Skip to content

Tutorial de IPTABLES (inglés)

04-Aug-10

Sé que muchos de vosotros (al igual que yo) tiene como asignatura pendiente el poder controlar correctamente IPTABLES. Por motivos que no diré aquí yo soy uno de ellos, así que quiero compartir con vosotros estos vídeos ya que os serán de gran ayuda. Están en inglés pero son fáciles de entender. IPTABLES es *esencial* a la hora de administrar correctamente y como seguramente ya sabréis tener un control medio/alto de esto es EXTREMADAMENTE importante.

Parte uno:

Parte dos:

Parte tres:

Que los disfrutéis.

Filed in Firewall, GNU/Linux, Personal | Tagged , , | Comments (0) »

Google: esa buena herramienta

12-May-10

Y es que el señor Google tiene las manos muy largas. Sabe meterse donde no le llaman y es sigiloso. Basta con meter alguna palabra aquí en su buscador, otra allá… y tenemos la combinación cerradura/candado perfecta. Arrancas el navegador, metes una palabra a mala idea y pasa lo siguiente:

Y es en este momento cuando abres más los ojos a pesar de que el sueño no te deja y sientes ese hormigueo en los dedos. Oh wait! ¿Cómo es posible?

postmaster:$1$isps3W.L$yEPGcB3b/XXXXXXXXXXXXX:1:0:Postmaster:/home/vpopmail/domains/XXXXXX.net/postmaster:NOQUOTA:mq5sk5

**TODAS** las cuentas de correo del dominio en cuestión, visibles desde un navegador. Revisando un poco más podemos ver cómo son en su mayoría cuentas de hospedaje en empresas de hosting de todas partes. Evidentemente tienen Cpanel instalado pero, ¿por qué demonios tienen indexado a través de web el correo electrónico de la mayoría de los dominios? ¿Qué pasaría si vemos cuántos dominios tienen alojados en cada servidor y nos dedicamos a revisar el correo del personal? Maravillado quedo:

Página 2 de aproximadamente 1.450 resultados (0,08 segundos)

¿Tienes un pack revendedor? ¡Mejor aún! Todos tus dominios estarán visibles.

Se supone que lo que tiene que indexar Apache en Cpanel de cada cuenta de hospedaje es /home/usuario/public_html/ pero veo cómo muchos administradores de sistemas tienen indexado un directorio atrás así que te podrás imaginar la seguridad que tienes cuando esto ocurre.

A parte ya del correo, me encuentro con cosas como los directorios /backup/, que no tenían que ver con la búsqueda que hice pero que aparecen en mi pantalla. Evidentemente no voy a poner la búsqueda que realicé aquí, sólo esto para que os déis cuenta:

Carpetas con búsqueda

Filed in Descuidos, Google, Revelación de información | Tagged , , , | Comments (0) »

De cómo sobrevivir en un hábitat peligroso

14-Apr-10

Érase una vez, un administrador de sistemas al que por circunstancias de la vida tuve que desplazarse de su domicilio para vivir en la misma ciudad donde había vivido siempre, pero alejado de gritos, ruídos de teléfono sonando de fondo, cuchicheos y demás parafernalia. Al haberse mudado a la fuerza y no disponer de  liquidez o símplemente no querer pagar un dineral, compró una antena para redes wireless medianamente potente y un adaptador no menos potente. Una vez en este domicilio, lo primero que hizo nada más hacer la mudanza de las pocas cosas que tenía fue salir disparado para la azotea, cable y antena en una mano y su portátil en la otra. La azotena no tenía una altura decente pero dada la altura de los demás edificios que estaban alrededor no pensó que fuera ningún problema.

Una vez habiendo echado un vistazo rápido por los contornos de la misma, abrió la tapa de su portátil, arrancó uno de tantos programas que existen para ver qué redes wireless están disponibles y observó el número de éstas mientras esbozaba una sonrisa y pensaba para sí mismo: “bueno, no todo podía ser malo”. Inmediatamente se dio la vuelta y se fijó en una de las torres que se usan para la ventilación de los edificios. Sí, esas que comunican cada baño. Corrió de nuevo a su nueva guarida y alambre en mano medio ató la antena a la torre, conectó el cable y lo tiró para el patio que llegaba justo a donde tenía una CPU esperando órdenes. Un par de golpes de teclado et voilà, conexión a internet patrocinada por un usuario sin conciencia.

De vuelta a las mudanzas, pasado un tiempo, vuelta a empezar. Para colmo, cierta empresa de acceso a internet famosa en algunas ciudades costeras, de una página cutrísima parece que tampoco pensaba en la seguridad de sus clientes. Si tenemos un BSSID, así:

00:22:14:ea:41:32

La contraseña sería:

2214ea4132

Magnífico. El administrador de sistemas de nuestra historia no tendría problema alguno de acceso a internet fuera a donde fuera, incluso desde su teléfono móvil con wireless. El ahorro es el ahorro.

Moraleja: JAMÁS dejes nada por defecto, ponte al día al menos en lo que sea seguridad de tu red en casa, es muy fácil seguir unas pautas mínimas. Sobre todo, no dejes nada por defecto que te ponga un instalador de ADSL, cable o 4G. Absolutamente nada.

Filed in Descuidos, Revelación de información, Wireless | | Comments (0) »

Dejar la puerta abierta

10-Dec-09

El otro día leyendo el periódico deportivo de moda (suelo hacerlo a través de su página web) en papel me fijé en la publicidad de una conocida franquicia (creo) de tiendas de deportes que venía en la parte de atrás. El caso es que he visitado las tiendas y están bastante bien de precio.

Como suelo comprar material deportivo, la verdad es que me fijé en que tenía al pié de la publicidad la página web. Entré para echarle un vistazo y le eché el ojo a la URL, navegando por los diferentes apartados. Y claro, no pude resistir el probar algo extremadamente simple:

et voilà:

SHA

Bueno, el caso es que después de preguntarme mil veces a mí mismo sí sería buena idea reportar esto sin que lo acusen de hacer explotar el servidor y mil cosas más que al departamento de sistemas y/o desarrollo le gusta cargar a otro (véase brown eater) me decidí a hacerlo. Revise la información del WHOIS, y lo envié al que me pareció más razonable.

Y no contestaron. ¿Enviarlo al servicio al cliente? ¿Para qué?

Bueno, la verdad es que han pasado casi 3 meses desde que lo reporté y aún no ha contestado nadie… así que sinceramente me lo estoy planteando… si lo hago ya os comentaré a ver qué me cuentan…

Por cierto, el usuario que usan es ese que hace sangrar a los ojos más angelicales…

Filed in Descuidos, MySQL Injection | Tagged , , | Comments (0) »

Un simple phpinfo

07-Oct-09

Hace no mucho pude comprobar que muchas empresas de hosting tienen en sus servidores un archivo con la función phpinfo por defecto, para que los clientes puedan comprobar qué tiene el servidor instalado y así también servir de prueba cuando un cliente se empecine en que no está instalado el módulo tal y cosas por el estilo.

El problema es que a veces no se dan cuenta de que pueden revelar cierta información, y con un poco de suerte esta información puede provocar que un atacante, obtenga información privilegiada.

info

Como podemos ver, hay un PATH que apunta a un directorio que nos llama la atención. El caso es que hay alguien dentro, en ese directorio y seguramente estuvo modificando algo con un editor. Al entrar en ese directorio traducido a URL…

profile

Y como podemos ver, se olvidaron de restringir este directorio de este tan conocido sistema hecho en PHP para dar soporte a los clientes vía CHAT. Luego no tenemos más que entrar en la dirección de administrador, usar la información capturada y leer conversaciones de distintos departamentos.

Esto conlleva a dejar expuestos datos de usuarios y contraseñas de los clientes, así como datos bancarios.

Siempre hay que pensar en lo peor y ser paranoicos. No olvides que por pocas probabilidades de que alguien encuentre algo que te afecte, se tiene que arreglar. Si se deja algo olvidado, quién sabe de qué forma se podrá usar mañana para poder acceder al sistema o a información privilegiada.

Filed in Descuidos, Revelación de información | Tagged , | Comments (0) »

Comenzamos

03-Oct-09

Desde siempre he tenido que abrirme paso yo solo. Llevo muchos años dedicándome a sistemas, interesado por la seguridad, leyendo infinidad de documentos cuando era más jóven y que ahora no leo por falta de tiempo.

En este blog dedicaré parte de mi tiempo a escribir lo poco que sé sobre seguridad informática y es que como diría alguien con el que tuve el placer (¿y desgracia?) de trabajar: “lo único que me diferencia de ti es que yo soy mucho más cabezón que tú”.

También quiero decir que no soy un experto en seguridad, eleet o algo parecido. Sólo uno más.

Filed in Personal | Tagged , | Comments (0) »