciar la noticia, es necesario comentar aquí la necesidad de aplicar los parches que salieron hace dos días 21 de Septiembre que corrijen un grabe fallo de seguridad en los kernels 2.6 bajo máquinas con arquitectura x86_64.

El fallo se puede explotar localmente en la máquina y consiste en acceder vía  “compat_alloc_user_space()” esta función no está correctamente securizada y no se verifican los tamaños de los punteros con lo que se puede hacer un buffer overflow y todo lo que ello conlleva… Al parecer el fallo lleva 2 años en el kernel y no fué comunicado en todo este tiempo por la gente que ha desarrollado el xploit pero sí lo han utilizado para su beneficio propio:

  • Signed-off-by: David L Stevens <dlstevens@us.ibm.com>
  • Signed-off-by: YOSHIFUJI Hideaki <yoshfuji@linux-ipv6.org>
  • Signed-off-by: David S. Miller <davem@davemloft.net>

El exploit lo podeis localizar en ABftw.c al menos se han preocupado de eliminar las partes jugosas para que los scriptkidies no hagan de las suyas.

Más interesante que leerse el exploit es comprobar que tu máquina no esté infectada y para ello debes descargar este binario y ejecutarlo con un usuario que no sea root ( recuerda que es sólo para máquinas x86_64 ->  uname -p  )


$ wget -N https://www.ksplice.com/support/diagnose-2010-3081
$ chmod +x diagnose-2010-3081
$ ./diagnose-2010-3081
Diagnostic tool for public CVE-2010-3081 exploit — Ksplice, Inc.
(see http://www.ksplice.com/uptrack/cve-2010-3081)

$$$ Kernel release: 2.6.18-194.11.3.el5
$$$ Backdoor in LSM (1/3): checking…not present.
$$$ Backdoor in timer_list_fops (2/3): not available.
$$$ Backdoor in IDT (3/3): checking…not present.

Your system is free from the backdoors that would be left in memory
by the published exploit for CVE-2010-3081.

Para evitar que se explote el fallo hay una solución que lo mitiga y consiste en no permitir ejecutar binarios x86 o i386 en la máquina usando esta linea


# echo ‘:32bits:M::\x7fELF\x01::/bin/echo:’ > /proc/sys/fs/binfmt_misc/register

Provoca que los binarios de 32 bits sólo hagan un “echo” con su nombre de fichero y sus parámetros. El problema es que necesites algunos binarios de 32 bits como es el caso del drweb-update.

De todas formas ya hay kernel nuevo para instalar, reiniciar y listo.

Más información en :

https://access.redhat.com/kb/docs/DOC-40265
https://www.ksplice.com/uptrack/cve-2010-3081
https://rhn.redhat.com/errata/RHSA-2010-0704.html
https://rhn.redhat.com/errata/RHSA-2010-0705.html
http://seclists.org/fulldisclosure/2010/Sep/268

No comments »

Posted in Artículos, drweb, Noticias, rhe, seguridad, servidores, Software

La Rebelión de los spammers

March 30th, 2010

La Rebelión de los spammers es un interesante artículo de David Barroso que leí hace años y ahora lo he vuelto a encontrar por casualidad. El documento habla de la metodología que usa para localizar e identificar procesos maliciosos, cómo identifica el fallo de seguridad, y análisis del enemigo. Se detalla el uso de herramientas de sistema lsof, strace, etc.. etc… Aunque para muchos este tipo de tareas es trivial por realizarlas a diario, no deja de ser un documento interesante para leer.

Dejo copia en el servidor del documento que he localizado en http://his.sourceforge.net/proy_his/papers/spammers/spammers.es.html del proyecto Honeynet In Spanish aparantemente muerto en 2006

El documento lo podeis encontrar en http://www.hostingaldescubierto.com/rebelion-spammers/spammers.es.html

No comments »

Posted in antispam, Artículos, seguridad, servidores

Vulnerabilidad Windows usando compatibilidad para 16 bits

January 21st, 2010

Extraido de la noticia en hispasec

“Se han publicado los detalles de una grave vulnerabilidad en todas las versiones de Windows que permite elevar privilegios en el sistema. No existe parche disponible y el exploit está al alcance de cualquiera, lo que lo convierte en un serio “0 day” para Microsoft.”

“Se trata de un fallo de diseño que arrastran todos los Windows de 32 bits (basados en tecnología NT) desde 1993. Esto va desde el NT hasta Windows 7, pasando por 2000, 2003, 2008, XP y Vista.”

“Ormandy avisó a Microsoft en junio de 2009, y poco después confirmaron el problema. Harto de que no publicasen una solución (que considera no muy compleja), ha decidido hacer público el fallo.”

“Evitar el fallo implica deshabilitar el soporte para aplicaciones de 16 bits, ”

http://www.hispasec.com/unaaldia/4106/

Los vídeos publicados con cómo realizar esto (en inglés) desde la consola de políticas y aplicarlo a todos los clientes de un Directorio Activo están disponibles desde:

Windows Server 2003:
http://www.youtube.com/watch?v=XRVI4iQ2Nug

Windows Server 2008
http://www.youtube.com/watch?v=u8pfXW7crEQ

Para Windows XP:
http://www.youtube.com/watch?v=u7Y6d-BVwxk

Para sistemas más antiguos, NT4, aquí se explica cómo deshabilitar esta funcionalidad:
http://support.microsoft.com/kb/220159

Microsoft Windows NT #GP Trap Handler Allows Users to Switch Kernel Stack
http://lists.grok.org.uk/pipermail/full-disclosure/2010-January/072549.html

No comments »

Posted in seguridad, windows

rkhunter: Error: Invalid display – language keyword cannot be found: Display line

August 24th, 2009

Alertas en rkhunter indicando este probelma :

Error: Invalid display - language keyword cannot be found: Display line: display --to LOG --type PLAIN --result OK --log-indent 4 ROOTKIT_ADD_SUCKIT_LINK
Error: Invalid display - language keyword cannot be found: Display line: display --to LOG --type INFO STARTUP_FOUND_LOCAL_RC_FILE /etc/rc.d/rc.local
Error: Invalid display - language keyword cannot be found: Display line: display --to LOG --type INFO STARTUP_FOUND_LOCAL_RC_FILE /etc/rc.d/rc.sysinit
Error: Invalid display - language keyword cannot be found: Display line: display --to LOG --type INFO STARTUP_FOUND_LOCAL_RC_FILE /etc/inittab
Error: Invalid display - language keyword cannot be found: Display line: display --to LOG --type INFO STARTUP_FOUND_LOCAL_RC_FILE /etc/rc.d/rc.local
Error: Invalid display - language keyword cannot be found: Display line: display --to LOG --type INFO STARTUP_FOUND_LOCAL_RC_FILE /etc/rc.d/rc.sysinit
Error: Invalid display - language keyword cannot be found: Display line: display --to LOG --type INFO STARTUP_FOUND_LOCAL_RC_FILE /etc/inittab
Error: Invalid display - language keyword cannot be found: Display line: display --to SCREEN+LOG --type PLAIN --color GREEN --result FOUND --log-indent 2 --screen-indent 4 STARTUP_LOCAL_RC_FILE
Error: Invalid display - language keyword cannot be found: Display line: display --to SCREEN+LOG --type PLAIN --color GREEN --result NONE_FOUND --log-indent 2 --screen-indent 4 STARTUP_CHECK_LOCAL_RC
Error: Invalid display - language keyword cannot be found: Display line: display --to LOG --type INFO STARTUP_CHECK_SYSTEM_RC_FOUND /etc/rc.d
Error: Invalid display - language keyword cannot be found: Display line: display --to SCREEN+LOG --type PLAIN --result NONE_FOUND --color GREEN --log-indent 2 --screen-indent 4 STARTUP_CHECK_SYSTEM_RC

Es debido a que no teneis instalado rkhunter 1.3.4
Si lo quereis instalar rápìdamente en Centos/Red Hat podeis usar esta chuleta

wget http://surfnet.dl.sourceforge.net/sourceforge/rkhunter/rkhunter-1.3.4.tar.gz
tar zxvf rkhunter-1.3.4.tar.gz
cd /usr/src/rkhunter-1.3.4
sh ./installer.sh --layout default --install
/usr/local/bin/rkhunter --update

No comments »

Posted in seguridad, Software, Soporte

Debian: Fallo de seguridad en BIND

July 29th, 2009

Se ha publicado una actualización del paquete BIND para Debian .

Exite un fallo de seguridad con el cual el denomio de dns cae con un paquete especificamente mal formado

15:38:11.676045 IP (tos 0x0, ttl  64, id 0, offset 0, flags [DF], proto: UDP (17), length: 178) 10.2.0.205.59447 > 10.2.0.205.53:  17378 update [1a] [1n] [1au] SOA? 8.0.10.in-addr.arpa. 8.8.0.10.in-addr.arpa. ANY ns: [|domain]

Bind solo fallará si se usa un nameserver como fqdn.

Script que proporcionan en debian para probar el fallo :

#!/usr/bin/perl -w

use Net::DNS;

our $NSI = '<dns server>';
our $NSI_KEY_NAME = '<key name>';
our $NSI_KEY = '<key>';

my $rzone = '<zone>';
my $rptr  = "1.$rzone";

my $packet = Net::DNS::Update->new($rzone);

$packet->push(
    pre => Net::DNS::RR->new(
        Name  => $rptr,
        Class => 'IN',
        Type  => 'ANY',
        TTL   => 0,
    )
);
$packet->push(
    update => Net::DNS::RR->new(
        Name  => $rptr,
        Class => 'ANY',
        Type  => 'ANY',
    )
);

$packet->sign_tsig( $NSI_KEY_NAME, $NSI_KEY ) if $NSI_KEY_NAME && $NSI_KEY;

print $packet->string;

Net::DNS::Resolver->new( nameservers => [$NSI] )->send($packet);

Más información aquí

No comments »

Posted in Artículos, dns, seguridad

Las 9 mejores herramientas de monitorización gratuitas

July 16th, 2009

Interesante artículo publicado en linuxlinks.com en el que se revisan nueve de las mejores herramientas de monitorización grautitas.

  • Nagios
  • OpenNMS
  • Zabbix
  • Xymon
  • Mon
  • Pandora FMS
  • OpsView
  • FreeNats
  • Monit

Se echa en falta una valoración global, ya que parece mas un índice de aplicaciones que una comparativa entre ellas. De todas formas siempre viene bien tener un resumen a mano para ver cual cubre mejor nuestras necesidades.

Más información en : 9 Herramientas de monitorizacion en linuxlinks.com

No comments »

Posted in Artículos, seguridad

Alerta de seguridad : apache vulnerable en RedHat/CentOS

July 15th, 2009

Ayer día 14 de Julio de 2009 se publica una actualización de seguridad para apache ( httpd ) en RedHat / CentOs debido a un fallo de seguridad que provoca Denial Of Service aprovechando un fallo en el modulo mod_proxy. Esta denegación de servicio parece ser explotable únicamente cuando se usa este modulo mod_proxy como un proxy inverso, cargando la cpu y generando así la denegación del servicio.
Se ha encontrado también una posible denegación de servicio usando el modulo mod_defalte intantando comprimir ficheros grandes que genera una alta carga de cpu provocando la denegación de servicio aún cuando se haya cortado la conexión.

Más información en https://rhn.redhat.com/errata/RHSA-2009-1148.html

No comments »

Posted in centos, rhe, seguridad

Cómo instalar chkrootkit en Centos/Fedora

October 13th, 2008

chkrootkit es una herramienta de búsqueda de gusanos, troyanos, etc…. muy útil en caso de duda y conviene ejecutarlo junto con rkhunter

Para copiar y pegar:

yum -y install gcc
cd /usr/src
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar zxvf chkrootkit.tar.gz
cd chkrootkit*
make sense

No comments »

Posted in seguridad, Software

Tags:

Protegiendo el servidor: APF (Advanced Policy Firewall)

September 5th, 2008

Un paquete de software muy usado para defender nuestros servidores es APF. La instalación es muy rápida por lo que podemos ver en seguida si resulta eficaz ante un ataque. Se basa en filtros usando iptables y listas de ips para bloquear. Es muy completo, pero lo más importante es que es rápido de instalar y no da problemas. Solución rápida en momentos de crisis

Para instalarlo :

cd /usr/src
wget http://www.r-fx.ca/downloads/apf-current.tar.gz
tar zxvf apf-current.tar.gz
cd apf-*
sh install.sh

La instalación es así: 

# sh install.sh
Installing APF 9.6-5: Completed.

Installation Details:
  Install path:         /etc/apf/
  Config path:          /etc/apf/conf.apf
  Executable path:      /usr/local/sbin/apf

Other Details:
  Listening TCP ports: 111
  Listening UDP ports: 111,45188,45234,46761,48062
  Note: These ports are not auto-configured; they are simply presented for information purposes. You must manually configure all port options.

Iniciar el servicio apf

apf -s

Los logs están en /var/log/apf_log

más información en http://rfxnetworks.com/apf.php

No comments »

Posted in knowledge base, seguridad, servidores

Tags: