mybox

Brasil, a piada continua

2011-04-22T23:44:00.000-03:00

- Tiririca!
- Realengo killing spreeeeeed!
- Ronaldinho Gaúcho recebendo honraria da ABL!

É 2012, chega logo!

Teste de Postagem

2011-04-22T23:41:00.001-03:00

Isto é um teste de postagem.

Coming soon!

2009-06-14T23:12:00.001-03:00

Coming soon!

FUSER, simples e útil.

2008-05-02T17:07:00.002-03:00

Está vendo aquela porta estranha aberta ? Quer saber qual processo está usando a porta? Simples:

$fuser -v 31337/tcp

USER PID ACCESS COMMAND
31337/tcp: root 2923 F.... e1ee7kit

Tome suas providências.

A frase do ano!!

2008-04-15T09:17:00.002-03:00

Retirado de http://www.kurtkraut.net/blog/:

...eu diria que o GNU Linux seria insalubre se não fossem os sistemas de gerenciamento de pacotes. Tais sistemas permitem a mágica do único comando ou com um punhado de cliques, o Apache seja instalado já previamente compilado e pré-configurado para o uso mais comum.

Gostei desse blog. Recomendo.

Falha nossa: ACK-FLOOD

2008-03-18T17:03:00.002-03:00

Em resposta ao meu post "A verdadeira proteçāo contra SYN-FLOOD", onde, no final do post, eu questinava sobre uma possível proteçāo contra ACK-FLOOD, recebi um comentário do Prof. Elgio Schlemer, da Universidade Luterana do Brasil - Ulbra, e autor do artigo "Iptables protege contra SYN FLOOD?" no Portal Viva o Linux:

http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=7070

O artigo é de 28/Agosto de 2007, 12 dias ANTES desta dica. Até então ninguém mais questionava a proteção de firewall.

E Beto: acho que leste este artigo e não entendeste tudo. Ack flood NÃO COLARIA porque simplesmente seriam descartados por não se relacionar com o SYN inicial. No artigo se fala em ACK/flood de forma didática para EXPLICAR syn cookie.

Ack Flood não tem como. Só geraria trafego. Até um iptables se livra disso pelo "stablished".

Acho que ficou muito bem esclarecido.

That's all folks!

Mapeando uma rede com o nmap

2008-03-15T15:01:00.006-03:00

A necessidade de acompanhamento/conhecimento de uma rede de computadores por seu administrador dispensa maiores comentários e explicaçōes.
Existem diversas ferramentas e utilitários que oferecem inúmeras maneiras de se acompanhar uma rede e conhecer seus clientes.
Apresento aqui uma maneira muito simples de se conhecer os clientes conectados em uma rede através do nmap: (...)

nmap -sP ip/máscara

E o resultado seria mais ou menos assim:

mydeck:~# nmap -sP 192.168.15.0/24

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2008-03-15 12:13 BRT
Host 192.168.15.1 appears to be up.
MAC Address: 00:19:F4:D4:35:7B (Unknown)
Host 192.168.15.103 appears to be up.
MAC Address: 00:0B:D6:F8:19:39 (Elitegroup Computer System Co. (ECS))
Nmap finished: 256 IP addresses (2 hosts up) scanned in 35.145 seconds

mydeck:~#

(...)Explicando:

A explicaçāo sobre essa flag é muito bem feita na próprio manual do nmap:

-sP Ping Scan : Serve para verificar quais hosts estão online. A idéia
básica é enviar um echo request para a maquina, ou maquinas, que você deseja
saber se estão online. Porém alguns sites costumas bloquear os echo request,
para isso isso o Nmap pode enviar também um pacote ACK se então recebermos um RST
significa que o host esta "de pé".

A range testada foi a 192.168.15.0-255.255.255.0, e descobrimos as máquinas 'up' na rede e seus respectivos MAC Address. Isso pode ser muito útil também para identificar algum intruso utilizando seu link de internet através de uma conexāo wireless.

Outra ferramenta muito interessante na hora de mapear uma rede sem fio é o p0f, mas isso é assunto para um outro post qualquer.

;-)

Abraços!

Debian SID e Som do Toshiba A100 - ***

2008-02-11T17:11:00.002-03:00

Estive enfrentando problemas em relaçāo ao volume de som no Toshiba A100 com Debian SID, chip de som Intel Corporation 82801G (ICH7 Family) High Definition Audio Controller.
Resolvi alterando o arquivo /etc/modprobe.d/alsa-base. É necessário adicionar a seguinte linha no final do arquivo:

options snd-hda-intel model=auto

Reinicie e aproveite seu SRS TruSurround XT. ;-))

Intel PRO/Wireless 3945ABG no Debian Etch

2008-02-10T22:52:00.000-03:00

Eis os simples passos que eu utilizo para ativar a placa Intel PRO/Wireless 3945ABG em meu Toshiba Satellite A100-139.

Antes de tudo, precisamos adicionar as árvores contrib e non-free na sua lista de repositórios do apt.

Depois disso, é preciso instalar os seguintes pacotes necessários para a contruçāo do módulo ipw3945 de acordo com seu kernel:
# apt-get install module-assistant ipw3945-source ipw3945d firmware-ipw3945

Após a instalaçāo, o daemon tentará levantar mas nāo terá exito - pois o módulo da placa ainda nāo estará pronto.
Para isso, precisamos preparar a compilaçāo e compilar o driver de acordo com o seu kernel. Entāo execute:
# m-a prepare
# m-a a-i ipw3945

# modprobe ipw3945

Verifique se sua placa subiu corretamente com o comando:
# ifconfig

Verificando as redes ao seu redor:
# iwlist scan

Bem, no Debian é isso.

Até.

Nerd, nerd, nerd...

2008-01-27T22:38:00.000-03:00

Cansado de ficar boiando em conversas de NERD? Então não boie mais...:

AFAIK - As Far As I Know - Até onde eu sei.
AFK - Away From Keyboard - Longe do teclado (longe do micro)
AKA - Also Known As - Também conhecido como
ASAP - As Soon As Possible - Assim que possível (o mais rápido possível)
BRB - Be Right Back - Já volto
BTW - By The Way - A propósito
FAQ - Frequently Asked Question - Perguntas feitas com frequência
FYI - For Your Information - Para sua informação
IMHO - In My Humble Opinion - Na minha humilde opinião
IMNSHO - In My Not So Humble Opinion - Na minha não tão humilde opinião
IMO - In My Opinion - Na minha opinião
IRL - In Real Life - Na vida real
JFYI - Just For Your Information - Apenas para sua informação
LMAO - Laughing My Arse Off - Rindo pra caramba.
LOL - Laugh(ing) Out Loud - Rindo bem alto
ROFL - Rolling On Floor Laughing - Rolando no chão de tanto rir
ROTF - Rolling On The Floor - Rolando no chão
ROTFL - Rolling On The Floor Laughing - Rolando no chão de tanto rir
ROTFLMAO - Rolling On The Floor Laughing My Arse Off - Rolando no chão rindo pra caramba (ou rindo até...)
ROTFLOL - Rolled on the Floor Laughing Out Loud - Rolando no chão rindo muito alto
RTFM - Read The F***ing Manual (or Message) - Leia a porcaria do Manual / Mensagem (porcaria foi boa hein?)
RTM - Read The Manual (or Message) - Leia o Manual / Mensagem
WTH - What The Heck (Hell) - Quê isso!? (outra tradução suave)
WYSIWYG - What you see is what you get - O que você está vendo é o que você terá

Gerando PDF de um arquivo de manual

2008-01-08T20:19:00.000-03:00

Quer criar um PDF de um manual? Seus problemas acabaram!!!!

#man -T nmap | ps2pdf - > man-nmap.pdf

E para gerar um ps:
#man -T nmap > man-nmap.ps

Muito legal, né!?

Xau.

mplayer: Algumas opções de linha de comando

2007-12-25T21:27:00.000-03:00

Enfrentei alguns problemas quando comecei a utilizar o mplayer (não estou falando do GMplayer, e sim do mplayer mesmo) para assistir meus vídeos que vinham com as legendas em arquivos separados, especialmente com o tamanho das legendas que nunca ficavam do jeito que eu queria. Isso me forçou a procurar saber mais sobre as opções de linha de comando desse excelente aplicativo, e com isso aprendi que o mplayer tem diversas funcionalidades e não se resume exclusivamente à exibir filmes e mídias.

Então aí vão algumas linhas que eu costumo usar:

Executar um filme exibindo uma legenda externa com fonte em escala 3 e utilizando OpenGL como driver de saída de vídeo:
mplayer filme.avi -sub legenda.srt -subfont-text-scala 3 -vo gl

Executar título 1 de um DVD:
mplayer dvd://1

Executar um DVD de um diretório com os arquivos .VOB:
mplayer dvd://1 -dvd-device /caminho/diretorio/vobs

Streaming HTTP:
mplayer http://url_desejada

Exibindo um filme e convertendo a legenda de .srt para .mpsub (a legenda destino ficará no diretório corrente):
mplayer filme.avi -sub legenda.srt -dumpmpsub

Lembrando que o bom e velho MAN pode ensinar muito mais do que essas simples linhas resumidas tentam apresentar.

Por hoje é só.
Ah, e Feliz Natal.

Estimulando a zuera!

2007-11-23T17:37:00.000-03:00

Sem maiores explicações por hoje.

Conecte por SSH na máquina ao lado e:

export DISPLAY=:0.0

Agora, tudo o que você abrir no terminal aparecerá na tela do indivíduo! ;-)
É divertido ver a cara das pessoas qdo alguma janela do firefox abre sozinha no pc, eheh...especialmente se vc estiver numa sala de aula, por exemplo.

Xauxau

Comando 'Watch'

2007-11-17T10:10:00.000-03:00

O comando 'watch' é muito útil por proporcionar a execução de um programa (*) periodicamente, no intervalo de tempo que você definir.

Por exemplo, eu quero chegar ao resultado de algo parecido com um 'tail -f', mas eu invés de mostrar a saída em tempo real de um arquivo ou log, vou mostrar a saída do comando 'netstat -tupan' em intervalos de atualização de 1s:

$watch --interval=1 netstat -tupan

Teste e comprove!

That's all folks.

Alterando o Layout do teclado no Debian, facim, facim...

2007-11-08T10:15:00.004-03:00

O comando 'loaddkeys' é uma magavilha. Permite carregar layouts de teclado (ou mapas, como queiram) na maior facilidade.
Os mapas ficam em /usr/share/keymaps/i386 , e o uso do comando é muito simples:

loadkeys /usr/share/keymaps/i386/qwerty/us-intl.iso15.kmap.gz

Pronto. Teclado reconfigurado com o layout ou mapa us-intl, pc105!!

Xau xau.

Resolvendo o problema do "Comando da morte"

2007-09-26T02:32:00.000-03:00

Sem delongas, o problema é o comando abaixo:

:(){ :|:& };:

...quando executado em um terminal (como qualquer usuário do sistema) é capaz de provocar terror! Essa desgraça ae fica em loop e a solução, até então, é RESET nele!

Como de costume, testado num Debian Etch, blah blah blah...

Felizmente, quase todo problema tem solução. E esse ae se resolve assim:

Adicione, ou descomente, a seguinte linha do /etc/pam.d/login

session required pam_limits.so

E também, adicione a seguinte linha no final do arquivo /etc/security/limits.conf:

hard nproc 100

Prontinho! Agora execute o maldito comando novamente, só para ter certeza.

That's all foooooolks!

Postfix + Postgrey

2007-09-19T01:08:00.000-03:00

A técnica de Greylisting é muito interessante no ponto de vista de bloqueio de SPAM. Diferentemente do Spamassassin, que faz análise do conteúdo do email, o Postgrey evita os SPAMs controlando, através de uma tabela, quais máquinas estão enviando emails - e segurando-as em fila por um determinado período de tempo. A desvantagem que eu, particularmente, vejo no uso de Greylisting é o pequeno delay gerado na entrega das mensagens....o que é perfeitamente aceitável. A grande vantagem é que o email pode ser rejeitado antes mesmo de chegar ao Spamassasin, ecomizando processamento.

O ambiente utilizado é o costumeiro Debian Etch, blah blah blah...
É suposto que você já tenha um ambiente Postfix perfeitamente funcional.

A instalação do Postgrey e sua integração com o Postfix é extremamente simples.

Instalando:

aptitude install postgrey

Para integrar ao Postfix, basta adicionar à classe de restrição smtpd_recipient_restrictions a linha seguinte linha:

check_policy_service inet:127.0.0.1:60000

Deve ficar mais ou menos assim:

smtpd_recipient_restrictions = permit_sasl_authenticated,check_policy_service inet:127.0.0.1:60000, (suas restrições, ... )reject

Algumas dicas:
- Para diminuir o tempo de delay é só alterar o arquivo /etc/default/postgrey:
De: POSTGREY_OPTS="--inet=127.0.0.1:60000"
Para: POSTGREY_OPTS="--inet=127.0.0.1:60000 --delay=90"

- Para Listar TODAS as msgs na fila de espera:
cat /var/log/mail.info | postgreyreport

- Para CONTAR o numero de msgs na fila de espera:
cat /var/log/mail.info | postgreyreport | wc -l

- Para Verificar as msgs para determinado email:
cat /var/log/mail.info | postgreyreport | grep email@domain.com.br

É isso. E Funciona!!

A verdadeira proteção contra SYN-FLOOD

2007-09-10T16:19:00.000-03:00

Vejo muitos documentos por aí ensinando a se proteger de SYN-FLOOD assim:

iptables -A FORWARD -p tcp --syn -m limit --limit 10/s -j ACCEPT
iptables -A FORWARD -p tcp --syn -j DROP

Mentiraaaaa!!! O 11º pacote do segundo (10/s) pode ser legítimo!
Tá, e daí? E daí que você fez o trabalho do atacante e está aplicando um D-DOS-Y (Do-a-Denial-Of-Service-Yourself, eheheh...essa definição é minha).

Então qual é maneira betopena-like de fazer a coisa certa??
Eu acho que é assim:

echo 1 > /proc/sys/net/ipv4/tcp_syncookies

Tá, blza! Mas e se ao invés de SYN-FLOOD nós tivermos um ACK-FLOOD??
Hmm. Boa pergunta. Ainda não havia pensado nisso.

That's all folks!!

Crie sua própria RBL

2007-09-09T23:29:00.000-03:00

Se você não sabe o que é, e nem como funciona um servidor de email, nem leia essa dica. Antes disso, pesquise sobre Postfix e técnicas de bloqueio de SPAM, especialmente RBL (Real-time DNS Black List). Ah, e claro, BIND.

Utilizando Debian + Postfix (etc...) + BIND9.

Edite o arquivo de configuração do Bind e adicione uma zona, de acordo com suas necessidades, assim:

zone "rbl.dominio.com.br" {
type master;
file "/etc/bind/db.rbl";
}

...agora crie o arquivo db da zona criada. (use o db.local como modelo, e faça os ajustes necessários). Seu db.rbl deve se parecer com isso:

32.4.0.10 IN A 127.0.0.1
221.5.0.10 IN A 127.0.0.1
101.1.16.172 IN A 127.0.0.1
1.3.168.192 IN A 127.0.0.1

Os ips bloqueados, no exemplo acima, são 10.0.4.32, 10.0.5.221, 172.16.1.101 e 192.168.3.1.

Agora é só inserir a sua blacklist numa diretiva de restrição do Postfix (smtpd_client_restrictions, por exemplo), mais ou menos assim:

smtpd_client_restrictions = reject_rbl_client rbl.dominio.com.br

A alimentação da blacklist é por sua conta, e pode ser automatizada por um script que lê os logs do Postfix.

That's all folks!

Aumentando o limite de tamanho dos anexos enviados pelo SquirrelMail

2007-09-08T12:06:00.000-03:00

Versão dos softwares envolvidos (dpkg --list pacote):
- Debian Etch Kernel 2.6.18
- Postfix 2.3.8-2+b1
- Apache 2.2.3-4
- PHP 4
- Squirrelmail 1.4.9a-2

O tamanho dos anexos enviados pelo Squirrelmail é, por padrão, 2M. Precisei alterar esse limite para 10M. Fiz isso alterando os seguintes arquivos:

/etc/squirrelmail/config.php:

De:
$abook_file_line_length = 2048;

Para:
$abook_file_line_length = 10240;

/etc/php4/apache2/php.ini:

memory_limit = 10M ;Quantidade máxima de memória que o PHP pode consumir (8MB).
post_max_size = 10M ;Tamanho máximo de dados que o POST do PHP aceitará.
upload_max_filesize = 10M ;Tamanho máximo permitido para tranferência de arquivos.

E deu certo!!

Ctrl+Alt+Del: Perigo à vista!

2007-08-06T20:26:00.000-03:00

Se você tem um estagiário igual ao meu, que sempre pressiona Ctrl+Alt+Del 'só para ver o que acontece' - SEUS PROBLEMAS ACABARAM:

Edite o arquivo /etc/inittab e COMENTE a seguinte linha:

#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

Pronto. Solução anti-estagiário-que-pressiona-Ctrl+Alt+Del instalada com sucesso!

(Feito num Debian Etch)

Variável TMOUT - Logout automático

2007-07-11T17:52:00.000-03:00

Esqueceu o terminal do servidor aberto logado como root?? Seus problemas acabaram!! Utilize a variável TMOUT!

Essa variável recebe valores numéricos que serão considerados como 'segundos'. Isso faz com que o usuário seja expurgado (eheh) baseando-se no tempo de inatividade do mesmo, ou seja, seu estagiário não vai mais dar a-que-la sorte e poder mexer no seu servidor sem supervisão...

Aqui no meu debian eu adicionei essa variável no final do arquivo .bashrc do usuário root:

TMOUT=120

Depois de 120 segundos de inatividade, babau - logout!

That's all folks!

update-rc.d - Manipulando scripts de inicialização

2007-06-11T00:44:00.001-03:00

O uptade-rc.d é uma ferramenta que nos permite configurar quais scripts serão executados na inicialização (ou no shutdown) e em que runlevel isso se dará.
Utilização:
update-rc.d start NN runlevel . stop NN runlevel .
Onde:
= é o nome do arquivo contido em /etc/init.d
start/stop NN = é a ordem em que o script será executado no start/stop (man init para mais informações)
runlevel = é o runlevel que o script será executado

Exemplo 1:
update-rc.d firewall start 20 2 3 4 5 . stop 20 0 1 6 .
Faz com que o script /etc/init.d/firewall seja executado (S20firewall) nos runlevels 2,3,4 e 5, e (K20firewall) nos runlevels 0,1 e 6

ou

Exemplo 2:
update-rc.d firewall defaults
Faz o mesmo que o comando anterior, especificando automaticamente a inicialização (S20firewall) nos runlevels 2,3,4 e 5 e kill (K20firewall) nos runlevels 0,1 e 6.

Removendo um script:
update-rc.d -f firewall remove
A flag -f força a remoção do script /etc/init.d/firewall de todos os runlevels (/etc/rcx.d/).

Recomendo a leitura do manual do init (man init)

That's all folks!

squid.conf sem comentários, literalmente!

2007-06-06T17:24:00.000-03:00

Puxa vida, cansei de passear pelo exteeeeeeenso arquivo de configuração do Squid. Concordo que a leitura daquele montão de comentários é muito proveitosa, mas cansa. Sendo assim:

$egrep -v "^#|^$" /etc/squid/squid.conf.sample > /etc/squid/squid.conf

Eheheh.
Faz um teste ae pra ver como fica bonitinho.

Xauxau.

Iptables - Módulo String

2007-06-04T15:21:00.000-03:00

O módulo string do iptables permite a inspeção de conteúdo de um pacote e aplicar uma ação baseada no que for encontrado dentro do pacote.
Um exemplo de restrição direta é o bloqueio do envio de qualquer informação conﬁdencial sigilosa para fora da rede interna (número de contas, tudo que conferir com CPF, RG, endereços de e-mail, memorandos, etc). De qualquer forma, faça uma análise do tráfego de sua rede antes de querer implementar qualquer solução baseada neste método sob o risco de afetar tráfego legítimo.

Meus testes foram feitos utilizando um Debian com kernel 2.6.18, e iptables v.1.3.6.

Alguns exemplos:

# bloqueia saída de informações confidenciais (exemplo hipotético)
iptables -A OUTPUT -m string --string "conta" -j DROP

# não permite a entrada de executáveis (string .exe)
iptables -A INPUT -m string --string ! ".exe" -j DROP

# bloqueia tentativas de acesso ao programa Kazaa
iptables -A INPUT -m string --string "X-Kazaa" -j DROP

O módulo string permite uma interação maior com o conteúdo dos pacotes, mas tome muito cuidado para não barrar tráfego legítimo!!

That's all folks!

Autenticação SSH lenta

2007-06-04T00:43:00.000-03:00

Eu estava enfrentando alguns 'problemas' na hora de fazer conexões SSH com alguns servidores que eu administro. A conexão era estabelecida, mas a solicitação da senha demoraaaava para ser apresentada na tela...e algumas vezes até gerava time out.

Resolvi, comentando as seguintes linhas do sshd_config:

#GSSAPIAuthentication yes
#GSSAPIDelegateCredentials no

E não é que resolveu!!

Google Command Line

2007-06-01T17:56:00.000-03:00

Nerd faz cada coisa!!
Google Command Line é para quem gosta, digo AMA, trabalhar em linha de comando. Através desse projeto você poderá fazer suas pesquisas simples e também as pesquisas avançadas por linha de comando.
Vale a pena dar uma olhada.

Fonte:
http://projects.felipc.com/gcl/

Phrack #64 - ...made by and for hackers...

2007-06-01T00:29:00.000-03:00

A revista Hacker mais famosa do mundo voltou depois de quase 2 anos sem liberar qualquer release!! (o release 63 é datado de 30 de julho de 2005)
De acordo com a Wikipedia(EN) a Phrack foi a primeira 'revista eletronicamente distribuída' que se tem notícia.

Recomendo para quem se interessa pelo assunto, especialmente o artigo "Hacking your brain: The projection of consciousness".

Fonte:
.:: Phrack Magazine ::.

Servindo SSH com mais segurança em 4 passos

2007-05-28T00:36:00.000-03:00

Nada de scanning, tampouco bruteforce. O negócio é 'segurar'.
Como melhorar, e muito, a segurança de um servidor ssh 4 passos (sem utilização de firewall)? Simples assim:

1. Desabilite o login da conta root. (PermitRootLogin no)
2. Desabilite logins baseados em usuário/senha. (PasswordAuthentication no) - Assim, a permissão de acesso ao servidor ssh será baseado em verificação de 'ssh keys'.
3. Coloque o serviço sshd para escutar em uma porta diferente da usual. (Port 9522, ex.)
4. Instale o DenyHosts!

O DenyHosts é uma ferramenta que bloqueia hosts que estão tentando efetuar
ataques de força bruta contra servidores SSH. Desenvolvido em Python por Phil Schwartz, o DenyHosts está atualmente na versão 2.6.

Pré-Requisitos (ambiente utilizado: Debian Etch - Kernel 2.6.18-4):

1.OpenSSH-Server compilado com suporte à TCP_WRAPPERS. Para saber se no seu caso o suporte foi habilitado, faça o seguinte teste:
Altere o arquivo /etc/hosts.deny e acrescente a seguinte linha no final do arquivo:
$ sshd: 127.0.0.1

Agora tente fazer uma conexão ssh em localhost, e se a resposta for algo como isto abaixo...:

[alberto@mybox:~]$ ssh localhost
ssh_exchange_identification: Connection closed by remote host
[alberto@mybox:~]$

...gotcha! Isso significa que o suporte à TCP_WRAPPERS está habilitado.

Ah, não se esqueça de remover a linha "sshd: 127.0.0.1" do arquivo /etc/hosts.deny!!!

2. Python v2.3 ou superior. (Eu usei a versão 2.4.4)

Instalando o DenyHosts

[alberto@mybox:~]$ wget http://ufpr.dl.sourceforge.net/sourceforge/denyhosts/DenyHosts-2.6.tar.gz
[alberto@mybox:~]$ tar zxvf DenyHosts-2.6.tar.gz

Dentro do diretório criado existe um arquivo chamado setup.py. Este script automatiza o processo de instalação fazendo com que os arquivos sejam alocados em /usr/share/denyhosts/. Sendo assim, faça o seguinte:

[alberto@mybox:~]$ cd DenyHosts-2.6 && python setup.py install

Agora é só configurar:

Vou utilizar o próprio arquivo de configuração de exemplo:

[alberto@mybox:~]$ cd /usr/share/denyhosts
[alberto@mybox:/usr/share/denyhosts]$ cp denyhosts.cfg-dist denyhosts.cfg

As únicas opções que eu precisei alterar foram o caminho do arquivo de log que a ferramenta vai ler e o caminho do lock file/PID do DenyHosts (caminhos para ambiente Debian):

SECURE_LOG = /var/log/auth.log
LOCK_FILE = /var/run/denyhosts.pid

Para que possamos utilizar p DenyHosts como daemon, iremos precisar do script daemon-control. Novamente utilizando o script de modelo como base:

[alberto@mybox:/usr/share/denyhosts]$ cp daemon-control-dist daemon-control

Certifique-se de que os valores das opções DENYHOSTS_BIN, DENYHOSTS_LOCK E DENYHOSTS_CFG estejam assim (valores para Debian):

DENYHOSTS_BIN = "/usr/bin/denyhosts.py"
DENYHOSTS_LOCK = "/var/run/denyhosts.pid"
DENYHOSTS_CFG = "/usr/share/denyhosts/denyhosts.cfg"

Não alterei nenhuma outra opção do script daemon-control.

Agora, altere algumas permições:

[alberto@mybox:/usr/share/denyhosts]$ chown root daemon-control && chmod 770 daemon-control

Para finalizar, crie o link para que o DenyHosts seja executado automaticamente durante o boot:

[alberto@mybox:/usr/share/denyhosts]$ ln -s daemon-control /etc/init.d/denyhosts
[alberto@mybox:/usr/share/denyhosts]$ update-rc.d denyhosts defaults

Agora, let's start:

[alberto@mybox:~]$ /etc/init.d/denyhosts start

Pronto! Seu DenyHosts está funcionando e bloqueando os hosts que estiverem tentando atacar seu servidor ssh por brute force.

Faça um teste: Tente se conectar localmente por ssh com algum usuário inexistente por umas 5 vezes (valor padrão de DENY_THRESHOLD_INVALID) e depois verifique o arquivo /etc/hosts.deny ou o log do DenyHosts (/var/log/denyhosts) para ver o que acontece.

O arquivo de configuração /usr/share/denyhosts.cfg é muito simples e bem comentado. Vale a pena dar uma lida e aprimorar as suas configurações.

Comente, sugira, critique ou corrija.

That's all folks!

CIGE - Centro Integrado de Guerra Eletrônica

2007-05-27T01:38:00.000-03:00

Histórico

A 19 de março de 1984, foi criado o Núcleo de Implantação do Centro de Instrução de Guerra Eletrônica.

Instalado, em 10 de março de 1989, o então Centro de Instrução de Guerra Eletrônica (CIGE) especializou em Guerra Eletrônica (GE), naquele ano, as primeiras turmas de oficiais e sargentos.

Com a mudança de denominação para Centro Integrado de Guerra Eletrônica (CIGE), ocorrida em 30 de abril de 1998, a Unidade manteve a sigla tradicional e adotou uma denominação coerente com sua evolução.

A missão do CIGE é a formação de recursos humanos nos sistemas de GE. Para tal, faz uso dos seguintes vetores: ensino, tático, manutenção, suprimento e administração.

Principais Atividades

A Divisão de Ensino do CIGE, que materializa o vetor de ensino, ministra diversos cursos de especialização e extensão de GE para oficiais e sargentos do Exército e das Forças Singulares, atuando, inclusive, nos C Mil A, com estágios de área de GE. Fornece, ainda, subsídios ao EME para a elaboração e o aperfeiçoamento da doutrina de GE.

A 1ª Cia GE, que materializa o vetor tático, participa de manobras nos diferentes C Mil A, sob a coordenação do COTer, e, ainda, realiza demonstrações do emprego do seu material em cooperação de instrução proporcionada pelo CIGE.

A Divisão de Engenharia e Logística, que materializa o vetor de manutenção/suprimento, é responsável pela manutenção e suprimento do material de GE.

O CIGE atende, anualmente, cerca de 50 pedidos de cooperação de instrução oriundos das três Forças Armadas, os quais são realizados na própria OM, em exercícios no terreno ou na OM solicitante.

Atualmente:

O Boletim do Exército N. 06/2007 de 9 de Fevereiro de 2007, através da Portaria N. 063-DCT, de 31 de Janeiro de 2007 "Aprova as Instruções Reguladoras para Criação de Estágio Setorial de Guerra Cibernética (IR-1309)".

Fontes:
http://www.exercito.gov.br/06OMs/centros/cige/indice.htm
http://www.cige.eb.mil.br/

Nikto - Web Server Scanner

2007-05-25T01:57:00.000-03:00

No post de hoje quero apresentar uma excelente ferramenta de segurança. Trata-se do Nikto - um scanner de vulnerabilidades para web servers escrito em Perl muito interessante, rápido e simples de usar.
Uma característica muito peculiar do Nikto é que ele possibilita a atualização da sua base de dados de vulnerabilidades, bem como a atualização de seu próprio código!

Ambiente utilizado para o teste:

Debian Etch kernel 2.6.18-4
Perl 5.8.8
Net_SSLeay.pm-1.30
Nikto 1.36
Apache 1.3.34

Antes de começar a brincar eu tive que instalar a extensão Net_SSLeay.pm-1.30 para que o Perl pudesse utilizar OpenSSL. Simples assim:

$tar -xzvf Net_SSLeay.pm-1.30.tar.gz
$cd ./Net_SSLeay.pm-1.30
$perl Makefile.PL
$make
$make install

Agora, 'instalando' o Nikto:

$tar zxvf nikto-1.36.tar.gz
$cd nikto-1.36

A instalação basicamente se resume a isso. Todos os arquivos que o Nikto utiliza estão dentro dessa pasta, portanto, não faz diferença nenhuma a localização da mesma.

Antes de iniciarmos a utilização é interessante que façamos uma atualização, simples assim:

$./nikto.pl -update

E agora sim:

alberto@mybox:~$./nikto.pl -h localhost
---------------------------------------------------------------------------
- Nikto 1.36/1.39 - www.cirt.net
+ Target IP: 127.0.0.1
+ Target Hostname: localhost
+ Target Port: 80
+ Start Time: Fri May 25 02:49:13 2007
---------------------------------------------------------------------------
- Scan is dependent on "Server" string which can be faked, use -g to override
+ Server: Apache/1.3.34 (Debian)
+ Allowed HTTP Methods: GET, HEAD, OPTIONS, TRACE
+ HTTP method ('Allow' Header): 'TRACE' is typically only used for debugging--it should be disabled. Note, this does not mean the server is vulnerable to XST. OSVDB-877.
+ Apache/1.3.34 appears to be outdated (current is at least Apache/2.2.3). Apache 1.3.33 is still maintained and considered secure.
+ / - TRACE option appears to allow XSS or credential theft. See http://www.cgisecurity.com/whitehat-mirror/WhitePaper_screen.pdf for details (TRACE)
+ / - TRACK option ('TRACE' alias) appears to allow XSS or credential theft. See http://www.cgisecurity.com/whitehat-mirror/WhitePaper_screen.pdf for details (TRACK)
+ 2673 items checked - 2 item(s) found on remote host(s)
+ End Time: Fri May 25 02:49:19 2007 (6 seconds)
---------------------------------------------------------------------------
+ 1 host(s) tested
alberto@mybox:~$

Lembre-se que nem todos os items encontrados são problemas de segurança, pois alguns podem ser só avisos sobre algo que nem o administrador do web server (no caso VOCÊ) sabe que está presente no servidor. Mesmo assim, a maioria dos itens SÂO PROBLEMAS DE SEGURANÇA SIM! Eheh.

Conclusão

Rápido, customizável, atualizável e 100% software livre. Recomendo!

Happy Scanning!!

THC Hydra - Brute Force a rolé!

2007-05-22T23:35:00.001-03:00

Dia desses revolvi desligar meu DenyHosts para ver o que acontecia. Depois disso fui dar uma olhada no meu /var/log/auth.log. A surpresa:

May 20 10:51:07 admin sshd[8236]: Did not receive identification string from 61.152.162.183
May 20 11:28:36 admin sshd[8301]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.152.162.183 user=root
May 20 11:28:38 admin sshd[8301]: Failed password for root from 61.152.162.183 port 47342 ssh2
May 20 11:28:38 admin sshd[8302]: Received disconnect from 61.152.162.183: 11: Bye Bye
May 20 11:28:41 admin sshd[8303]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.152.162.183 user=ftp
May 20 11:28:43 admin sshd[8303]: Failed password for ftp from 61.152.162.183 port 47666 ssh2
May 20 11:28:43 admin sshd[8304]: Received disconnect from 61.152.162.183: 11: Bye Bye

Num momento de ira! resolvi contra-atacar o tal "61.152.162.183", eheh. Saí buscando algo para fazer o 'talzinho' provar do próprio veneno. Foi quando encontrei a ferramenta THC - Hydra, desenvolvida por Van Hauser do THC.
O THC-Hydra pode ser classificado como um network logon cracker multiplataforma que faz ataques de força bruta contra uma gama considerável de serviços. Atualmente, na versão 5.4, os serviços suportados são:

SSH2, TELNET, FTP, HTTP, HTTPS, HTTP-PROXY, SMB, SMBNT, MS-SQL, MYSQL, REXEC, RSH, RLOGIN, CVS, SNMP, SMTP-AUTH, SOCKS5, VNC, POP3, IMAP, NNTP, PCNFS, ICQ, SAP/R3, LDAP2, LDAP3, Postgres, Teamspeak, Cisco auth, Cisco enable, LDAP2, Cisco AAA

Tem versões para Windows (Win32/Cywin), iPaq e Zaurus (handhelds com processadores ARM rodando Linux) e, claro, seu código fonte pode ser compilado em 'todas' as plataformas 'UNIX based'.
Minha aventura se desenrolou num Debian Etch, com Kernel 2.6.18-4, e o roteiro de instalação foi o seguinte:

- Pacotes Utilizados:

*libssl0.9.6 (requisito para o pacote libssh0.11)

# Repositório para o apt:
# deb http://tinkerbell.dyndns.biz/debian woody main contrib non-free non-US

$apt-get update
$apt-get install libssl0.9.6

*libssh0.11

http://0xbadc0de.be/libssh/libssh-0.11.tgz

$tar zxvf libssh-0.11.tgz
$cd libssh-0.11
$./configure && make && make install

*Hydra 5.4

hydra-5.4-src.tar.gz
Encontrei alguns probleminhas na hora de compilar o Hydra, especialmente pq o Makefile não encontrava a biblioteca libssh.so e apresentava um crash no módulo Postgres. Resolvi alterando algumas variávies do Makefile produzido pelo ./configure e deixando assim:

(...)
XDEFINES= -DLIBOPENSSL -DLIBSSH
XLIBS= -lssl -lssh -lcrypto
XLIBPATHS=-L/usr/lib -L/usr/local/lib -L/lib -L/usr/lib -L/var/lib -L/lib -L /usr/include -L/usr/include/libssh
(...)

..depois disso:

$make && make install

Aí foi partir para o abraço. Olha o testdrive:

alberto@mybox:~$ hydra 127.0.0.1 -L file.txt -P file.txt ssh2
Hydra v5.4 (c) 2006 by van Hauser / THC - use allowed only for legal purposes.
Hydra (http://www.thc.org) starting at 2007-05-23 01:13:00
[DATA] 4 tasks, 1 servers, 4 login tries (l:2/p:2), ~1 tries per task
[DATA] attacking service ssh2 on port 22
[STATUS] attack finished for 127.0.0.1 (waiting for childs to finish)
[22][ssh2] host: 127.0.0.1 login: admin password: mypass
Hydra (http://www.thc.org) finished at 2007-05-23 01:13:08
alberto@mybox:~$

Onde:
hydra 127.0.0.1 -> Meu alvo (eu mesmo)
-L file.txt -> Wordlist de usuários que eu usei
-P file.txt -> Wordlist de senhas que eu usei
ssh2 -> Serviço atacado.

Lembrando que um 'hydra -h' apresenta um help bem didático com todas as opções.
Agora é com você. Use para fins didáticos e não siga meu exemplo de contra-atacar seus atacantes, eheh.

Conclusão
O THC-Hydra é a melhor ferramenta para ataques de força bruta que eu tive acesso até hoje. Desempenho satisfatório, multiplataforma, váááárias opções interessantes, desenvolvimento constante e código 100% aberto.
Aprenda a usar e use...antes que alguém o faça em seus servidores por você.

Start

2007-05-21T03:03:00.000-03:00

$init 5