Por que y cómo hackearon a aede.es

[ $date ]# 28 diciembre 2014
aeda_deface

La asociación de editores de diarios españoles, ha sufrido ataques por hackers, estos dejando mensajes “chistosos” o “memes” qué han echo sacar una carcajada a más de uno en su pagina principal, el motivo principal es la Ley de Propiedad Intelectual que ha desplazado a google (news) de españa siendo el primer país en hacer esto (en el mundo mundial):

Deface2

deface- Deface-2

La página de google news ( http://news.google.es/ )  envía a una pagina de soporte la cual especifica el por que:

Lamentamos tener que informarte que Google Noticias ha cerrado en España y que las publicaciones de los editores españoles ya no aparecen en Google Noticias, a raíz de los recientes cambios en la legislación española. Comprendemos que usuarios como tú podáis estar descontentos con esta nueva situación y por ello queremos explicarte las razones por las cuales hemos tomado esta decisión.
..

Tras la aprobación de la reforma de la Ley de Propiedad Intelectual hemos tenido que cerrar el servicio de Google Noticias en España. Esta nueva legislación obliga a cualquier publicación española a cobrar, quiera o no, a servicios como Google Noticias por mostrar el más mínimo fragmento de sus publicaciones. Dado que Google Noticias es un servicio que no genera ingresos (no mostramos publicidad en el sitio web), este nuevo enfoque resulta sencillamente insostenible

Las personas que están inconformes con esta ley han buscado la forma de hacerse notar en las Web con su desacuerdo, el objetivo la web de la a asociación de editores de diarios españoles: “aeda.es”, lo irónico usar google para descubrir por donde atacar:

google dork

 

La tercer pagina que google indexa “Zona Privada” claramente se nota un usuario y contraseña, el cual se deduce que contiene un form con un login para entrar algún panel de administración:

login_aede

Cómo siempre eh dicho el internet es un mar de conocimientos que cualquiera puede pescar lo que quiera y a su conveniencia, al encontrar un formulario cómo este se puede hacer varias pruebas de penetración y una de ellas la más básica poner un ' para saltar algún error:

error_deface

Aquí se puede ver que el mismo error te dice que hay hacer y ya depende de los conocimientos del atacante para poder obtener datos o modificar el sitio web:

sql_injecci

Antes de realizar este post se notifico al webmaster ;-) .

{+ google cierra en españa via abc.}

El arte de buscar desde la terminal.

[ $date ]# 16 diciembre 2014
find_shell

Para la mayoría de los linuxeros de hueso colorado esto es cómo el pan de cada día, el buscar desde la terminal se les hace más efectivo que entrar a una UI, aparte de que se ve más “und3rgr0unD”, existen varios comandos con sus diferentes atributos para poder crear la búsqueda perfecta de aquel archivo o palabra dentro de el, la mayoría opta por find qué es uno de los más conocidos.

Digamos que queremos buscar un archivo que se llama index, en el primer find, solo especifico el nombre con -name, el cual no me arroja un resultado, añado * el cual me buscará en cualquier carpeta dentro de donde este buscando, y ha arrojado unos resultados, en el ultimo especifico la carpeta www/ donde buscar:

El comando find, tiene la opción ya sea mayúsculas y minúsculas:

Podemos hacer uso de expresiones irregulares para la búsqueda:

  • “[0-9]*” #Todo lo que comienza con dígitos
  • “[Oo]*” #Todo lo que comienza con la letra “o” mayúscula o minúscula
  • “[b-f]*.txt” #Todo lo que comienza con una letra entre la b y f y sea un .txt

Realizar una búsqueda de archivos ocultos:

El atributo -user nos puede ayudara buscar los archivos que pertenece a cierto usuario, también existe -perm para buscar por permisos:

Para realizar búsquedas por fecha de modificación podemos usar -mmin (minutos), los valores pueden ser indicados de las siguientes formas:

  • +n busca valores mayor que n
  • -n busca valores menor que n
  • n busca exactamente el valor n

El comando find, contiene más atributos para la búsqueda por tiempos: -amin, -atime, -cmin, ctime, -mmin y -mtime (“min” es para periodos de minutos y “time” para periodos de 24 horas.):

Los que empiezan con “a” (access) indica el tiempo en que fue accedido (leido) por última vez un archivo. Los que empiezan con “c” (change) indica el tiempo que cambió por última vez el status de un archivo, por ejemplo sus permisos. Los que empiezan con “m” (modify) indica el tiempo en que fue modificado (escrito) por última vez un archivo. {via Linux Total}

El poder de -exec

-exec permite ejecutar incorporar comandos externos para ejecutar sobre el resultado devuelto por find, este comando fue muy usado cuando los “hackers” hacían un “mass deface” y modificaban todos los index, la ventaja de poder ejecutar comandos hace a -exec algo “especial”… jaja.

En comando anterior sale el atributo -size en cual puse 0 para archivos vacíos, seguido de -exec el cual ejecuta ls que nos devuelve una salida de ls se indica la cadena {} que se sustituye por cada salida de find.

Digamos que sabemos que una persona usa el cliente filezilla y sabemos que los archivos .xml se guardan las configuraciones “las contraseñas” y “usuarios” de sus (s)FTP y nos prestan la maquina y solo tenemos 10 min y un USB:

En el 2011 escribí un post parecido donde el tema era la búsqueda de palabras dentro de los archivos *.html, donde yo use xargs:

En el cual hubo la participación de varios amigos, donde aportaron las diferentes formas que ellos buscaban la cadena en un archivo:

gwolf comment 2011

Existen más comando cómo grep, egrep etc… El cual nos pueden ayudar a realizar búsquedas más poderosas. Por el momento me quedo con find y exec, el cual para mi hacen buena combinación.

Y tú ¿Qué usas para las búsquedas dentro de la terminal?

WireLurker: Cómo saber si mi Mac esta infectada.

[ $date ]# 9 noviembre 2014
WireLurker

WireLurker es un malware que afecta a equipos Mac y dispositivos iPhone e iPad, el cual proviene de China y fue lanzado para el mercado chino. Se han identificado un total de 467 aplicaciones infectadas con el malware, El cual ha sido descargado más de 356.000 veces.

Claud Xiao ha creado un script en python para detectar este malwaré pueden descargarlo con curl o wget, desde el github de Palo Alto Networks.

Más info: hackerss.com

{,} en los comandos de Linux y Unix?

[ $date ]# 4 noviembre 2014
xargshost

Por lo general utilizo esto {,} cuando necesito crear archivos numerados: archivo1, archivo2, archivo”n”:

El comando touch archivo{1..3}.log, me ha creado los tres archivos y los ha enumerado; {1..3}, de igual forma podemos usarlo para ahorrarnos tiempo al crear los archivos de logs y su respaldo por así decirlo:

Otra de las utilidades que le eh encontrado es para cambiar de nombre o extensión a los archivos y así cómo copiarlos:

De esta forma nos ahorramos tiempo en cp/mv logs.txt logs.texto. Existen varias formas para sacarle provecho:

(y)

Actualizar servidor NTP

[ $date ]# 27 octubre 2014
ntp_ssh

Eh usado debian por años, así que me confíe con un servidor NTP de CENAM y hoy tuve que hacer el cambio, así que les debo una hora a unos clientes:

Buscamos el archivo /etc/ntp.conf y añadimos:

Una vez ya guardado el archivo ntp.conf reiniciamos el NTP:

Ya solo nos queda elegir nuestra zona horaria con dpkg-reconfigure tzdata:

Para validad los servidores a los cuales estamos conectados podemos verificar con ntpq y ntpdate, a mi me gusta juntar ntpq con watch:

El * indica con que servidor estoy sincronizado, reach indica la conectividad hacia el servidor la máxima es 337 y st indica el stratus de hora).

Si tienes un servidor NTP, en el cual trabajen todos tus equipos entonces puedes usar ntpdate -d, este checa el servidor NTP que le pongas y verifica la diferencia de tiempos pero no modificará el reloj de su sistema:

Sí lo que no tiens es tiempo, necesitas hacerlo inmediatamente puedes hacerlo de la siguiente manera: ntpdate -u SERVIDOR_NTP_PERSONALIZADO, se sincroniza y listo.