Re: [OT] Información que envía un navegador web
Saludos: Aclarando un comentario, sobre si se pueden modificar todos los parámetros que el cliente envía al servidor, la respuesta es SI. Esta es una de las tenicas para los temas de Hacking a nivel web o las aplicaciones web. Finalmente eres el dueño de la información que envías no solo lo que el cliente envía, como el tipico GET o POST, también parámetros, valores, otros métodos, y también están las cookies entran en este escenario, cuestión de meters eun poco más en el protocolo HTTP. Atte: -- Alonso Eduardo Caballero Quezada aka ReYDeS - rey...@gmail.com OWASP Member / Brainbench Certified Computer Forensics (US) www.npros.com.pe / www.ReYDeS.com / LRU #307242 / SSP-CNSA -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CAPLbpigxgBrb9D4QqHFpxD+G+vsDheUq4mBFk7Z_OV=7h8b...@mail.gmail.com
Re: Posible intrusión un server
Saludos: Por otra parte, te recomiendan que reinstales sin saber si quiera el alcance de la intrusión, yo no lo haría hasta estar seguro que te la hayan metido hasta el fondo. Usa ps, lsof, netstat y demas para ver si hay procesos anómalos ejecutándose y si no tienes tripwire usa lsattr para buscar atributos que no deberían tener binarios del sistema como ps, lsof, netstat, etc... suelen dejarlos como inmutables para que no puedas sustituirlos. Creo que no se leyó o entendió bien esta recomendación, en primera instancia es realizar un forense de computadoras sobre el servidor o computadora comprometida para conocer el que, como, cuando, quien, etc, del incidente. Luego de lo cual se recomienda reinstalar todo el sistema, basando en los hallazgos de análisis forense; es obvio que de nada serviria reinstalar todo, y que el sistema quede en el estado cuando fue comprometido. Por otra parte, y es bueno recordarlo, la captura de evidencia se realizada con herramienta confiables, NO con las herramientas que estan en el sistema donde se suscitó el incidente. Atte: -- Alonso Eduardo Caballero Quezada aka ReYDeS - rey...@gmail.com OWASP Member / Brainbench Certified Computer Forensics (US) / SSP-CNSA www.iDev.pe / www.ReYDeS.com / www.npros.com.pe / LRU #307242 -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/BANLkTimVOV=uAZu4qo40T3ok-«izx...@mail.gmail.com
Re: Posible intrusión un server
Saludos: En realidad no se como lo hice pero dejé de entender buena parte del correo. Sugerí que buscara la forma de ver que usuario había sido el causante de la intrusión cuando él ya estaba pegando la salida del history de root. Lamento el malentendido. Pues la idea es aprender entre todos y es bueno que se forme el intercambio de ideas y opiniones tecnicas o no tan tecnicas. Aqui todos estamos para aprender y poder enseñar lo poco/mucho que tengamos para compartir. Atte: -- Alonso Eduardo Caballero Quezada aka ReYDeS - rey...@gmail.com OWASP Member / Brainbench Certified Computer Forensics (US) / SSP-CNSA www.iDev.pe / www.ReYDeS.com / www.npros.com.pe / LRU #307242 -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/banlktintpwrxr01kjwfyp8lkilxueq_...@mail.gmail.com
Re: Posible intrusión un server
Saludos: 2011/5/13 ciracusa cirac...@gmail.com: Lista, buenas tardes. Perdón si este tema no esta directamente relacionado con Debian, pero como el server en cuestión tiene Squeeze y es un tema de seguridad creo que puede interesarles a mas de uno. Siempre el tema de las seguridad, es un tema que compete a todos los sistemas operativos y para ser más extensos, a todos los aspectos de nuestra vida. Ayer viendo el history de root de un servidor veo lo siguiente: Que opinan? Entiendo -lamentablemente- que el server fue comprometido, pero lo que no llego a comprender es el alcance de esto. Notar que puse el link para que puedan descargarlo uds. también y analizarlo (tomando las precauciones del caso). Bueno, si alguien tiene algo de info muy agradecido. Y si pueden recomendarme algunos pasos para analizar la seguridad del server desde ya muchas gracias. En el punto es que el server es comprometido deja de ser confiable, y se recomienda en primera instancia realizar un forense de computadoras, para tratar de obtener evidencia digital, y claro esta conocer como es que tu servidor fue comprometido. Una segunda recomendación sería reintalar de todo desde el inicio; pero el punto aqui es que si no conoces la manera, mecanismo, forma, etc del incidente, puede volverte a ocurrir; y claro esta esto lo obtienes del forense de computadoras realizado. Si tienes sistemas de registro, analizalos también como firewalls, IDS, IPS, etc. Y si capturas el trafico de red, también te sirve para el tema forense. Atte: -- Alonso Eduardo Caballero Quezada aka ReYDeS - rey...@gmail.com OWASP Member / Brainbench Certified Computer Forensics (US) / SSP-CNSA www.iDev.pe / www.ReYDeS.com / www.npros.com.pe / LRU #307242 -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/BANLkTi=sfGJkwBUpodLfCbCOXGh=x6v...@mail.gmail.com
Re: Clonado de discos con dd
Saludos: Buenas gente, estoy clonando un debia que se encuentran trabajando en unas compact flash de 8 GB. Estoy probando un clonado desde esas compact flash hacia discos ide y sata. realizo el siguiente paso: dd if=/dev/sda of=/dev/sbb Pero al rebootear, me tira boot disk failure Cuando veo la tabla de particiones no tiene nada. El clonado está bien, por alli que deberías utilizar parámetros de tamaño de bloque o tambien el parametro conv, sea el caso. En lo referente al error, pues tienes que indicar al gestor de arranque de donde iniciar Debian, pues sino, buscará donde siempre, es decir en tus compact flash. Atte: -- Alonso Eduardo Caballero Quezada aka ReYDeS - rey...@gmail.com OWASP Member / Brainbench Certified Computer Forensics (US) / SSP-CNSA www.npros.com.pe / www.ReYDeS.com / www.iDev.pe / LRU #307242 -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/BANLkTins1c=wzseaa4hs8f_joqbmzto...@mail.gmail.com
Re: Clonación/migracion de disco
Saludos: Tal lo menciona el asunto, necesito pasar un sistema desde un disco de inferior capacidad a otro de mayor, me gustaria si alguien que ya lo ha hecho me podria dar algunas consideraciones... aun estoy en el dilema si clono el disco tal cual esta (me refiero a aplicaciones, el home no es un problema) o instalo desde 0 y copio simplemente el /etc, Planeo hacerlo con squeeze por ser la estable pero en realidad estoy acostumbrado ha hacerlo con testing. He realizado el proceso de dos maneras, con el sistema apagado y procediendo a realizar una copia bit a bit con dd o dcfldd, y con un sistema en funcionamiento. En ambos casos el resultado fue exitoso. Pero te recomendaría que lo hagas con el disco en reposo, dado que si está funcionando podría darte algunas inconsistencias y dolores de cabeza. Por otra parte, considera, que tendrás que realizar el formato y creación del sistema de archivo cons el espacio restante del disco duro de mayor capacidad. Y claro, estamos hablando de que este proceso lo harás por ejemplo de IDE a IDE o SATA a SATA, porque si es de IDE a SATA por alli tendrías que modificar algunos parametros. Por lo demás no debería darte ningun inconveniente. Atte: -- Alonso Eduardo Caballero Quezada aka ReYDeS - rey...@gmail.com OWASP Member / Brainbench Certified Computer Forensics (US) / SSP-CNSA www.npros.com.pe / www.ReYDeS.com / www.iDev.pe / LRU #307242 -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/banlktinwh47nnag2vxlfajgpwsopt...@mail.gmail.com
Re: Duda
Saludos: Tengo una memoria flash (Fat32) con un directorio oculto (hecho por un gusano de windows), en windows con attrib -h lo puedo hacer visible ¿pero puedo hacer esto en Debian? o sea ¿con que comando puedo hacer visible algun archivo o directorio? he leido chmod y chattr pero no me sirve al menos lo leido hasta ahora. Debes utilizar # ls -al Luego puedes cambiar los atributos, desde un windows limpio y seguro con el attrib. Atte: -- Alonso Eduardo Caballero Quezada aka ReYDeS - rey...@gmail.com Brainbench Certified Computer Forensics (US) / SSP-CNSA / LRU #307242 www.iDev.pe / www.npros.com.pe / www.ReYDeS.com / www.PeruSEC.org -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktinysyawhhqn4wrfwto7awpa3s06yvmv34gi7...@mail.gmail.com
Re: Recuperación de partición NTFS desde Debian
Saludos: Hola colegas. Por acá por mi empresa tenemos un problema pequeño. Un técnico IT de nuestro departamento por accidente reparticionó un HDD con windows XP para reisntalar este sistema en un equipo de Contabilidad, pero olvidó hacer backup de la partición de trabajo. He estado mirando las distintas herramientas forenses que vienen en los paquetes de Lenny y la gran mayoría informan o recuperan archivos que coincidan con patrones buscados. Pero mi pregunta en cuestión es si existe una herramienta que me permita recuperar la partición ntfs antigua? Decir que Análisis Forense o Cómputo Forense NO es recuperación de archivos, una de las fases es recuperar archivos o particiones perdidas, ocultas, etc. Tener siempre en claro ello. Algunos articulos de análisis forense que he leído comentan la posibilidad de recuperar información de discos que han sido reparticionados/formateados. Algún colega tiene alguna experiencia al respecto que pueda ayudarnos a recuperar el trabajo perdido en el disco. Te sugiero que hagas una copia bit a bit de todo el disco duro, bloqueando el acceso de escrito a dicha unidad, y utilizar un simple dd o dcfldd para hacer la imagen exacta. Luego de ello, puede aplicar las herramientas que gustes sobre la copia, sin preocuparte de dañar nada. Claro está, si vas a jugar con la copia haz una copia más y verifica cambios en ellas utilizando hash. Repito, ya luego puedes jugar con las herramientas, con la seguridad de no dañar el original. Atte: -- Alonso Eduardo Caballero Quezada aka ReYDeS - rey...@gmail.com Brainbench Certified Computer Forensics (U.S.) - SSP-CNSA www.npros.com.pe - www.ReYDeS.com - www.PeruSEC.org - LRU #307242 -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/h2h7891c89d1005050622m4e90ebf0g9649fd6c439a9...@mail.gmail.com
Re: Recuperación de partición NTFS desde Debian
Saludos: Si ya lo hice, con dd. Gracias por la preocupación, Bienaventurados los pesimistas porque ellos hacen backup Y asegurate también de realizar un hash, SHA1 para veririficar la integridad de la copia creada. Claro que tienes que comparar este hash con el hash del origen. Atte: -- Alonso Eduardo Caballero Quezada aka ReYDeS - rey...@gmail.com Brainbench Certified Computer Forensics (U.S.) - SSP-CNSA www.npros.com.pe - www.ReYDeS.com - www.PeruSEC.org - LRU #307242 -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/r2w7891c89d1005051023n7049cdf8wea378243de7ee...@mail.gmail.com
Re: consulta
Saludos: 2010/3/24 Alberto Molina Molina dicker...@gmail.com: Estimados, alguien podría indicar donde se encuentran los log más importantes y cual es la información que registran. Por defecto /var/log Atte: -- Alonso Eduardo Caballero Quezada aka ReYDeS - rey...@gmail.com Brainbench Certified Computer Forensics (U.S.) - SSP-CNSA www.npros.com.pe - www.ReYDeS.com - www.PeruSEC.org - LRU #307242 -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/7891c89d1003240605q37029e8ei78bd885d15545...@mail.gmail.com
Re: Solicito documentación de iptables en españ ol
Saludos: 2010/3/24 y...@ndy yoa...@eia.cfg.rimed.cu: Gracias y saludos para todos. Sugiero que siempre revises la página del proyecto primero. http://www.netfilter.org/documentation/index.html Siempre lo primero es ir a la fuente. Atte: -- Alonso Eduardo Caballero Quezada aka ReYDeS - rey...@gmail.com Brainbench Certified Computer Forensics (U.S.) - SSP-CNSA www.npros.com.pe - www.ReYDeS.com - www.PeruSEC.org - LRU #307242 -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/7891c89d1003240629x6fa6f985i472d0e4748ab0...@mail.gmail.com
Re: consulta
Saludos: 2010/3/23 Alberto A. Molina M. dicker...@gmail.com: Estimados, me han hackeado un servidor de páginas web y no se por donde empezar a revisar cuales podrían ser los motivos o las fallas. Me pueden indicar algunos logs que me proporcionen información importante u alguna otra ayuda que me sirva a saber por donde podrían haber entrado. Si puedes hacer una imagen bit a bit del disco duro, sería una buena manera de empezar tu análisis. Atte: -- Alonso Eduardo Caballero Quezada aka ReYDeS - rey...@gmail.com Brainbench Certified Computer Forensics (U.S.) - SSP-CNSA www.npros.com.pe - www.ReYDeS.com - www.PeruSEC.org - LRU #307242 -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/7891c89d1003231302x7c216c2u5fc0ea81f7a48...@mail.gmail.com
Re: Segment fault con foremost
Saludos: Buenas noches, Estoy en medio de un proceso de recuperación de un HD en NTFS con el foremost. El HD lo he clonado con dd y he creado unas huellas MD5 en el original y el RAW ahora el problema que me salta es un segmentation fault siempre en el mismo offset. La pregunta es, ¿puede ser fallo del foremost? (he leido algunas cosillas acerca de ello pero en principio siempre se debia a un bug al usar el parametro -v) ¿o me dedico directamente a destripar ese y los offsets contiguos poniendolos a 0? Prueba utilizar scalpel, tiene interesantes caracterísicas y su utilización es similar a foremost. Atte: -- Alonso Eduardo Caballero Quezada aka ReYDeS - rey...@gmail.com Brainbench Certified Computer Forensics (U.S.) - SSP-CNSA www.npros.com.pe - www.ReYDeS.com - www.PeruSEC.org - LRU #307242 -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/7891c89d1003040508k1076af5ege83a241f794e9...@mail.gmail.com
Re: jorgito
Saludos: 2009/11/3 jorgito jorg...@alimatic.cu: como montar un dispositivo USB desde la consola de debian. gracias Primera recomendación. Trata de investigar por tus propios medios ;) Segunda recomendación: Revisa tu /var/log/messages cuando conectes tu unidad USB. Se observador Cuando obtengas la información es decir [sdX]: mount /dev/sdX /mnt/puntodemontaje Es todo. X) Atte: -- Alonso Eduardo Caballero Quezada aka ReYDeS - rey...@gmail.com Brainbench Certified Computer Forensics (U.S.) - SSP-CNSA www.ReYDeS.com - www.PeruSEC.org - www.npros.com.pe - LRU #307242 -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Formateo de bajo nivel
Saludos: 2009/10/22 Luis Lezcano Airaldi luislezc...@gmail.com: On Jue 22 Oct 2009 21:29:25 Sylvia Sánchez escribió: ¡hola! Les traigo esta pregunta, a ver si alguien me la sabe responder. Tengo un disco de unas 80 gigas que quiero formatear de tal manera que no quede ni rastro de los archivos. Que quede a cero. Que yo sepa, éso se llama formateo a bajo nivel, pero lo que no sé es qué programa o comando puede funcionar en Debian para hacerlo. Es sobre un testing con Gnome. El tiempo no es problema porque lo dejo funcionando hasta que termine. Wipe NO formatea, como sirve para borrar archivos de un medio magnético; bueno según su propia sinopsis. ;) Aunque su propósito es más eleborado y con muchas interesante opciones. Para un borrado rápido. puedes utilizar el siguiente comando: # wipe -kq /dev/tu disco Obviamente utiliza un live-cd o un live-usb para wipear tu unidad. Luego de lo cual ya peudes proceder a formatear. También hay con GUI, o vía dcfldd, o dd, etc. cuestión de gustos. X) Atte: -- Alonso Eduardo Caballero Quezada aka ReYDeS - rey...@gmail.com Brainbench Certified Computer Forensics (U.S.) - SSP-CNSA www.ReYDeS.com - www.PeruSEC.org - www.npros.com.pe - LRU #307242 -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Formateo de bajo nivel
Saludos: Y qué opinan de: # dd if=/dev/zero of=/dev/hdX ¿Alguien lo usó alguna vez? Si, y /dev/zero coloca caracteres NULL o 0x00 en el destino /dev/hdX. Es válido, pero en el caso de wipe hablamos de estándares para un wipe seguro o conforme a buenas practicas de la industria. Atte: -- Alonso Eduardo Caballero Quezada aka ReYDeS - rey...@gmail.com Brainbench Certified Computer Forensics (U.S.) - SSP-CNSA www.ReYDeS.com - www.PeruSEC.org - www.npros.com.pe - LRU #307242 -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: OT: imagen HD Notebook
Saludos: 2009/7/22 Ricardo Delgado ricardodelgad...@gmail.com: Lista: Tengo una Notebook con un HD de 40 gb con W$ Xp y Debian, este equipo lo utilizo en el trabajo con una Red de los chicos de Redmond y para mi uso personal Squeeze. Ahora tengo la necesidad de cambiar de HD por uno de 80 o 120 gb. Como no quiero reinstalar todo de nuevo pense si es posible utilizar DD para copiar el disco de 40gb a un disco externo, luego colocar el de 80gb (o 120gb) y copiar al disco nuevo desde el respaldo realizado. Esto es posible? Luego de ello, puedo utilizar el resto del espacio creando una nueva particion? Asi es, es posible, y al finalizar la copia al nuevo disco solo tienes que crear una partición con el espacio libre. Atte: -- Alonso Caballero Quezada aka ReYDeS - rey...@gmail.com QualysGuard Certified Specialist - SSP-CNSA - LRU #307242 www.ReYDeS.com - www.PeruSEC.org - www.npros.com.pe -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: montar unidades lenny
Saludos: On Thu, Nov 20, 2008 at 10:54 AM, aux [EMAIL PROTECTED] wrote: Hola, alguien sabe porque desde kde no me monta los dispositivos usb que conecto? Si lo hago a mano me funciona, pero no me sale la típica ventanita de dialogo preguntandome que qué quiero hacer Revisa tu archivo de registro messages, para visualizar que es lo que ocurre cuando conectas tu dispositivo USB. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] GIAC Computer and Network Security Awareness (SSP-CNSA) http://alonsocaballero.informatizate.net - LRU #307242 PeruSEC.org - informatizate.net - NoticiasTrujillo.com -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
mailman+exim4
Saludos: Pues como no he obtenido respuesta a mi consulta anterior, decir que los mensajes se retienen, pero cuando hagao un restart al exim4, los mensajes se procesan y se pueden moderar en el panel de control del mailman. Pero no me llega una notificacion al correo del moderador. ¿Qué puede estar pasando?. Repito, solo cuando reinicio el exim4 después de enviar un mensaje a una lista, este se procesa por mailman. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] GIAC Computer and Network Security Awareness (SSP-CNSA) http://alonsocaballero.informatizate.net - LRU #307242 PeruSEC.org - informatizate.net - NoticiasTrujillo.com -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Exim4 mailmain
Saludos: Tengo un inconveniente con mi Mailman, cuando envío un mensaje a una lista creada en mail, el mensaje no llega para aprobación al correo del administrator, y en el log de exim4, se registra que simplemente se procesa, pero no hay envío al administrador de la lista par aprobación. Además he probado por ejemplo hace 12 horas enviar un correo a una lista, y recien después de todo ese tiempo llegó el correo para aprobar el envío. No he tocado nada en la configuración, solo las actualizaciones de mi Debian estable. ¿Alguna idea de lo que puede estar ocurriendo? Gracias. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] GIAC Computer and Network Security Awareness (SSP-CNSA) http://alonsocaballero.informatizate.net - LRU #307242 PeruSEC.org - informatizate.net - NoticiasTrujillo.com -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: cosa curiosa con exim4
Saludos: 2008/7/3 rene [EMAIL PROTECTED]: Hola lista Me esta pasando algo curioso, tengo un servidor de correo exim4 con dominios virtuales en debian, resulta ser que cuando los usuarios bajo el dominio virtual est, envian un correo este llega con el nombre de otro usuario bajo otro dominio virtual. No se si alguna vez le ha pasado algo igual o tendra alguna idea de como solucionar este lio Sería bueno que indiques como has implementado tus dominios virtuales en exim4. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] GIAC Computer and Network Security Awareness (SSP-CNSA) http://alonsocaballero.informatizate.net - LRU #307242 PeruSEC.org - informatizate.net - NoticiasTrujillo.com -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Squid Carga página Desactualizada
Saludos: On Tue, Jul 1, 2008 at 3:18 PM, Carlos Eduardo Velásquez Chaves [EMAIL PROTECTED] wrote: ciracusa escribió: Carlos Eduardo Velásquez Chaves wrote: Saludos a todos, Estoy usando un Squid + Dansguardian + iptables para el proxy de mi red. El asunto es que me carga ciertas páginas de la primera vez que se había cargado la página, por ejemplo www.nacion.com me carga la de el día 17 de Junio. Incluye en una archivo todas aquellas URL que no deseas que sean almacenadas en Caché del Proxy, y crea el ACL respectivo en el archivo de la configuración de SQUID. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] GIAC Computer and Network Security Awareness (SSP-CNSA) http://alonsocaballero.informatizate.net - LRU #307242 PeruSEC.org - informatizate.net - NoticiasTrujillo.com -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: sendmail - MSP
Saludos: On Fri, Apr 25, 2008 at 3:54 AM, burum [EMAIL PROTECTED] wrote: bueno días a todos. He encontrado este manual sobre sendmail y MSP, ¿que opinión os merece implantar esto en un servidor en producción?. Yo he utilizado sendmail casi durante 4 años en server de producción pasando por varios redhat hasta las 7.2 si la memoria no me traiciona y luego en Debian hasta sarge. El único inconveniente era la cantidad de recursos que requeria para algunas tareas, o que provocaban saturación en el procesamiento de los correos, esto con un afinanmiento se logro solucionar. No tengo quejas o críticas que no hagan que recomiende sendmail, una vez que se comprende su enredado sistema de configuración resulta interesante. Ahora utilizo exim4 con servers Debian, sin problema alguno, nuevamente decir, solo es cuestión de hallar el gusto y el truco a su configuración. Esto nos hace reflexionar en el tema de que existen soluciones que se adecuan a nuestras necesidades en espacio y tiempo. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] GIAC Computer and Network Security Awareness (SSP-CNSA) http://alonsocaballero.informatizate.net - LRU #307242 PeruSEC.org - informatizate.net - NoticiasTrujillo.com
Re: Peticiones Web tiran Apache2
Saludos: On Tue, Mar 11, 2008 at 10:21 AM, Jesus Armando Paul Cespedes [EMAIL PROTECTED] wrote: Buenas dias, la siguiente pregunta es relacionada con las peticiones de mi servidor apache, checando los logs de apache me arroja varias peticiones extrañas, lo peor del asunto es que con las constantes peticiones el servicio web se ve afectado, mas aun las aplicaciones dejan de funcionar, tengo instalado Debian Etch, Apache2, Tomcat5.5, les mando un trozo del fichero de los log de apache. Alguien a tenido el mismo problema??? Te recomiendo que utlices mod security para apache2. O implementa alguna politica para prohibir las direcciones IP que te hacen esas constantes peticiones. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] GIAC Computer and Network Security Awareness (SSP-CNSA) http://alonsocaballero.informatizate.net - LRU #307242 PeruSEC.org - informatizate.net - NoticiasTrujillo.com
Re: Duda sobre imagen y suma md5
Saludos: Hola a todos, a la mejor estoy diciendo una tontería, pero no que quise quedar con la duda. El día de ayer descargue: http://cdimage.debian.org/debian-cd/4.0_r2/i386/iso-cd/debian-40r2-i386-businesscard.iso y como siempre, al terminar de bajarla, verifique el md5, y me dió lo siguiente: md5 sitio_oficial/debian-40r2-i386-businesscard.iso MD5 (sitio_oficial/debian-40r2-i386-businesscard.iso) = 24a735e3a19987102b5ceadb1ccd0a68 NO es MD5 es SHA ;) 526aeea0cae5c31009c779974a2e07b016ff60f3 intenta con sha1sum X) Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] GIAC Computer and Network Security Awareness (SSP-CNSA) http://alonsocaballero.informatizate.net - LRU #307242 PeruSEC.org - informatizate.net - NoticiasTrujillo.com
Re: Duda sobre imagen y suma md5
Saludos: On Feb 12, 2008 5:13 PM, Juan Manuel Acuña [EMAIL PROTECTED] wrote: M, no el sha es una cosa y el md5 es otra... En el mismo directorio, hay un archivo llamado MD5SUMS el cual, por el nombre, yo asumo que se tratan de md5 no? Si, mucha razon tenes, intenta verificarlo con SHA. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] GIAC Computer and Network Security Awareness (SSP-CNSA) http://alonsocaballero.informatizate.net - LRU #307242 PeruSEC.org - informatizate.net - NoticiasTrujillo.com
Sobre 2GB de Memoria
Saludos: Les narro el caso. Tengo una PC con 1 GB, con dos bancos de 512. Ahora bien, aumente la memoria con 1GB mas. EL BIOS obviamente me detecta los 2GB, pero un Debian GNU/Linux Stable. No me reconoce los 2 GB, sigue mostrandome 1GB. He Googleado, pero no tengo referencia a un problema similar. Encontre info de que hay problemas cuando se superan los 4GB, pero no los 2GB. Es por ello que hago esta consulta, para verificar si alguien tuvo un caso parecido o me puede dar mas luz al respecto. Muchas Gracias. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.PeruSEC.org - http://www.informatizate.net http://www.NoticiasTrujillo.com -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Sobre 2GB de Memoria
Saludos: Veo que no Googlee demasiado. otra es instalar el kernel bingmem tal vez es demaciado para la memoria que tenes pero es una solucion. apt-get install linux-image-2.6.18-5-686-bigmem La solucion es instalar el paquete: linux-image-2.6.18-5-686 - Linux 2.6.18 image on PPro/Celeron/PII/PIII/P4 Lo cual soluciona el problema de la memoria. Para memorias superiores, tambien el sugerido es una buena alternativa bigmen. Muchas gracias por su ayuda. X) Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.PeruSEC.org - http://www.informatizate.net http://www.NoticiasTrujillo.com -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: El demonio SMTP mas seguro ?
Saludos: On 10/11/07, Gabriel Ibanez [EMAIL PROTECTED] wrote: Holas, Esoy por decidirme por un servidor SMTP, que sea seguro (el sendmail no tiene buen nombre desde Mitnick). Tambien sería interesante que no fuera muy dificil de configurar. Es para integrarlo en un entorno web/php. ¿ Algun sonsejo ? Yo he utilizado sendmail durante casi 5 o 6 años, y no he tenido problema alguno. Es cuestion de saber utilizarlo. Igual he probado, qmail y postfix, ahora mismo estoy tambien utilizando un server con exim4 y va muy bien. El tema va por el hecho de que la eleccion se basa en tus conocimientos, y el soporte o la facilidad del solvertar mediante tu busqueda o consultas ante algun problema. Por alli debes empezar, leyendo sobre los mas utilizados, postfix, qmail, exim4, sendmail, buscar en internet como son las implementaciones, y probar algunas en un lab. Atte: Saludos a toda la lista. - Gabriel - -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.PeruSEC.org - http://www.informatizate.net http://www.NoticiasTrujillo.com
Re: Sistema debian atacado
Saludos: On 10/9/07, Andres Aponte [EMAIL PROTECTED] wrote: Buenas tardes lista, he sido victima de un ataque a un sistema Debian etch, en el cual colocaron una pagina de e-bay para phishing y esta siendo utilizado para enviar spam con el usuario www-data, instale y ejecute el chkrootkit y encontre varios comandos infectados como el pstree, sh, data, ifconfig, ademas me aparecio lo siguiente: Searching for t0rn's v8 defaults... Possible t0rn v8 \(or variation\) rootkit installed Alguien ha tenido alguna experiencia parecid? necesariamente lo mas recomendable es reinstalar, o puedo limpiar mi sistema de dicha infeccion sin tener que reinstalarlo, Bueno, si te es posible, realiza una copia exacta de tu disco duro, para un posterior analisis. Luego de ello es cuando entran en accion tus copias de seguridad, es mejor evitarse dolores de cabeza y tener un sistema limpio. La imagen te servira para analizar las acciones sobre el sistema atacado y aprenderas un poco de forensics de paso, y la copia de seguridad de la data, para restaurarlos cuando instales el sistema limpio nuevamente y no cometer los mismos errores en base al analisis de la imagen del disco. Aqui hay un enlace donde analizan un sistema atacadao, donde han instalado el rootkit que posiblemente tengas. http://redhat.irlp.net/hack_report.html Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.PeruSEC.org - http://www.informatizate.net http://www.NoticiasTrujillo.com -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: copiar un disco duro
Saludos: On 9/6/07, Gabriel [EMAIL PROTECTED] wrote: Hola, ¿ Que sucede si durante la ejecucion del comando se sigue trabajando sobre sda1 (en el ejemplo) ? Que las modificaciones que se ralicen en aquello que no ha sido copiado aun por dd no se copiaran en el disco destingo. Por ejemplo algunos archivos temporales. Cuando hago ee tipo de procesos generalmente desactivo la mayor cantidad de procesos, y no he tenido problema alguno en seguir trabajando con el disco origen, y luego con el disco destino. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.PeruSEC.org - http://www.informatizate.net http://www.NoticiasTrujillo.com
Re: Error del Sendmail
Saludos: On 8/17/07, [EMAIL PROTECTED] [EMAIL PROTECTED] wrote: Gente, me acerco a ustede para ver un tema que tengo un server que contiene un webmail y envia los mail mediante el sendmail, pero de pronto empieza a tener incovenientes y en archivo de logs me tira esto: sendmail: MTA: rejecting connections on daemon MSP-v4: load average Por lo poco que encontre en la red es por un problema de demasiados conexiones, hay alguna forma dde ver como se soluciona esto? Claro que si, intenta mirar en el archivo /etc/mail/sendmail.mc busca lineas como estas: define(`confQUEUE_LA',`8')dnl define(`confREFUSE_LA',`20')dnl define(`confMAX_DAEMON_CHILDREN',`30')dnl Verifica que otros menajes de error te da en el archivo de sucedos de sendmail. Aqui puedes leer mas sobre que significa cada parámetro: http://www.sendmail.org/m4/tweaking_config.html No olvides regenerar el archivo sendmail.cf y reiniciar el servicio ante cada cambio realizado. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.PeruSEC.org - http://www.informatizate.net http://www.NoticiasTrujillo.com
Re: Sendmail Deferred: Name server: mail.dominio.com.: host name lookup failure
Saludos: On 8/17/07, Gabriel Bueno [EMAIL PROTECTED] wrote: A alguien se le ocurre que es lo que puede estar pasando ??? Agradezco enormemente su ayuda. Gabriel Recuerda tambien hacer definiciones en el archivo /etc/mail/submit.mc y regenerar el submit.cf. Ya sabes donde obtener mas informacion del archivo submit.mc X) Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.PeruSEC.org - http://www.informatizate.net http://www.NoticiasTrujillo.com -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: mysql-5.0 en Debian Etch
Saludos: On 7/31/07, Eduardo R. Barrera Pérez [EMAIL PROTECTED] wrote: Colegas, tengo 2 servidores WEB con Debian Etch los cuales instale hace poco y despues de hostear todos los sitios web en uno y en otro, los cuales estan funcionando bien, veo que el servidor mysql no me deja conectarme desde otra maquina usando algun front como mysqlfront o SQLyog Enterprise. En el servidor que tenia antes que tambien era un Etch, este problema lo resolvi comentando en el fichero /etc/mysql/my.cnf la linea que dice: bind-address= 127.0.0.1 Y reiniciando el servicio mysql, pero ahora no me funciona. En el 1er server, si desde la konsola doy un: Mirate el archivo de log del mysql para ver cual es la informacion que te da al conectarte. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.PeruSEC.org - http://www.informatizate.net http://www.NoticiasTrujillo.com
Re: mysql-5.0 en Debian Etch
Saludos: Colega estoy algo confundido, no entiendo lo que esta pasando, en los 2 servidores en /var/log/ tengo 2 ficheros: mysql.err y mysql.log pero ambos ficheros estan vacios, no tienen nada dentro e incluso el mysql.log el Eso es por la configuracion en la definicion de logs de tu mysql. Fijate en el archivo de configuración. bind-address= 127.0.0.1 intenta colocar no la direccion 127.0.0.1 coloca la direccion IP privada o publica y luego haz un netstat -pln | grep mysql Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.PeruSEC.org - http://www.informatizate.net http://www.NoticiasTrujillo.com
Re: mysql-5.0 en Debian Etch
Saludos: Escape character is '^]'. PHost 'sauron.pri.jovenclub.cu' is not allowed to connect to this MySQL serverConnection closed by foreign host. Por ese mensaje de error, tienes que indicarle al MySQL que maquinas pueden conectarse a tu BD. Porque de seguro solo estas permitiendo conexiones desde localhost. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.PeruSEC.org - http://www.informatizate.net http://www.NoticiasTrujillo.com -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: servidor de correo
Saludos: On 7/17/07, Francisco Santos [EMAIL PROTECTED] wrote: hola buen dia lista resulta que hace algunos meses me monte un servidor de correo (sendmail) basico y tambien un webmail (squirremail) hasta ahi todo bien mi duda biene ahora que me an reportado en algunas listas de spam.. tengo configurado que solamente se puede enviar correo desde dentro de la red por medio de outlook por lo que creo que alguna de las cuentas de mis usuarios a caido en malas manos.. y estan mandando spam desde el webmail de la empresa... ahora como podria hacer para que maximo por usuario se puedienran mandar 100 mails al dia ? ahi alguna forma de controlarlos? y otro pequeño detalle como puedo controlar el tamaño de los mails mis usuarios a veces tratan de mandar hasta 15 megas por correo y quisiera que como maximo se pudiera enviar 5 mb espero alguien me pueda hechar la mano muchas graciuas y salu2 Pues aparte de las tecnicas de control antivirus y antispam que debes implementar en tu servidor, te aconsejo tambien que le des una revision a tu archivo de configuracion: Para controla el numero de receptores por mensajes agrega esto al sendmail.mc: dnl # Limita el numero de receptores por mensaje define(`confMAX_RCPTS_PER_MESSAGE',50)dnl En este caso configurado a 50 receptores. Para controlar el tamaño maximo del mensaje, puedes agregar esto a tu sendmail.mc dnl # Maximo tamano del mensaje define(`confMAX_MESSAGE_SIZE',`1000')dnl En esta caso definido a 10 Megas aprox. Obviamente luego tienes que generar el archivo sendmail.cf basado en sendmail.mc. Una vez realizado los cambios reinicia el servicio del sendmail. Te reitero la recomendacion de revisar las opciones que te da sendmail, y tambien te reitero implementar controles en tu MTA. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.PeruSEC.org - http://www.informatizate.net http://www.NoticiasTrujillo.com
Re: Copia bit a bit Disco duro a pendrive
Saludos: Saludos: On 6/22/07, jesus erdeny andrade fandiño [EMAIL PROTECTED] wrote: Tengo una duda acerca de este herramienta dd tomemos como ejemplo lo siguiente: el DD-origen tiene 3 particiones FAT32 y el DD-destino tiene 1 partición NTFS Al ejecutar dicho comando [*], ¿el DD-destino me queda identico al DD-origen osea quedaria con 1 particion y sistema de archivos FAT32? mejor dicho no importa como este el disco destino, la copia seria identica o me equivoco? [*] #dd if=DD-origen of=DD-destino Si, asi es, es aconsejable que el disco duro destino sea del mismo tamaño o en todo caso de un tamaño mayor que el del origen. En la manera mas normal de utilizacion como bien lo has expresado no deberia de haber ningun inconveniente. Por alli que un par de parametros como noconv y bs tambien son muy usuales, ver man dd si estas en un Linux para informacion de su utilizacion. Resumiendo. X) Las particiones y todo tus datos se replicaran exactamente a el disco duro destino. ATte: Gracias -- visita http://parquesoftibague.com/ juega http://ogame.com.es/ riete http://blog.smaldone.com.ar/2006/12/10/no-tener-ni-idea/ -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.PeruSEC.org - http://www.informatizate.net
Re: Copia bit a bit Disco duro a pendrive
Saludos: On 5/24/07, Pablo Trujillo [EMAIL PROTECTED] wrote: De manera que con dd se podrìa hacer, ok, el disco duro que quiero clonar solo tiene alrrededor de medio GIGA de informacion util, para serles mas especificos se trata de una tocuhscreen de Elaborada en Canada por una compañia llamada CPI el sistema esta basado en linux, Podrias utilizar como ya te han mencionado el dd, pero te recomendaria tambien dcfl-dd que contiene algunas caracteristicas que el dd normal no contiene. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.informatizate.net - http://www.NoticiasTrujillo.com
Re: Software Libre en Escuelas Públicas de La Matanza
Saludos: Me complace anunciar que en la Escuela Nº 24 Patricias Argentinas de Ramos Mejía en la Matanza se modernizó su laboratorio de informática con Software Libre, permitiendo a sus alumnos poder utilizar herramientas ofimáticas y programas educativos acordes a las tecnologías que actualmente utilizan las sociedades de primera línea. Siempre he pensado que cada realidad, requiere soluciones de acuerdo a ellas, cuando se piensa con la cabeza fria, salen ideas y soluciones como las comentadas. Muy buen ejemplo Real del potencial del Software Libre. Mis felicitaciones Omar por hacer eso posible y por compartirlo con nosotros. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242
Re: ayuda con seguridad
Saludos: On 4/11/07, user name [EMAIL PROTECTED] wrote: Que tal listeros, necesito algo de ayuda con seguridad para mi server, de entrada se me ocurren estos puntos: * como puedo hacer que cuando me escaneen con nmap no se muestre información, es decir que cuendo alguien me haga nmap a mi, no se muestre nada, había leído en algún lado sobre cómo pero no lo recuerdo, y busqué de nuevo pero no lo hayé :-/ UN poco complicado que seas visible e invisible a la vez, lo que puedes hacer el solo abrir al exterior los puertos que creas estrictamente necesario, puedes minimizar la informacion que muestra los aplicaciones que estan a la escucha de dichos puertos, y obviamente utilizar los mecanismos de seguridad inherenetes a dichas aplicaciones. Nmap es el mejor escaner precisamente por eso que solicitas por hacer visible lo invisible por seguir con la paradoja. * como puedo hacer que se denegue el ssh cuando hagan un x numero de intento de conexiones, es decir que cuando un mismo usuario/IP haga 3 intentos fallidos se bloquee Verficad el archivo de configuracion de tu ssh en /etc/ssh alli puedes ubicar parametros como LiginGraceTime o PermitRootLogin que son muy utiles esos son los que se me ocurren, de igual manera si tienen algunas recomendaciones de este tipo favor de decirmelas :-) Leer, leer y experimentar, es lo mejor, pero siempre estamos aqui para darte una ayuda. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242
Re: De woody a etch
Saludos: On 4/11/07, Jose Julian Buda [EMAIL PROTECTED] wrote: Es posible pasar de woody a etch? Te recomiendo que primero actualices woody a sarge y que luego pases a etch, las cosas te iran sin problemas, eso si, siempre lee primero las realease notes X) Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Problemas de actualizacion de debian sarge a etch con mysql 5.0
Saludos: On 4/10/07, Marcos Delgado [EMAIL PROTECTED] wrote: El 10/04/07, Juan Guil [EMAIL PROTECTED] escribió: Hola, Hoy he actualizado mi servidor debian sarge a etch y todo ha ido bien, aparentemente menos con mysql. He estado googleando y no he encontrado nada asi que me pueda ayudar. Asi que pido a la lista ayuda Esta es la salida cuando intento instalar el paquete: Te recomiendo que sigas los pasos que se indican en la pagina oficial de debian sobre la actualizacion sarge - etch. A mi me dio un problema en em mysql5 pero por el hecho de no hacer un apt-get dist-upgrade adecudamante, y obviamante tu server mysqld debe estar ejecutandose cuando hagas la actualizacion completa del sistema. Como te han comentado, revisa tambien tu archivo de log, y verifica cual es el error exacto. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242
Sobre un proceso
Saludos: Hace un momento vi un consumo inusual de mod_perl.so y me decidi a bajar dicho modulo para realizar algunas pruebas, luego de lo cual al reiniciar apache me mostraba un error de que no podia iniciar porque habia otro proceso ejecutandose y utilizando el puerto 80, grande fue mi sorpresa al ver que este proceso ocupada el puerto 80, estoy buscando en google, pero aun no encuentro ninguna info sobre tal proceso, si alguien tiene alguna info, se lo agradeceria. 21383 ?S 13:21 [syst] 21390 ?R 96:02 [syst] 21397 ?S 13:12 [syst] 22195 ?S 10:44 [syst] 22201 ?S 11:38 [syst] 6 ?S 10:01 [syst] 22232 ?S 8:16 [syst] 22238 ?S 7:17 [syst] 22243 ?S 9:19 [syst] 22250 ?S 9:21 [syst] 22359 ?S 9:28 [syst] 22398 ?S 10:53 [syst] 22544 ?S 11:31 [syst] Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Sobre un proceso
Saludos: ¿Qué dice el netstat? (curiosidad) No tengo el pantallazo actual, se me escapo en la terminal, pero relacionaba el puerto :80 al proceso [syst] Es por ello que al reiniciar apache2 me daba error en el socket. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242
Re: sendmail
Saludos: On 3/8/07, Guille G. M. [EMAIL PROTECTED] wrote: Mar 7 20:22:05 HAMLET sm-mta[360]: l27JA42C000358: to=[EMAIL PROTECTED] , ctladdr=[EMAIL PROTECTED] (0/0), delay=00:12:01, xdelay=00:12:00, mailer=esmtp, pri=120320, relay=gsmtp163.google.com. [ 64.233.163.27], dsn=4.0.0, stat=Deferred: Connection timed out with gsmtp163.google.com. Además no puedo hacer ping a gsmtp163.google.com . Resuelve el host de destino [64.233.163.27] pero no es capaz de enviar el mail. Tienes algun tipo de filtrado en tu server? Revisa tu firewall, tu router. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.informatizate.net - http://www.hansgross.com
Re: saludos..
Saludos: Añado nessus y cheops Y nessus no se basa en nmap para dicha deteccion?. Respecto a cheops, tengo entendido que solo es es para tu intranet, para el caso de remote os detection creo que las otras alternativas son ideales. Y podriamos agregar Queso Saludos Corregidme si me equivoco. Idem Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org - http://www.informatizate.net
Re: saludos..
Saludos: Y una buena lista en securityfocus, tambien puedes consutlar en packetstorm. http://www.securityfocus.com/cgi-bin/index.cgi?o=0l=10c=33op=display_listKeyword=CategoryID=79PlatformID= Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org - http://www.informatizate.net -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: saludos..
Saludos: On 1/10/07, Martín Spinassi [EMAIL PROTECTED] wrote: El mié, 10-01-2007 a las 09:19 -0500, Alonso Caballero Quezada / ReYDeS Nessus se basa en nmap, pero también tiene otros features para dicha detección, es cuestión de jugar un poco con las opciones. Cheops es para internet también, con el he logrado identificar algunos routers, aunque si lo ejecutas en una terminal, se puede ver que escanea con nmap, aunque en teoría, los de cheops dicen que tienen una base de datos de detección mayor a la de nmap. Lo que si, en ambos casos es detección intrusiva Buenos datos, siempre se aprende algo nuevo. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org - http://www.informatizate.net
Re: OT Ayuda urgente
Saludos: On 1/8/07, Luensacon [EMAIL PROTECTED] wrote: Gracias po la ayuda anterior, Ahora me sucede lo siguiente tengo registrado este dominio wibro.com.pe en http://www.nic.pe/ sin embargo me ocurre lo siguiente cuando voy a ver los DNSs en http://www.nic.pe/ resgristrados me apacere esto wibro.com.penameserver = ORION.EMAX.com.pe. wibro.com.penameserver = TAURUS.EMAX.com.pe. Ningún registro NS para wibro.com.pe Haciendo uso de la herramienta http://www.checkdns.net me aparece lo siguiente Found NS record 'ORION.EMAX.com.pe', but could not resolve it to IP, answer from ICHU.RCP.NET.pe: host 'ORION.EMAX.com.pe' not found. Found NS record 'TAURUS.EMAX.com.pe', but could not resolve it to IP, answer from ICHU.RCP.NET.pe: host 'TAURUS.EMAX.com.pe' not found. Lo cual me indica que Orion y Taurus mis DNS no han sido aun registrado en el servidores ICHU.rcp.net.pe Es esta la razon por la cual no resulve mi dominio wibro.com.pe o puede existir otra. (mis servidores DNS son 200.89.6.201 y 200.89.6.202) Haber, con nic solo tramitas el registro de los DNS que resolveran tu dominio. Ahora bien, tienes que asegurarte que tu registro DNS, A, MX NS, PTR, etc, esten apuntando correctamente a (los) IP(s) que has asignado para los diferentes servicios. Y por lo que puedo percibir los DNS de RCP no resuelven tu dominio, y en el caso de los DNS de emax, da un time out. COnfirma eso. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org - http://www.informatizate.net
Re: OT Ayuda urgente
Saludos: Lo que te puedo confirmar es que si tu te pones como dns (200.89.6.201 y 200.89.6.202) podras resover el dominio wibro.com.pe sin ningun problema, pero si utilizas otros DNSs (telefonica) entonces no podras resolver el dominio. Y si es asi, entonces porque no registras en NIC esos DNS? Gracias Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org - http://www.informatizate.net -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: saludos..
Saludos: On 1/9/07, ramirex [EMAIL PROTECTED] wrote: tengo una inquietud... como puedo saber que sistema operativo tiene una pc, dado la dirección ip. OPciones?. nmap con el parametro -O xprobe2 y p0f Ya con eso tendras buenas maneras de corroborar cual es el que mas se aproxima al verdadero SO de dicha PC. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org - http://www.informatizate.net
Re: Infectado o no?
Saludos: On 1/9/07, Ernesto González Gómez [EMAIL PROTECTED] wrote: Hola: Tengo un archivo (ISMIG.DLL) que aegis-virus-scanner dice que esta infectado y clamscan dice que no. Alguien me podra decir como puedo saber cual tiene la razón? Prueba enviando el archivo a www.virustotal.com a su scaner online. Ademas puedes comprobar la integridad de dicho archivo mediante un hash Md5. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org - http://www.informatizate.net
Re: [OT] problemas tubería rota
Saludos: On 11/13/06, andres sarmiento [EMAIL PROTECTED] wrote: Hola amigos listeros hace un tiempo instalé un paquete y me generó un error, ahora cuando intento instaalr algún otro paquete o actualizar el sistema, me salen errores y también me dejó de funcionar amule debido a que necesita una librería que se averió. Esta es la salida al ejecutar #apt-get -f install Por lo que puedo deducir, e'subproceto trata de sobreescribir una librería y genera el error, pero no sé cómo lo puedo resolver. Agradezco d e antemano por leer saludos cordiales Intenta remover los paquetes conflictivos, si no son necesarios para ti, y luego continua la instalacion, mas adelante puedes intentar instalarlos nuevamente. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org
Re: Logs de Apache Que puede ser?
Saludos: On 10/22/06, Emiliano Piscitelli [EMAIL PROTECTED] wrote: 61.63.28.163 - - [22/Oct/2006:20:48:55 -0300] CONNECT 168.95.5.25:25 HTTP/1.0 302 323 - - 61.63.28.176 - - [22/Oct/2006:20:48:56 -0300] CONNECT 168.95.5.21:25 H Lo que queria saber es que esta haciendo, por lo que estube CONNECT, como otros metodos del HTTP y comandos FTP, pueden ser utilizados para establecer conexiones TCP mediante servicios vulnerables de un proxy. Un atacante puede utilizar un proxy de una red como un intermediaro para escanear o conectarse a un servicio TCP de otra red. En los casos mas criticos un atacante puede establecer una conexion desde una red publica, como internet, y alcanzar una red interna. Esta tecnica comunmente se ha utilizado para conectarse al servicio SMTP Puerto 25, para realizar SPAM. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Archivos Grandes de Mysql
Saludos: Bueno, ahora me toca pedir su ayuda o comentarios al respecto, paso a detallar mi caso: Resulta que tengo varias bases de datos de un tamaño total de 79 MB, tengo de memoria del Sistema 1 GB, Tengo una Pentium IV. El tema va por el hecho de que mysqld me crea en /tmp/ este tipo de archivos -rw-rw 1 mysql mysql 822860200 2006-10-04 16:24 #sql_1f6a_0.MYD -rw-rw 1 mysql mysql 1024 2006-10-04 16:23 #sql_1f6a_0.MYI -rw-rw 1 mysql mysql 822860200 2006-10-04 16:27 #sql_1f6a_4.MYD -rw-rw 1 mysql mysql 1024 2006-10-04 16:25 #sql_1f6a_4.MYI -rw-rw 1 mysql mysql 196214784 2006-10-04 16:28 #sql_1f6a_8.MYD -rw-rw 1 mysql mysql 1024 2006-10-04 16:27 #sql_1f6a_8.MYI Como veran son archivos de mas de 800 MB. Y no solo son 3 o 4, llegan a sera hsta 10 archivos de este tamaño. Y esto sucede relativamente seguido, digamos unas 3 o 4 veces en el dia. Al hacer un strings a los archivos .MYD, lo que obtengo son cadenas de texto de los contenidos de mis bases de datos, como nombres, codigos, etc. Lo que desearia saber, es si alguno de ustedes le ha ocurrido algo similar o me puedan dar algun alcance, sobre el porque de que pase esto. Gracias. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org
Re: registrar el transito hacia internet
Saludos: Y tus politicas de FORWARD?, Y tus politicas de INPUT OUPUT?. Habilitaste enmascaramiento?. configuraste los DNS? Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org - http://www.NoticiasTrujillo.com -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: registrar el transito hacia internet
Saludos: On 9/15/06, [EMAIL PROTECTED] [EMAIL PROTECTED] wrote: ?¿?¿¡¿¿?' no entiendo solo quiero de momento registrar el tráfico. igual me he equivocado de lista.. No, no te has equivocado de lista, pero si quieres registrar todo el trafico tienes 2 opciones, o ponerte un proxy transparente con squid sarg y demas. O poner una pc en modo promiscuo y comenzar a husmear todo lo que pasa en tu red. ATte: http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org - http://www.NoticiasTrujillo.com
Re: registrar el transito hacia internet
Saludos: De momento empezaré con Debian etch + squid + iptables + sarg, estoy bastantante verde en linux, llevo solo un año con él y basicamente con sistemas de escritorio, supongo que con san google y la lista no tendré problemas. SI asi es, no tendras problemas, todos el software detallado, puedes instalarlo con el sistema de paquetes de Debian. Añadiendo a lo anterior algo, tambien el punto de enmascaramiento, para que tus IPs privados de tu red puedan salir y viceversa. Por lo demas tienes buena documentacion y buenos manuales en internet con lo cual podras configurar tu conexion adecuadamente. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org
Re: registrar el transito hacia internet
Saludos: Como yo se que es mentira me interesaria saber como puedo mantener un registro de las conexiones de cada usuario/ip sobre todo http que es lo más usado. Ok. Simple. Es una Lista de Linux, osea que intuyo que debes tener un linux por alli ;) No necesitas una PC muy potente, una PII andaria bien o hasta una PI y de la memoria, dependiendo la cantidad de tus usuarios. Configurate un Proxy Transparente (squid) + iptables. Para que tus usuarios pasen por tu Proxy sin que se enteren. Instalate un sistema de Reporte, tipo (sarg) Con esto podras consultar que es lo que tus usuarios visitan en que momento y por cuanto tiempo, Ademas de poder relaciones direccion IP con Nombre de usuario. Define las politicas de la empresa (esto deberia de ir al inicio) X) Es decir, que deben de ver y en que momento. Es algo importante para que no haya malos entendidos despues. Muchas gracias No hay de que. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org
Re: puerto abierto
Saludos: hola usuarios debian! acabo de hacer un nmap a mi servidor y me encuentro con q tiene un puerto abierto , usuado por un servicio q desconozco: 12345/tcp open NetBus. alguno sabe ques es NetBus??? http://en.wikipedia.org/wiki/NetBus gracias desde ya! Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] retorno por visitas
Saludos: On 8/28/06, Prof. Roman Gelbort [EMAIL PROTECTED] wrote: Perdón por el off topic. ¿Alguien podría decirme en privado (aproximadamente) cuanto puede generar el pago por poner enlaces de google (creo que se llaman add sense) en una web que tiene un tráfico de 60.000 visitas mensuales? Eso depende de muchos criterios y parametros, NO solamente de las visitas. Hechale un vistaso al Tio DIRSON: http://google.dirson.com Hay mucha informacion al respecto sobre google y obviamente sobre adsense en los foros. ATte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org
Re: Ayuda Sevidor Debian Hackeado...
Saludos: On 8/23/06, Hanlle Nicolas [EMAIL PROTECTED] wrote: holaaa...que pena estar invadiendo la lista d edebian..con tantas preguntas simultanea..pero despues del hackeo de mi servidor dedicado con debian :( he quedado en un estado completo de caos...comienzan a surgir...mas problemas...y mas dudasahora resulta que no puedo borrar el archivo extraño .enyelkmOCULTAR.ko. nisiquiera como root. ni tengo idea aun...de como me hackearon...alguien puede Lo primero es conservar la calma. Lo segundo; si en tu pais hay legilacion al respecto; dar parte a las entidades pertinentes sobre este hecho. Tercero. Deberias de tener una metodologia de respuesta ante estos incidentes. Por ejemplo. Recoleccion de la evidencia volatil hasta llegar a lo menos volatil, con lo cual, deberias de realizar una imagen fiel de todo el sistema; respecto a los discos duros, copias exactas. En este punto, ya creo que la experiencia y tus conocimientos es lo que prima. Si es un server de produccion, no quiero ser aguafiestas, pero si alguien ha ingresado y hecho travesuras alli es mejor reinstalar todo de cero. Si puedes darte el tiempo de analizar los datos recolectas del sistema y ver lo que han hecho con el, y luego enmendar las fallas, pues hazlo; pero como te repito; eso te demandara tiempo de analisis. Se aprende mucho, claro ;) pero eso depende de tu situacion. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org
Re: FELIZ DEBIAN DAY PARA TODOS!
Saludos: Desde Perú tambien un Feliz Día Debian. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org
Re: Sobre servicios de Shell Gratuitas
Saludos: On 8/10/06, ciracusa [EMAIL PROTECTED] wrote: Hola Lista. Les hago una consulta, me gustaria montar un pequeño servidor de shell gratuitas para mis amigos. La pregunta es, alguien vió algún documento o material que hable al respecto, ya que si bien estoy leyendo algo me gustaría tener la mayor información posible? Yo me haria dos preguntas. Porque? y Para que?. Luego, quiero tengan control total o no? Lugeo definir las politicas, una vez que tengas las politicas claras, implementar los controles. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org
Re: Ejemplo ficticio, problema real
Saludos: On 8/11/06, Luis Labrado [EMAIL PROTECTED] wrote: Hola: -Se trata de comprobar diferencias entre los archivos, en ambos directorios los archivos tienen nombres identicos, pero su contenido puede diferir, (por ejemplo, fechas que no casan, importes, etc...) y eso es lo que hay que tratar de determinar. Podemos cambiar los archivos de sitio, renombrarlos y hacer cualquier operacion con ellos. Pues bien, una idea que se me ocurre es que le apliques un has md5; y comparar los hash de los archivos; si lo unico que te interesa es verificar si han sido modificados. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] SendMail - No recibe correo - registros MX en DNS
Saludos: On 7/6/06, Francisco Massó [EMAIL PROTECTED] wrote: Saludos! Tengo configurado squirrelmail con sendmail + ldap + spamassassin y hasta ahora no he tenido mayor inconveniente que este, el correo funciona bien para enviar a otra cuenta de correo (p.e.: hotmail, yahoo, etc, a cualquier sitio puedo enviar correo), el problema es que si responde a esos correos que envie, estas respuestas como que _no_ encuentran la ruta al servidor de correo sendmail. Creo que la respuesta al asunto esta en los registros MX del dns, de hecho, tenemos un DNS que para ubicacion.net, en dicho dns se declara la zona correspondiente. En el archivo de configuracion de la zona, tengo /// ...otras cosas.../ localidada.ubicacion.net. IN A 200.200.200.200 localidada.ubicacion.net. IN MX 0 200.200.200.200 localidadb.ubicacion.net.ve. IN A 200.200.200.201 localidadb.ubicacion.net.ve. IN MX 0 200.200.200.201 Ok, Es similar a esto, no crees? ejemplo.com. 86400 IN MX 10 mail6.ejemplo.com. en cada uno de los servers localidada o localidadb tengo configurados varios servicios entre ellos sendmail + squirrelmail+ ldap + spamassassin, desde ambos puedo enviar correo, pero los correos enviados hacia ellos no llega, es como si los otros servers de correo no conocieran la ruta. La pregunta es: que debo revisar¿? para que los servers de correo encuentre mi servidor de correo o me servidor de correo tenga un registro MX? Haber si entiendo, para cada localidad tienes un servidor de correo manejando todo ello. Lo que me animaria a repreguntar es primero, que es lo que pasa cuando realizas una coneccion via telner al puerto 25 de esos servidores? Que respuesta te da? revisa los logs del sendmail, o te da un time out?. Sera el spamassassin? O es que no resuelve?. Primero descarta cada uno de los casos. Asi iras descartando todo ello. De antemano Muchas Gracias! p.d.: despues si lo desean publico un breve howto de como configurar todo esto para aquellos a quienes le pueda ser util. Una cosa mas, el sendmail esta bien configurado con el respectivos host virtuales, para que pueda manejar el correo de dichos dominios? Revisa de todas maneras todo lo anterior y nos dices. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org
Re: knoppix 5.0 - zyxel prestige 600 series
Saludos: On 7/6/06, Sosa Araujo Adrián G. [EMAIL PROTECTED] wrote: Hola gente: Me podrían dar una mano a ver por donde le encaro para configurar un zyxel prestige 600 series ( conexión DSL ) usando la distro knoppix 5.0 ? ??? Voy a intuir que lo que te refieres es a utilizar el live-cd de knoppix, para configurar el router que tienes, via puerto 23 u 80. Si es asi, pues no tienes mas que utilizar un programa tipo telnet, y para el caso del 80, pues un navegador. Si te refieres a los parametros y demas de router, pues eso ya esta en el manual del router, pero en la web debe haber mucha info de tu router, ademas que cada router tiene una pequeña ayudita de cada comando a utilizar. Me conformo con links y temas clave. Busqué en el site oficial de zyxel, pero …. nada de linux. Haber si nos dices como te fue. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org
Re: PHP-NUKE crakeado
Saludos: Para evitar que te crakeen una web es necesario algo más que tener actualizado el php-nuke. Creo que no se puede evitar, se puede minimizar el riesgo de que esto ocurra. * ¿tienes actualizado el sistema?.Consejo: #aptitude update, y luego #aptitude upgrade O podrias ser #apt-get update #apt-get upgrade * ¿tienes un cortafuegos en tu servidor? Consejo: instala uno. Ejemplo:#aptitude install firehol. Luego vas a #etc/firehol.conf y permites que actue de servidor sólo a los servicios que necesites: http, etc... El cortafuego no impedira que se conecten al puerto 80 que es donde cabe la posibilidad esten directamente crackeando su PHP Nuke a nivel de aplicacion. Aunque son solo especulaciones de momento. * ¿has parado los servicios innecesarios? * ¿cómo te conectas a tu servidor? espero que vía ssh o similar, y sin permitir acceso al root. Consejo: impide el acceso al root. Te conectarás vía ssh con un usuario normal y luego haces su - para acceder como root. Totalmente de acuerdo. Pero intuyo que antes de instalar el servidor, te las leido al menos los manuales de Debian que hay en español. * ¿has identificado cómo han entrado? ¿desde qué ips? ¿a través de qué método? Revisa tus logs, incluso puedes probar con utilidades de seguridad, como nmap, que te ayudarán a identificar los agujeros de tu sistema. nmap no identifica los agujeros del sistema, tan solo es el mejor escanner de puertos. Si quieres identificar agujeros puedes utilizar Nessus. * ¿te estás identificando a través de ssl o tls?. Si no lo haces tus contraseñas viajan en texto plano y cualquiera con un sniffer las puede leer. Prepara un servidor seguro y autentifícate a través de él. Es muy fácil hacerlo en debian. En esdebian.com Identificando contra que? (http://www.esdebian.org/forum/viewtopic.php?showtopic=62596lastpost=true) puse hace tiempo un post sobre cómo hacerlo. En internet hay muchísima información sobre todos los puntos anteriores. * ¿Te has asegurado de que no te falla la ingeniería social? ¿quienes saben las contraseñas de administrador? ¿quienes tienen privilegios elevados? Cierto, creo que solo restaria que revises los logs, y tratar de tener mas datos para obtener mayor informacion. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org
Re: PHP-NUKE crakeado
Saludos: On 7/6/06, coin [EMAIL PROTECTED] wrote: Saludos. Tengo un servidor que corre un gestor de contenido el PHP-NUKE en la versión 7.8 Resulta que me lo han crackeado como 100 veces y ya me harte. No es un poco exagerado? He cambiado las constraseñas de admin, he reinstalado completito el php-nuke y aun asi me lo siguen fregando. Cambiar la contraseña no sirve de mucho, como ya te has podido percatar. Lo curioso es que no le han tocado un pelo a mysql ni a apache o al servidor en si. Generalmente los defacers utilizan tecnicas automtizadas que realizar el trabajo limpio, reduciendolo a lo mas simple que es modificar el index A pesar de saber quien entra no he podido determinar de donde proviene el ataque, aunque según los mensajes que dejan estos hijos de su madres, tal parece que son varios o al menos son distintos los que crackean y eso lo hace más dificil. Sabes quien entra? pero no puedes determinar de donde?. Es obvio que revisas tus Logs, tanto de apache, mysql, entre otros. Agradecería cualquier comentario o sugerencia para evitar que pase esto. En las listas de PHP-NUKE solo indican que pues hay tener la versión actualizada y el bug corregido, pero ni modo que todos los servidores que esten corriendo esta versión tal cual la tengo yo, esten siendo crackeados en este moment. Pues el comentario que tal vez ya tengas en mente sea migrar a otra solucion mas robusta, como drupal, joomla, u similares. algo mas que puedes hacer el colocar un modulo de apache que controla el ingreso de caracteres extraños, de cierta manera te minimizara ese tipo de ataques, dado que algunos caracteres extrañs no juegan alli. Es mejor utilizar software que tengo minimos reportes de seguridad, asi podemos minimizar estos impases. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org
Re: PHP-NUKE crakeado
Saludos: On 7/6/06, coin [EMAIL PROTECTED] wrote: Perdona mi ignorancia, pero PHP-NUKE no es de los más seguros?. Habrá forma de saber donde esta el bug? De donde sacaste la idea de que PHP Nuke es uno de los mas seguros?. Si claro, que hay manera de averiguar, y a eso se le denomina informatica forense o computo forense, cuyo objetivo es encontrar evidencia de manera electronica para demostrar un delito o todo lo contrario que no hubo delito. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org
Re: Control de antispam
Saludos: On 6/30/06, Kader Portales Ferrer [EMAIL PROTECTED] wrote: Hola lista, estoy configurando en el servidor de correos el amavis-new+spamassassin+clamav para los spam y virus, haciendo unas Buena combinacion. pruebas veo estos errores en los log: Jun 30 14:11:21 mail amavis[10557]: (10557-09) Clam Antivirus-clamd FAILED - unknown status: /var/ lib/amavis/amavis-20060630T123345-10557/parts: Access denied. ERROR\n Jun 30 14:11:21 mail amavis[10557]: (10557-09) WARN: all primary virus scanners failed, considerin g backups alguna pista para este problema. SI, las pistas estan en el mismo mensaje de error, segun ello podemos inferir que hay problemas con los permisos de los directorios. Asegurate de haber seguido al pie de la letra la configuracion del amavis+clamav. Tambien puedes hacer uso de clamav-milter, asi obvias al amavis ;) Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] Salir de listas negras de spam
Saludos: On 6/28/06, [EMAIL PROTECTED] [EMAIL PROTECTED] wrote: Hola Disculpen el OT pero no sé a donde más acudir Me podrían decir donde puedo encontrar servidores de listas negras de spam para ver si mi IP esta en ellas, a título personal me parece que sí :/. ¿que se puede hacer en estos casos? Bueno se que sonara reiterativo, pero en google con la key RBL, podras encontrar links en los cuales podras consultar bases de datos de Listas Negras. Gracias de anticipado por las sugerencias Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org
Re: [OT]¿Como evitar suplantacion de mail por spamer?
Saludos: On 6/27/06, Constructora Pando [EMAIL PROTECTED] wrote: Perdon el Off Topic, pero este debe ser un problema que a mas de uno le debe estar pasando con las cuentas gratis de correo, conmo son Gmail.com o wagab.com... Ya varias veces me han llegado correos spam donde ponen mi correo como nombre del remitente: Si, es un problema comun a los que administramos servidores de correo electronico. Como protegernos de eso? Pues debido a la concepcion inseguro del Protocolo SMTP, solo se encuentran paliativos o fixes para pelear con las lacras que se aprovechan de sus debilidades. Mas alla de los antispam, antirelay, de los antivirus, de las RBLs, de ligar un IP a un nombre de dominio, etc etc y mas etcetera que pueda aparecer, es simplemente educar al usuario final. AHora mucho se menciona, y lo leo en mas partes de internet, que si se pide una licencia para conducir un auto, tambien se debe de tener una licencia para manejar una computadora. Regresando al tema. Si tienes problema con ella, comunicate con los propietarios de las IPs desde las cuales te estan suplantando, y aquellos que reciban correo con tu direccion de correo electronico, facilmente demuestrales que no fuiste tu quien las escribio, revisando y analizando las cabeceras. REitero la educacion del usuario final, es algo primordial y una fortaleza que debe ser explotada. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: dudas con spanassasain
Saludos: On 6/14/06, Luis Atala [EMAIL PROTECTED] wrote: amigos existe una forma de configurar el spanassasain que borre el spam automaticamente y no lo deposite en la bandeja de entrada de los usuarios ? yo uso postfix y spanassasain Bueno yo utilizo spamassassin con sendmail X) y procmail, con procmail le indico que todo aquello que spamassassin catalogue como spam, lo mueva a una archivo determinado, o siendo mas radical /dev/null. Pero es recomendado que para iniciar primero se haga a un archivo. gracias de antemano Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: No me anda el mailer de john the ripper
Saludos: On 5/16/06, Alejandro [EMAIL PROTECTED] wrote: Hola, luego de leer en un foro de linux el uso del programa john para crackear passwords debiles y luego mandar el aviso a los usuarios para que la cambien, es que hice esto en mi Debian: Que puede estar pasando que no le lelgan los mails al usuario en cuestion ?? Como puedo corroborar que el sistema envia mails de forma correcta dado que yo uso Exim4 como MTA local ??? Revisa tu archivo de logs de Exim y verifica ese detalle. Gracias Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org
Re: problemas de usuarios
Saludos: On 5/17/06, debian-user-spanish@lists.debian.org debian-user-spanish@lists.debian.org wrote: Tengo un servidor de correo que usa sendmail, resulta que anoche envie un mensaje a uno de los usuaros y aparentemete(no reboto este lo recibio, pero desde esta mañana , todos los correos enviados a ese usuario rebotan, y nadie ha tovado el servidor, el mensaje que aprece el host unknown pero los demas usuarios no tienen problema con el correo. Ya lo borre y lo volvi a crear, pero el problema persiste, que podra ser? Que dice al archivo /var/log/mail.log ? Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org
Re: OT:Cantidad de Servidores ( MAquinas ) usando Linux ( Debian )
Saludos: On 5/12/06, [EMAIL PROTECTED] [EMAIL PROTECTED] wrote: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Saludos, por curiosadad de mi jefe, y para respaldar el desarrollo sobre linux, me consulto sobre estadisticas de cantidad de servidores corriendo linux ( ya sea por paises o uno general ). He buscado en google y ya tengo counter. Me gustaria saber si conocen alguno otro ? Mas si la comparativa es contra otros SO Puedes tambien consultar las estadisticas de www.netcraft.com Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org
Re: Las direcciones de correo tienen la extension @midominio.com
Saludos: Tengo una cuenta [EMAIL PROTECTED] (El servidor es sendmail en una PC con Red Hat). cuando envio algun correo (fuera o dentro de la organizacion) los destinatarios reciben el correo, pero con la direccion [EMAIL PROTECTED] Has revisado que tu hostname este correctamente configurado? QUe tus dominios virtuales en sendmail tambien, y obviamente que el nombre del servidor por defecto del correo no sea midominio.com. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org
Re: Las direcciones de correo tienen la extension @midominio.com
Saludos: On 5/9/06, Henry Flores [EMAIL PROTECTED] wrote: Porque, en los email enviados, se visualiza la extension @midominio.com? En lugar de la extension de la compania. Saludos y gracias. Podrias ser mas explicito en tu pregunta? Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org
Re: [Fwd: Re: Apache2 problemas con virtualhost]
Saludos: En cada uno de los dominios vistuales coloca tu VirtualHost TU_IP:PUERTO_DEL_APACHE Obviamente alli te indica que colocar, asi tambien la directiva ServerName DOMINIO_VIRTUAL Fijate tambien si tu log de error en apache te da alguna informacion. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org
Re: Recuperacion de Particion en una USB
Saludos: HOLA AMIGOS: Hola, espero que alguien me pueda ayudar por que he tenido un percanse con una PenDrive, lo que pasa es que uso Debian y Ubuntu, y ya los dos sistemas montaban la USB sin problemas, pero pues apenas hace unos dias pusimos mi USB en un windows y la sacaron sin detener el dispositivo y tomala ahora no tengo nada en la USB me reconoce el dispositivo el sistema, pero el tipo de archivos no me los reconoce y pues tomala que ahora que hago, tengo informacion importante y pues espero que no se aya perdido. Una razon mas para no usar Windows jejejejeje. AL cesar lo que es del cesar, esa no fue culpa de windows. Pero la pregunta es como puedo analizar la USB o de que manera puedo rescatar la informacion ¡?. Espero que alguien me peuda ayudar gracias :-) Trata de utilizar algun live cd orientado a seguridad o forensic aunque casi todos traen un dd. con este comando realiza una imagen exacta de tu dispositivo USB. Luego con un simple comando strings trata de ver si hay cadenas que puedas reconocer, asi tambien puedes utilizar autopsy o FTK. Que son herramientas mas elaboradas. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org - http://www.RareGaZz.net
Re: Problema de seguridad: intruso
Saludos: Tengo un problema bastante serio, alguien se ha metido en mi Debian con el firewall y el snort bien configurados. Pues ya has comprobado que seguridad firewall + IDS + etc. El firewall tiene todos los puertos cerrados para todas las IPs, salvo para otro ordenador de mi red que tiene los puertos samba y web abiertos. Además la contraseña de root tiene 20 caracteres y la de usuario 12 Me gustaría saber como puedo obtener información de la intrusión. Sospecho que se ha colado a través del otro ordenador que usa windows xp home Dónde tengo que mirar?? y en windows?? Lo mas recomandable seria que hagas una imagen de ambos discos duros de los sitemas comprometidos, eso de obtener evidencia de sistemas en caliente no es recomendable. Todo analisis sigue una metodologia, como lo he dicho en un email anterior, debes obtener evidencia desde la mas volatil a la que no lo es. haz un volcado de la memoria RAM, revisa las conecciones de red actuales, una imagen de los discos duros. Vas a tener que revisar los logs de ambos sistemas, en debian, ya sabes donde guardan los registros, en windows, igualmente, revisa que tienes activada la opcion de logueo si no es asi, hay mas complicaciones. revisa la integridad de los archivos, es por ello que no se recomienda una revision en caliente del sistema, dado que si te han instaldo algun troyano o similar, la informacion que te devuelvan los comandos puede no ser veraz. SI tiens 2 vectores de ataques probables, entonces por alli deberias empezar tu analisis, sin descartas mas posibles maneras en que te han afectado al servidor. Yo te recomendaria seguir una simple metodologia de analisis forense y como la metodologia lo indica, no utilizar los mismos sistemas para el analisis, sino hacer el analisis en las copias. Y la pregunta del millon es. como sabes que se han metido a tu debian?. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org - http://www.RareGaZz.net
Re: Problema de seguridad: intruso
Saludos: me mandaron un correo con mi .bashrc (era el mio porque lo tengo bastante modificado. Nunca se lo he mandado a nadie) desde mi cuenta de usuario. Tengo las fuentes de varios proyectos y mi correo aparece en todos ellos. Que permiso tiene dicho archivo? Que permisos tiene tu cuenta de usuario? Revisa las cabeceras de ese correo ;) No es la primera vez que se mete alguien. La anterior me llegaron a montar un servidor web con php y todo... Tengo ese ordenador como un servidor de ficheros dentro de la red interna. Tiene acceso a internet para actualizarse, mandar correos, etc Bueno, se ve que la seguridad flaquea. Empieza con lo mas evidente, con las cuentas de usuario y rvisando los logs, pasale un anti rootkit, comprueba la integridad de los archivos y del sistema. Y pasate un buen tiempo analizando los logs. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org - http://www.NoticiasTrujillo.com http://www.RareGaZz.net
Re: Debug en debian...
Saludos: Primero.. gracias por responder. Lei tu articulo y me pareció bastante bueno. Lamentablemente gdb no llena mis espectativas comparándolo con debug por que primero es necesario escribir el programa, luego compilarlo, y después utilizar gdp para ejecutarlo paso a paso. Debug Bueno lo que escribi sobre GDB no es todo lo que es capaz de hacer GDB, en todo caso te remito al manula de GDB donde puede encontrar todas las opciones disponibles, y si lo has revisado, no has encontrado lo que deseabas, sera motivo para que pueda volver a darle una revisada al GDB. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org - http://www.NoticiasTrujillo.com http://www.RareGaZz.net
Re: Debug en debian...
Saludos: Estoy tomando un ramo de microprocesadores y el profesor utiliza un programita que viene en w98 que se llama debug para ir ensamblando instrucciones directamente en la memoria y con la posibilidad de cambiar registros y ver el stack. Existe algo similar en debian??? Si, asi es pueden hacerlo con el gdb, yo escribi hace algun tiempo un articulo para la ezine electronica RareGaZz, pero tambien puedes obtenerla de mi pagina personal, cuya direccion esta al final del presente correo, tal vez te puede ser de utilidad. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org - http://www.RareGaZz.net