Temas

[Descontrol de Correos con los paquetes del extranjero]

Correos volverá a realizar directamente a partir del próximo sábado 9 de abril los trámites aduaneros de los paquetes de importación procedentes de países fuera de la UE, tras rescindir el contrato que mantenía con SpeedTrans, empresa a la que había cedido estas gestiones.

   La sociedad postal pública atribuyó la rescisión de este contrato al "reiterado incumplimiento" por parte de esta firma "de los parámetros de calidad establecidos para la prestación del servicio".

   Así, una vez finalizado el correspondiente periodo transitorio de dos meses, Correos volverá a gestionar con sus propios medios los trámites aduaneros de los paquetes de importación procedentes de países de fuera de la Unión Europea, principalmente la elaboración del DUA (documento único administrativo) y la liquidación de impuestos y aranceles aduaneros.

Relacionada:

Descontrol de Correos con los paquetes del extranjero
http://www.publico.es/espana/370087/descontrol-de-correos-con-los-paquetes-del-extranjero

   La operadora postal avanzó en un comunicado que pondrá a disposición de los clientes un nuevo procedimiento que les facilitará pagar contra reembolso, y en cualquier punto de España, el importe de la gestión y de los impuestos que correspondan, siempre que el valor del paquete sea inferior a 150 euros y vaya dirigido a particulares.

[Sphinx]

Nuevo motor de búsqueda para el foro, basado en Sphinx:

http://foro.elhacker.net/search.html

La verdad es que yo mismo dejé de utilizar el anterior buscador del foro, porque funcionaba mal y lento, pero ahora es bastante más rápido y preciso.

No está basado en el buscador de google, y aunque lógicamente no es tan rápido como el motor de búsqueda de Google, pues si tiene indexados todos los mensajes del foro (1.200.000 mensajes), con lo que es más fiable y efectivo.

Gracias a Nakp por la ayuda prestada para configurar el daemon.

Hacer una búsqueda con una tabla MySQL Fulltext (con más de 1.200.000 registros)  es muy lento y por eso la idea de usar Sphinx.

Until now, SMF supported two types of indexes: fulltext (using MySQL's own indexing system) and custom (using an index created by SMF and stored on the database). Though for many forums one of these indexes is sufficient, the larger the forum gets, the harder it gets to query the indexes. Not only are there limits to what it can reasonably find within a second, a search query also puts pressure on the database by using resources and locking tables.

With this in mind, Andrew Aksyonoff started his own engine, outside of MySQL: Sphinx (www.sphinxsearch.com). This engine runs as a separate deamon process and provides query results to applications like PHP. A scheduled task retrieves the data from the database and rebuilds the indexes. This engine is fulltext specialized and returns results often a thousand times faster than MySQL.

Referencias:

lmstfyoe
http://foro.elhacker.net/sugerencias_y_dudas_sobre_el_foro/lmstfyoe-t306199.0.html

¿Qué le pasa al buscador del foro?
http://foro.elhacker.net/sugerencias_y_dudas_sobre_el_foro/iquestque_le_pasa_al_buscador_del_foro-t299208.0.html

Vuelve el botón de buscar
http://foro.elhacker.net/privado/vuelve_el_boton_de_buscar-t195009.0.html

Mejorar el buscador del foro
http://foro.elhacker.net/sugerencias_y_dudas_sobre_el_foro/mejorar_el_buscador_del_foro-t161373.0.html

[Historia de elhacker.net]

Con motivo del 10th aniversario de elhacker.net (ehn) (20 febrero 2001, 20 febrero 2011) se publica una segunda parte con anécdotas y curiosidades hasta ahora nunca desveladas en elhacker.net

- Primera parte disponible en:

Historia de elhacker.net
http://foro.elhacker.net/sugerencias_y_dudas_sobre_el_foro/historia_de_elhackernet-t227491.0.html

• 
  - Portal de noticias elhacker.info (Año 2003)

A finales del año 2002 se registra el dominio elhacker.INFO. La idea era crear un portal de noticias sobre seguridad informática. El usuario cuántico (República Dominicana) se encargó del diseño y cómo no, wolfbcn (entre otros) de "poner noticias". Se trataba de seleccionar un poco las noticias relacionadas con la informática y que en la página principal tuvieras la opción de leer las noticias más importantes, pudiendo hacer click en el clásico "Leer Más". El sistema estaba montado con el clásico CMS del momento, el PHP-Nuke italiano. Finalmente por problemas de tiempo y trabajo por mi parte, se abandona definitivamente la idea del "proyecto".

• 
  -  n3ptun0 imputado por atacar a elhacker.net (Noviembre 2009)

Todavía no puedo explicar más detalles de la historia, ya que estamos a la espera de la decisión de la fiscalía de menores de Santa Cruz de Tenerife. No sé si habrá juicio, compensación económica, o cómo acabará el asunto. Pero n3ptun0 ha reconocido los hechos que se le imputan.

Algunos medios publicaron erróneamente "n3ptun0" detenido, cuándo nunca estuvo detenido, simplemente se le tomó declaración a raíz de la denuncia.

Aunque sabemos que n3ptun0 guarda rencor por la denuncia, esperamos que un futuro se dé cuenta que él en mi situación seguramente habría hecho lo mismo y el camino que estaba llevando no era el más adecuado.

Nota de prensa oficial de la Guardia Civil
http://www.guardiacivil.org/prensa/notas/win_noticia.jsp?idnoticia=2724

• 
  - El dinero que netzeek regaló (Mayo 2007)

De todos es sabido que antes de los ataques de neptun0, netzeek protagonizó varios ataques DDoS a elhacker.net que colapsaron durante meses el foro y la web.

Lo que no debe saber Netzeek es que gracias a sus zombies en Mayo de 2007 aproveché sus infeccciones masivas para ganar dinero con la publicidad. Gracias Netzeek.

Adjunto captura de pantalla con los ingresos.

2.466€ en un mes.



¿Porqué no aprovechar esas visitas masivas que tan "amablemente" me enviaba Netzeek? Esos ordenadores zombies que visitaban masivamente el foro, era una pena desperdiciarlos, y ya que los infectados no tenían ninguna culpa, al menos podían visitar un poco de publicidad del foro, al fín y al cabo eran visitas, aunque fueran zombies y "forzadas" por netzeek.

• 
  - El "nacimiento" de trucoswindows.net y seguridadwireless.net

Algunos conocen la historia, otros no, pero creo que es bueno saberlo, ya que por pura casualidad (cosas del destino), de elhacker.net han "nacido" algunas importantes y visitadas webs, cómo son trucoswindows.net y seguridadwireless.net.

¿A que me refiero con que nacieron? Simplemente que sus inicios estuvieron aquí. No quiero decir que elhacker.net se ponga una medalla por ello o que gracias a elhacker.net lo consiguierán: no, nada de eso, simplemente explico sus inicios porque los viví y estuve presente, y es una parte anecdotica más, de los 10 años de ehn.

En el caso de trucoswindows.net, jbex y alnitak sus fundadores y actuales administradores, eran moderadores globales del foro y jbex primero fue moderador de Windows y Alnitak del foro de Seguridad. Finalmente su amistad y puesta en común de una web, decidieron abandonar progresivamente el foro para dedicarse exclusivamente a trucoswindows.net. Actualmente no mantengo nignuna relación de amistad con ellos y si guardo cierto rencor a jbex, por su postura al prescindir de elhacker.net como "web amiga y afiliada" cuando elhacker.net sufría un grave ataque de denegación de servicio y permanecía off-line. Su argumentación era que como elhacker.net estaba caída, mejor quitarla para que google no le perjudicara al ver un enlace roto. "Gracias" por ese detalle, demuestra un gran compañerismo y solidaridad, ya dice el dicho que "es de bien nacidos ser agradecido".

En el caso de seguridadwireless.net, hwagm ha sido mucho más agradecido en este aspecto, ya que aunque tiene su propio dominio (seguridadwireless.net) seguimos teniendo una gran amistad y respeto mútuo. Él mismo comenta que ehn es una web "hermana" y continúamos como afiliados y webs "amigas". Sus inicios fueron como moderador estrella de Hacking Wireless y con la creación posterior del subdominio  hwagm.elhacker.net (hospedado en el servidor de warzone). Finalmente el foro se creó en el dominio de seguridadwireless.net dónde continua activo y creciendo día a día.

• 
  - La "guerra" sucia con el-hacker.com

A estas alturas todo el mundo ya debería conocer parte de la historia con la web del guión. La historia es simple. Abstracto era moderador del foro de elhacker.net (sección Hacking Hotmail) durante unos años y por diferentes motivos decidió irse del foro y registrar elhacker.net con un guión en medio, eso fue finales del año 2002 (elhacker.net se registró en febrero de 2001). Más tarde aparecerían otros dominios "parecidos" cómo el .com (Año 2003). .org, el gt, etc, etc.

¿ Y cómo puedo demostrarlo? Porque ellos todavía no han cumplido 10 años   (simplemente mirando el whois de ambos dominios y verás la fecha de registro (creation date))

Cada uno es libre de registrar el domino que le dé la gana si está libre, pero quede claro que "copiaron" y se "aprovecharon" del nombre de dominio, porque ya por áquel entonces elhacker.net tenía fama y era "conocido". Y es muy fácil confundir a los usuarios creando un nombre de dominio idéntico cambiando simplemente la extensión.  Además copiando secciones enteras consigues fácilmente confundir....

Durante diferentes años ha habido muy mala relación entre ambos dominios, con continuas disputas durante años entre sus miembros. Por suerte, todo esto ya pasó y actualmente no hay ninguna relación. Se optó por "ignorarnos" como mejor solución. Ahora cada uno va por su camino. Ellos decidieron registrar el dominio y están en su derecho de continuar adelante como una comunidad más. Olvidado no está, por mi parte, el rencor por ensuciar  la palabra hacker con una comunidad carente de valores éticos como son la publicidad no adecuada, la petición de serials y cracks, registros canalmail al registrarse al foro, registrarse para ver los enlaces y un largo etc.

A algunos no les interesa explicar porque no usan el primer dominio  el-hacker.net y se ven obligados a usar el .com, ya que el primero fue baneado por Google después de repetidas trampas y engaños al buscador. Recordemos que Google sólo banea (temporalmente) aquellos dominios de los que tiene suficientes pruebas e indicios continuados de hacer graves trampas a próposito.

Todavía hoy en día mucha gente sigue confudiendo ambos dominios, y aunque compartimos parte del nombre de dominio, creemos sinceramente que no tenemos nada más en común, ni nuestra política, normas, forma de ser y punto de vista sobre la palabra hacker significa son antagónicos.

• 
  - La  famosa llamada de Rojodos

Durante los múltiples ataques que hemos recibido, Rojodos (por entonces CoAdminsitrador del Foro), me comentó que si le daba mi teléfono de casa, en caso que nos atacaran me llamaría para avisarme. Le comenté que me parecía buena idea, pero que por favor, no llamara nunca más tarde de las 23h de la noche, porque en casa mis padres trabajan y no quería despertarlos (o asustarlos pensando que es un familiar con problemas de salud o similar).

Bien el tema es el mismo día que el dí el teléfono me llamó a la 1h de la madrugada. Por suerte, yo estaba despierto viendo la televisión. Era un teléfono con prefijo de Málaga y la voz decía "Alezzz, alezzz, alezzz", sí, era Rojodos, para avisarme que nos atacaban. No importa, lo hizo con toda la buena intención del mundo.

Pero durante varios años la frase "Alezzz, Alezzz" fue motivo de burla entre Colaboradores y miembros del staff de elhacker.net, por la hora de la llamada y el acento de Rojodos.



Continuará....

El organismo regulador canadiense ha aprobado una nueva norma que elimina de raíz la posibilidad de contratar una línea de banda ancha fija sin límite en el tráfico, en favor de los grandes operadores del país y que provoca que los alternativos tengan que empeorar drásticamente sus ofertas.

La llamada Canadian Radio-Television and Telecommunications Commission (CRTC), aprobó la facturación basada en volumen de tráfico generado entre operadores, con lo que los alternativos tendrán mucho más difícil ofrecer un plan de datos ilimitado asociado a una línea de Internet.

Algo que, por otro lado, hace unos meses publicamos que se había propuesto por parte de los operadores españoles a la CMT.
Los alternativos pagarán a los dominantes por el tráfico de sus usuarios

Volviendo a Canadá, y siempre excusándose en que la mayoría de usuarios utilizan la conexión para tareas básicas (generando poco tráfico) y que lo hacen para proteger a la mayoría de los clientes intensivos, la decisión de la CRTC no ha hecho más que escandalizar a los abonados y operadores alternativos. El más combativo de ello es TekSavvy, una empresa de Ontario que basa su oferta en alquilar el bucle de abonado de Bell, el antiguo monopolio del país.

Como consecuencia inmediata, se penaliza la utilización de servicios de streaming de vídeo como YouTube o la plataforma de contenidos Netflix, streaming de música y radio, descargas...

La facturación del volumen de tráfico entre proveedores de servicio ya ha tenido consecuencias en las tarifas de TekSavvy, que a partir del 1 de marzo incluirá límites en los contratos hasta ahora ilimitados, y reducirá drásticamente el volumen de datos ofrecido en aquellas tarifas más básicas.

Pongamos cifras al cambio. Siempre hablando en términos de dólares canadienses, éstas eran las tarifas viejas de TekSavvy:

Fuente:
http://bandaancha.eu/articulo/7708/desaparece-tarifa-plana-canada

Casi todos los foros lo tienen y puede ser práctico para evitar temas duplicados, puede ser realmente práctico si estás buscando un tema similar y el que acabas de crear no te contesta nadie xD

Te muestra al final del mensaje un máximo 5 mensajes relacionados o similares (mirando sólo el asunto del mensaje) y 0 (ninguno) si no ha encontrado ninguno similar.

Importante ahora más que nunca que los títulos tengan las palabras clave del mensaje (por ejemplo el código de un error de Windows).

Se está mirando la posiblidad de busque sólo mensajes relacionados del mismo foro (misma categoría) para evitar "falsos positivos", ya que como veréis en ocasiones no funciona muy bien.... pero puede ser útil en ocasiones.

Ejemplo:

El disco duro del foro empezó a fallar ayer por la tarde... gracias a un aviso del SMART

May  6 18:42:58 ns120 smartd[2287]: Device: /dev/sda, FAILED SMART
self-check. BACK UP DATA NOW!

SMART Attributes Data Structure revision number: 16
Vendor Specific SMART Attributes with Thresholds:
ID# ATTRIBUTE_NAME          FLAG     VALUE WORST THRESH TYPE
UPDATED  WHEN_FAILED RAW_VALUE
1 Raw_Read_Error_Rate     0x000b   041   021   051    Pre-fail
Always   FAILING_NOW 747

No parecía muy grave, pero por precaución decidimos clonar el disco entero, un WD, al final no se pudo por errores y se ha instalado un Maxtor....

No se ha perdido ni mensajes ni nada, porque se ha podido recuperar todos los datos del  viejo disco duro que ya no se usará más por precaución.

En total el foro ha estado casi 24 horas off-line, pero volvemos con HD nuevo 

[Tareas de mantenimiento]

Tareas de mantenimiento

La tabla log_topics ha crecido hasta límites insospechados con casi 300MB de tabla, cuando no debería ser tan grande.. la explicación son usuarios eliminados, usuarios inactivos, mensajes borrados, muchos años con el foro, etc, etc. Por ejemplo la tabla de mensajes privados tiene un tamaño mucho más normal y aceptable y puede seguir creciendo sin problemas.

He decidido purgar dicha tabla para optimizar el rendimiento del foro, pero el único problema es que al vaciarla marcará todos los mensajes como no leídos, lógicamente después se podrán volver a marcar como leídos y todo volverá a la normalidad.

Gracias por vuestra comprensión. El foro alcanzará próximamente el millón de mensajes posteados, y no, no se purgará ni se vaciarán los mensajes 

Total Mensajes: 954,374

Gracias a todos por participar en el foro. Todos habéis aportado vuestro granito de arena (algunos más que otros  ) para llegar a este cifra mágica.





Si aparece un error

Forbidden

You don't have permission to access /markasread.html;sa=unreadreplies;topics=172819-178670-239563-250291-249882-143287-206993-218443-250023-250008-250049-242166-249401-242132-249606-249450-249490-249360-249244-248881-248669-249085-247740-249167-248276-247298-248628-248198-248659-248714-246175-248349-248491-243787-248540-248516-247380-248366-248425-248430-248082-246122-246907-247966-247642;sesc=99c156f1fa011b200b30e2f9ce77f51f on this server.
Apache Server at foro.elhacker.net Port 80

En ve de entrar en "Mostrar nuevas respuestas a tus mensajes" haz lo siguiente:

1._ Entra en "Mostrar mensajes no leídos desde la última visita"

2._ Una vez dentro márcalos todos como leídos

3._ Ahora sí, entra en Mostrar nuevas respuestas a tus mensajes

4._ Márcalos todos como leídos

Kaspersky is one of the leading companies in the security and antivirus market. It seems as though they are not able to secure their own data bases.

Seems incredible but unfortunately, its true.

Alter one of the parameters and you have access to EVERYTHING: users, activation codes, lists of bugs, admins, shop, etc.

First, lets see the version, user and name of the database.

Though the list is long, the table are very interesting.



codes
users
vouchers
affectstable
bugs_settings
bugshistory
bugstable
builds
categories
commentstable
computertable
editions
filestable
frontpage
grouptable
ignoretable
milestones
paks
pmtable
priority
repfielddetail
repfields
repfieldset
repoptiondetail
repoptions
repquick
severity
statustable
substable
userstable
admin_users
best_buy
cms
cyberCrimeRegs
email_list
fr_link
fr_link_import
interview_request
k_test_users
kbfaq
kbfaq_import
kbrub
kbrub_bu
kbrub_import
login_stats
menu
menu_relations
menus
node
partners
partners_bu
portal_cms_prod_ann
portal_cms_recent_articles
portal_cms_whats_new
portal_product_orders
product_names
retail_login_stats
retail_partners
retail_users
se_login_stats
se_partners
se_users
setup
shopping_com_sales
smnr_items
smnr_items_bu
trials
trials_bu
trials_downloaded_new
trials_rpts
users
users_bu
it_hardware
activation_code_problem
admin_users
best_buy
cms
cyberCrimeRegs
e5users
email_list
fr_link
fr_link_bu
fr_link_import
interview_request
k_test_users
kbfaq
kbfaq_bu
kbfaq_import
kbrub
kbrub_bu
kbrub_import
kbtop_pop
login_stats
menu
menu_relations
menus
ms_crm_files
ms_crm_files_support
ms_crm_intermediary
ms_crm_intermediary_bu
ms_crm_intermediary_support
node
opt_out
partners
partners_bu
portal_cms_prod_ann
portal_cms_recent_articles
portal_cms_whats_new
product_names
retail_login_stats
retail_partners
retail_users
se_login_stats
se_partners
se_users
setup
shopping_com_sales
smnr_events
smnr_items
smnr_items_bu
test_users
test_users_new
trials
trials_bu
trials_downloaded
trials_downloaded_new
trials_rpts
users
users_bu
virus_watch
columns_priv
db
func
help_category
help_keyword
help_relation
help_topic
host
proc
procs_priv
tables_priv
time_zone
time_zone_leap_second
time_zone_name
time_zone_transition
time_zone_transition_type
user
codes
stores
stores_bu

http://hackersblog.org/2009/02/07/usakasperskycom-hacked-full-database-acces-sql-injection/

http://www.theregister.co.uk/2009/02/09/kaspersky_compromise_follow_up/

http://foro.elhacker.net/noticias/agujero_de_seguridad_en_kaspersky-t244694.0.html

Según la define Chema, FOCA es una herramienta para encontrar Metadatos e información oculta en documentos de Microsoft Office y Metadatos e información oculta en documentos Open Office más el trabajo de metadatos e información oculta en documentos PDF.

La FOCA Online (aún en test) no conserva ningún archivo de los que la enviéis ya que son considerados basura. Tampoco guarda ningún dato de los extraídos y únicamente cuenta las veces que aparece algún dato de cada tipo. Si la privacidad te importa y esto no te lo crees, pues no subas ningún archivo y tan campantes todos que la FOCA ya está alimentada.


http://www.informatica64.com/foca/

Fuente: http://elladodelmal.blogspot.com/2009/01/la-foca-adquiere-el-tercer-grado.html

[Qué es.]

Qué es.

El virus de MSN netzeek se expande a través de los contactos del MSN, usualmente con el mensaje "hey !!!" seguido con un enlace a un programa que, al descargarse y ejecutarse, va a infectar tu computadora y se lo va a reenviar a otros de tus contactos de MSN. Examinación inicial del virus indica que no expone tu información personal o destruye ningún archivo en tu computadora. El virus esta diseñado con el propósito de sobrecargar sitios web y servidores de videojuegos online usando tu conexión a internet. Esto significa, que tu internet va a andar mucho mas lento de como debería.

Cómo quitarlo-eliminarlo (Método simple)

Es recomendado que uses un scanner de virus (que la mayoría de los antivirus incluyen) o de malware para quitar completamente todos los archivos del virus. Si no tenes un scanner de virus o simplemente no puede quitarlo, por favor mira debajo.

El archivo de debajo va a remover el virus y sus archivos de tu sistema. Por favor descargalo y ejecútalo con doble click en el ícono.

Descargar netzeek_remove script    



El script/archivo de arriba puede requerir que tengas el Windows Scripting Host instalado. El código fuente de este script/archivo es dado aquí.

Cómo quitarlo (Método técnico)

El virus netzeek de MSN es un conjunto de programas y entradas al registro que hacen parecerse a los archivos del sistema de windows, aunque estos archivos son encontrados en carpetas un poco diferentes.
csrss.gtr/.exe http://www.threatexpert.com/report.aspx?md5=9790c3d3f8d8e3dfc175454436c5982a

remove HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\(Regsz)Windows Update
remove %WinDir%\csrss.exe (C:\Windows\csrss.exe)

services.gtr/.exe http://www.threatexpert.com/report.aspx?md5=6a13875b15ec4df292d413d151d237b0

remove HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\(Regsz)Windows
remove HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\(RegSz)System
remove HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\(RegSz)System Update
remove %WinDir%\services.exe (C:\Windows\services.exe)
remove %System%\Drivers\lsass.exe (C:\WINDOWS\system32\Drivers\lsass.exe)
remove %System%\Drivers\smss.exe (C:\WINDOWS\system32\Drivers\smss.exe)

winlogon.gtr/.exe http://www.threatexpert.com/report.aspx?md5=75fbcf2ed7ba7d789541089c7d67288a

remove HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\(Regsz)Windows Run Service
remove HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\(Regsz)System Run
remove %WinDir%\winlogon.exe (C:\Windows\winlogon.exe)
remove %System%\drivers\spoolsv.exe (C:\Windows\system32\drivers\spoolsv.exe)

aa.gtr/ctfmon.exe http://www.threatexpert.com/report.aspx?md5=402bbf23bcad504e70b31043388c6ec7

remove HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\(Regsz)CTFMON
remove %System%\drivers\ctfmon.exe (C:\Windows\system32\drivers\ctfmon.exe)


Para las autoridades. Información del autor del virus.

El autor del virus se cree que vive en Buenos Aires, Argentina, y es responsable de muchas variantes usadas con el propósito de enviar ataques de denegación de servecio (DoS). El autor se hace conocer a través de interner con el alias "netzeek" y tiene un sitio web aquí, donde muestra videos de algunos de sus ataques.
Se cree que netzeek es responsable de los siguientes dominios:

juegoszetin.org
juegosk.info
juegosi.info
team-crash.org
gamersxpro.info
vgjuegos.info
juegosxs.org
jueguitosk.info
juegosenflashes.com
bjuegosb.info
aaaaad.tk
cfoott.tk
tjuegost.info

Algunos de estos dominios aparecen en cliente FTP del escritor del virus durante uno de sus videos. También se puede terminar de comprobar estos dominios revisando Threat Expert.

Última dirección IP conocida de netzeek: 190.225.75.169 host169.190-225-75.telecom.net.ar, 25 Oct 2008

Información proveída por el equipo SA-MP. team@sa-mp.com.


Fuente:
http://www.sa-mp.com/nz_bak/netzeek_es.html

In english:
http://www.sa-mp.com/nz_bak/netzeek_en.html

Llevaba tiempo buscando este gran truco y por fin lo he encontrado. Si te fijas, muchos vídeos de YouTube tienen debajo la opción "ver con alta calidad", pero hasta ahora esta opción sólo funcionaba cuando se veía el vídeo desde la web de YouTube. La URL y el código embed del vídeo sólo permiten, de momento, poner en un post el vídeo en calidad estándar.

Con este truco podrás poner en tu blog o web un vídeo de YouTube en alta calidad. Apunta. Es muy sencillo, tan sólo tienes que añadir la siguiente cadena tal cual: &ap=%2526fmt%3D18 al final de la dirección del video, y ya está, el vídeo que mostrará es el de alta calidad.

Por ejemplo, cojamos "al azar" el vídeo de mis últimas vacaciones   Con el truco quedaría así:
http://www.youtube.com/v/vaPYypfZ8wk&ap=%2526fmt%3D18

Ahora los vídeos incrustados en el foro llevan el código:

Código [Seleccionar] Expandir

&ap=%2526fmt%3D18

Con lo que si el vídeo está disponible en alta calidad se muestra directamente.

Fuente:
http://www.netambulo.com/2008/11/11/como-poner-un-video-de-youtube-con-alta-calidad-en-un-post/

Para justificar un análisis de un dispositivo GPS es necesario saber que información podemos extraer de él. En el caso de TomTom podemos extraer:

    * Información del dispositivo: Número de serie del dispositivo, el número de modelo, la versión del programa y la versión del los mapas con sus números de serie.
    * Localizaciones: Lugar marcado como casa, una lista de destinos recientes y antiguos viajes.
    * Listas de llamadas y mensajes de texto: Cuando está instalado en un teléfono móvil puede contener información sobre: llamadas realizadas, llamadas recibidas y mensajes de texto enviados y recibidos.
    * Contactos: Aunque no esté instalado en un teléfono móvil permite agregar datos de contactos. En el caso de estar instalado en un teléfono móvil añadirá la agenda del teléfono como contactos.
    * Información conexiones Bluetooth: Nombre, identificador MAC y lista de dispositivos conectados con su correspondiente identificador MAC.
    * Información del usuario.


También hay que tener en cuenta las posibles filosofías de trabajo distintas que puede tener los dispositivos GPS TomTom, que son:

    * Modelos TomTom con ranura de tarjeta SD: La información que queremos extraer se guarda en tarjetas de memoria SD. La aplicación y los mapas se almacenan en la tarjeta SD ya que no poseen otro medio de almacenamiento. Dentro de este grupo podemos incluir las PDA y los teléfonos móviles con GPS.
    * Modelos de TomTom con disco duro interno: Toda la información se guarda en un disco duro interno y la única forma de acceder es conectando el dispositivo a un PC.


Para empezar el análisis tenemos que tener en cuenta, basándonos en los datos relativos a la filosofía de trabajo del dispositivo, dos metodologías concretas:

Cuando se trata de un TomTom con ranura de tarjeta SD:

    * No se debe encender el dispositivo debido a que sobrescribirá datos sobre su posición y se corromperá el escenario. En caso de PDA o teléfonos móviles con no cargar la aplicación es suficiente.
    * Retirar la tarjeta SD y protegerla contra escritura, para evitar así que se pueda corromper el escenario.
    * Realizar una imagen de la misma.


Cuando se trata de un TomTom con disco duro interno:

    * Para extraer la información es necesario encender el dispositivo. Como consecuencia corre el peligro de activar la aplicación y al recibir la señal de los satélites corromper el escenario. Entonces hay que inhibir la señal de los satélites con una jaula de Faraday, se puede emplear para tal efecto, papel de aluminio, envolviendo completamente el dispositivo.
    * Realizar una imagen del disco duro.


Después de tener en cuenta estas recomendaciones, la información se extrae de los siguientes archivos:

    * *.cfg: Los nombres de los ficheros dependen de la versión y se encuentra en la carpeta del mapa. Suele llamarse ' Mapsettings.cfg' o (nombre del mapa).cfg. Puede haber más de un mapa instalado, el mapa actual se puede encontrar en el archivo ' currentmap.dat'. Estés archivos cfg contienen: localización marcada como casa, favoritos, direcciones manualmente incorporadas, viajes recientes, detalles de antiguos viajes, última posición antes de apagarlo (solo en modelos antiguos).
    * CurrentLocation.dat: Última posición antes de apagarlo.
    * ttgo.bif o ttnavigator.bif: Información general del dispositivo, número de modelo, número de serie, contraseña de usuario.
    * Settings.dat: Conexiones Bluetooth: nombre, identificador MAC y lista de dispositivos conectados con su correspondiente identificador MAC. Información introducida por el usuario como: nombre, número de teléfono, dirección...
    * Called.txt: Llamadas realizadas, en el caso de que se trate de un teléfono móvil GPS. Hechas a través de la aplicación TomTom.
    * Callers.txt: Llamadas recibidas, en el caso de que se trate de un teléfono móvil GPS. Recibidas a través de la aplicación TomTom.
    * Contacts.txt: Información acerca de los contactos.
    * Inbox.txt: Mensajes de texto que ha recibido a través de la aplicación TomTom.
    * Outbox.txt: Mensajes de texto enviados a través de la aplicación TomTom, en el caso de que se trate de un teléfono móvil GPS.


La mayoría de los datos son fáciles de interpretar, pero el último viaje realizado tiene una peculiaridad basada en el funcionamiento de la aplicación. Cuando se traza un viaje, existe un punto origen y un punto destino, si se sigue la ruta marcada eses datos quedaran grabados y son fáciles de interpretar. Pero cuando en el viaje el usuario se equivoca y la aplicación recalcula la ruta, el punto origen varia y seria el lugar donde se ha recalculado la ruta. Esta situación puede ser engañosa, a la hora de realizar el análisis forense, porque el punto origen grabado no sería el original. Para evitar esto, hay que recuperar todos los archivos borrados del disco o tarjeta. Gracias a ellos podremos saber la última ruta exactamente y también otras rutas anteriormente realizadas.

Existe una herramienta gratuita para análisis forense de TomTom se trata de TomTology y con ella podemos descifrar: localización marcada como casa, los favoritos, destinos recientes, últimos viajes, guía telefónica, contactos, llamadas recibidas y llamadas enviadas.

TomTology también analiza los archivos borrados para realizar un correcto informe. Además presenta los informes en formato HTML e incluye la posibilidad de exportar los datos ha Google Earth.

Más información y descarga de TomTology:
http://www.forensicnavigation.com/#/products/4527490520

Visto en:
http://vtroger.blogspot.com/2008/10/anlisis-forense-de-dispositivos-gps.html

[Perfil]

En tu Perfil

Configuración de Apariencia y Diseño

Aparece:

Tema actual: Azul clásico (por defecto) (cambiar)

Haz click en Cambiar para escoger el tema


Nota: El cambio de theme tarda un poco en aparecer visible por pantalla, ya que el sistema del foro guarda en caché durante varios minutos el template viejo.

Elige, escoge el tema que desees:


1) - Gris (usado hace unos años) Desactualizado pero sigue funcionando.



2) - Classic (El clásico de SMF por defecto)



3) - Azul clásico Tema Actual por defecto en el foro (diseñador por morris (MX), cuántico (RD) y compañía)



4) -  elhacker.net 2.0 Nuevo (creado por wvb)



5) - elhacker.NET WEB (diseño usado en el CMS de la web) Creado por WHK



6) - Dark Theme (Tema Oscuro) Creado por raul338




Y click en "Usar este tema"

El nuevo tema tardará unos segundos en aparecer debido a la caché del php del foro y del navegador, debes esperar un mínimo de 5 minutos antes  de poder visualizar el nuevo tema escogido.

[- Los inicios: el Dominio hacker.es.org (Año 2000)]

Un poco de repaso a la historia de elhacker.net, explicando algunos de los "acontecimientos" más destacados, anécdotas, momentos "históricos".

Seguramente habrá una segunda parte, porque todavía falta mucha cosa por explicar.

• 
  -  Los inicios: el Dominio hacker.es.org (Año 2000)

El primero dominio de elhacker.net fue el dominio gratuito y de segundo nivel hacker.es.org

Antes de eso, la web estaba hospedada en hostings gratuitos y era más bien una página personal que otra cosa.

En febrero 2001 se registra el dominio de elhacker.net

Uno de los posible nombres de dominios era undersec (.com, .net o .org) pero se descarta por estar registrado y usado por el grupo UnderSec. Una lástima porque ahora han "desaparecido" jeje y era un nombre dominio que me gustaba bastante.

• 
  - Hosting en casa de bandido

¿Y quién es bandido? Bueno pues su identidad permanecerá en secreto... pero es un señor que vive en Barcelona y que nos conocimos en el IRC en DALnet hace ya unos cuántos años.

Por diferentes problemas de capacidad con hostings de pago,  el Sr. bandido hospedo durante meses el dominio de elhacker.net en un servidor en su casa de Barcelona.

• 
  - Noticia falsa por confusión en barrapunto: (Octubre 2001)

elhacker.net no tiene ni un año de vida y ya aparece en la portada de barrapunto.com y encima por algo malo jaja

Titular de barrapunto en Octubre 2001

Un web restringe la distribución de COMOS
http://barrapunto.com/index.pl?issue=20011018

Comentarios (no tienen desperdicio)
http://barrapunto.com/article.pl?sid=01/10/18/1812233

estudiar acciones desde Hispalinux.

Empiezan las clásicas burlas "susodicho jaiker", "pondrán en jaque al "hacker" y un largo etcétera.

La explicación de todo el lío es que no querían que linkearan las descargas y por eso comentaba que si te has bajado ese fichero de otra página web informaras. A partir de eso, alguien sacó de contexto la explicación y se invento una bonito historia de restringir la distribución de un how-to.

No ha sido la única vez que elhacker.net aparece en la portada de barrapunto.com (también ha aparecido en meneame.net en diferentes ocasiones y en slashdot, y dejar constancia, que el efecto meneame es muy flojito comparado con el efecto slashdot)

Detener un DDoS
http://barrapunto.com/articles/06/08/27/0759214.shtml

Y cómo siempre, los comentarios graciosos nos e han hicieron esperar:

a páginas como estas de juakers con calaveras y huesos y los mil y un trucos para robarle la contraseña de hotmail a tu novia,

Ya hablan de conquistar securityfocus con sus pateticos advisories...

• 
  - Denuncia MPAA (Febrero 2002)

La Motion Picture Association of America (MPAA, 'Asociación Cinematográfica de Estados Unidos'), es una asociación industrial formada por:

-  Buena Vista (The Walt Disney Company)
-  Sony Pictures
-  Paramount Pictures (Viacom, que compró DreamWorks en febrero de 2006),
-  20th Century Fox (News Corporation)
-  Universal Studios (NBC Universal)
- Warner Bros. (Time Warner)

La Digital Millennium Copyright Act (DMCA) avisa con denunciar a elhacker.net. El hosting cancela inmediatamente el servidor de elhacker.net y nos dejan sin hosting de un día para otro. Simplemente avisan que han recibido un aviso de denuncia y que lo sienten, pero lo cancelan todo (sin devolver el dinero, por cierto).

¿El motivo de la denuncia?

De lo más ridículo. Enlazar a la página web oficial del DeCSS. El noruego DVD Jon explicó la manera de descifrar un DVD y a los de la industria cinematográfica les entró el pánico....

Simplemente por poner un link hacía otra página ya amenazan con denunciarte. Viva la expresión de libertad...

Todo quedó en un aviso de denuncia y la cosa no pasó a mayores. Pero faltaba encontrar un nuevo hosting.

• 
  - Se crea un chat conjunto entre: (Junio 2002)

Gracias a la "amistad" entre varias páginas webs se decide crear un chat común con algunas de las páginas más conocidas sobre hacking del momento.

- prehackers.com (Los primeros pasos de un hacker, ahora hispabyte)
- vanhackez.com (La Taberna de Van Hackez, de replicante y más tarde del amigo canario Lechuk)
- infohackers.org (La "controvertida" Asociación Información de Hackers, AIH)
- elhacker.net

El chat funcionaría durante un tiempo sin problemas, pero se acabaría cancelando por convertirse en un nido de lammers.

• 
  - - Denuncia AFYVE 2003 (Elinks)

Un nuevo aviso de denuncia de la AFYVE (Asociación Fonográfica y Videográfica Española).

¿El motivo?

Elinks a discografía española.

• 
  - Aviso posible denuncia Grupo ECC (Año 2004, Octubre)

Recibo un burrofax con un "Requerimiento de la empresa Grupo ECC" donde me "amenazan" con denunciarme por los comentarios de un forero sobre el grupo ECC que según ellos "son actos denigratorios y presuntamente injuriosos"

Por lo visto la libertad de expresión queda en segundo plano y ahora no se puede criticar a una empresa, imaginaros si todas las empresas hicieran igual. Ahora resulta que un usuario no puede hablar mal de una empresa porque denuncian el propietario del sitio web.. alucinante.

Fragmentos del burofax:

Del mismo modo, en virtud de lo establecido en el art. 211 del Código Penal vigente, las manifestaciones efectuadas en un página web, pueden ser consideradas como un presunto delito de injurias hecho con publicidad, considerándose responsable civil solidario la persona física o jurídica propietaria del medio a través del cual se haya propagado la presunta injuria.

Por ello, les requerimos para que en el plazo de 48 horas desde la recepción del presente documento, procedan a tomar las medidas oportunas para evitar el acceso a los foros de http://www.elhacker.net y otras direcciones asociadas a la misma, a aquellos usuarios que introducen comentarios injuriosos sobre las actividades de GRUPO ECC, por entender que su contenido puede constituir un delito, cuya responsabilidad por daños puede extenderse al titular de esta página web

Accedo sin rechistar a borrar el mensaje del foro, previo enfado de sus formas de actuar. Así seguro que no encuentras a nadie criticando al grupo ECC, si lo haces te denuncian. De nuevo la libertad de expresión, brilla por su ausencia.

• 
  - Hackeo y deface al foro (Febrero 2005)

Los ataques e intentos de hackeo han sido innumerables desde los inicios de la web y el foro.

Pero la única vez que ha sido hackeado el foro fue por un grupo brasileiro llamado un-root crew que mediante un bug del analizador de logs awstats (perl) consiguieron hackear y defacear el index del foro.

Por suerte, la base de datos no fue robada y permaneció y permanece intacta. Tampoco usaron puertas traseras ni nada por el estilo. Conseguimos hablar con los miembros del grupo y se dedicaban a hacer "Mass defacement" en webs con el  grave bug del awstats.

Mirror del deface:
http://www.zone-h.org/component/option,com_mirrorwrp/Itemid,160/id,2037111/

A las pocas horas del ataque, se volvió a restaurar el index, se parcheó el bug y volvimos a la normalidad.

En zone-h aparece como si el antiguo top de elhacker.net hubiera sido hackeado, pero fueron inyecciones de código html por parte de red-point y algunos más.

• 
  - Ofrecen dinero para comprar el dominio

El 16 de febrero de 2005 recibo una oferta para vender el dominio:



Obviamente, elhacker.net no está en venta.

• 
  - El bug de Gmail

En noviembre de 2005 ANELKAOS descubre un importante fallo de seguridad en el correo de Gmail. El fallo permite acceder a la cuenta de cualquier persona sin conocer la contraseña, ni robar nada, simplemente se falsifica la sesión y se accede.

Los detalles del bug no se publican hasta que los técnicos de Gmail arreglan el grave fallo. Una vez corregido el fallo se publica toda la información:

http://www.elhacker.net/gmailbug/

Paralelamente sirdarckat también investiga el fallo y se une activamente al foro.

Cientos de medios de comunicación se hacen eco de la noticia una vez que una portavoz de Google, Sonya Boralv, confirma la existencia del fallo y su posterior arreglo.

Antes de la confirmación oficial tan sólo CyrxuNET, Seguridad0 y la revista PCWorld (incluida la edición en papel) se atreven a comentar la noticia. La mayoría piensan que el fallo es falso y es una invención.

Portada en Slashdot:

- Google Corrects Gmail Security Flaw  (Noviembre 2005)
http://slashdot.org/articles/05/11/18/1522236.shtml?tid=217&tid=172

• 
  - Denuncia Microsoft elink juego xbox (2006)

De nuevo con problemas legales y ya van... varias.

El e-mail dice así:

"Demand for Immediate Take Down - Notice of Infringing Activity - MS Ref"

Recibimos más e-mails de MSAntiPiracy01 y decidimos borrar los materiales presuntamente "ilegales" para evitar problemas.

• 
  - Noticia falsa publicada en meneame.net (28-08-2006)

LiveCD ~ ElHacker ~ v0.2
http://meneame.net/story/livecd-elhacker-v0.2

Algún "simpático" decide suplantar la identidad de Derek_X y publicar una noticia falsa sobre una live-cd de elhacker.net que había comenzado por el año 2003 se y había abandonado. No contento con eso, la noticia llega a ser portada de meneame (pese a ser falsa).

Después de hablar con Ricardo Galli no accede a borrar la noticia (comenta que no borran ninguna noticia), pese a ser falsa, pero si decide editar la noticia y aclarar el tema:

-- *Nota* *administativa:* el LiveCD ha sido *borrado*, http://foro.elhacker.net/index.php/topic,137880.new.html#new> El envío y varios comentarios son *erróneos* y *suplantando* *identidades* de forma premeditada.

Además borra el usuario que suplanta la identidad de Derek_X y Carlos Mesa.

• 
  - Video del niño alemán entrando al foro (Diciembre 2006)

El conocido niño alemán loco, también tiene su versión entrando en el foro. Muy lograda.

[youtube=425,350]http://www.youtube.com/watch?v=Lfj5loPrU88[/youtube]

• 
  - Canción hip-hop hacking wireless mp3 (2006)

elhacker.net también tiene un tema hip-hop original por acg.

http://foro.elhacker.net/Hacking_Wireless.mp3

Mirror:
http://ns2.elhacker.net/9 - Hacking Wireless.mp3

Letra de la canción:

felicitaciones a uxio, hwagm, o2T y no se que, nick dificil de leer
Je, hay mucho que aprender en el hacker.net
todo estará a tus pies, registraté y meteté en hacking wireless
solo un livecd y una SMC, a romper WEPs
arranca tu PC, dentro el troppix en cd
manual de uxio, abre la pantalla de shell, iwconfig,
no extension wireless, jódete!, te dije una SMC, atheros chipset
ahora si a por esa red
_____________________Estribillo____________________
Me llaman el revienteweps, te preguntarás por qué,
porque rompo weps por doquier, eh, es hacking wireless
que gilipollez si, pero robo tu red, me conecto a intenet
y messenger y tu pagando cada mes a timofonica.net
________________________________________________

Una wlan, joder con wep, modo monitor la SMC
cambia la MAC para el ataque tres, atack successful,
subiendo ARPs en el airodump los paquetes
vete, esto va a tardar, miles necesitarás, o millones quizás
espera y no vayas a postear. pasaron ocho horas,
lanzas el aircrack, key found, ya está contraseña en hexadecimal
ahora windows, ¿funcionará?, que nervios ¿verdad?
_________________Estribillo________________________

Seguridad activada, mete la wep, conectando, error las IPs
A protocolo TCP, configuración manual y reza,
si no a tirar de kismet, ¿hubo suerte?, ¿tienes net?
prueba con el internet explorer, BINGO, cargo el google
puñetero hacker lamer, no chupes mucho de red,
los cargos de conciencia leete
no jodas al vecino, paga él cada mes
solo navega y no bajes porno de petardas.net
_________________Estribillo________________________

Conocido en el foro por acg, otro lamer
gracias a toda la gente que ayuda y hacker.net
acg MC

Tema original:

http://foro.elhacker.net/hacking_wireless/tema_hip_hop_para_hacking_wireless-t107069.0.html

• 
  - Noticias antena 3 sale logo y descargas de elhacker.net (Noviembre 2006)

Dejar claro que elhacker.net no tiene ninguna relación con los detenidos. Se ha rumoreado que podría ser usuarios del foro, en especial del foro de Troyanos y Virus, pero igual que podrían serlo de muchos otros foros o páginas de internet.

elhacker.net se alegra de la detención de delincuentes que ensucian la palabra "hacker".

[youtube=425,350]http://www.youtube.com/watch?v=QcsXJoD69ek[/youtube]

• 
  - Ataque argentino DDoS (Mayo 2007)

Durante meses recibimos un fuerte ataque de miles de máquinas enviando paquetes. Primero pensamos que es una botnet, pero después descubrimos que un argentino está infectando vía Messenger con una supuesta animación llamada bush.exe que infecta los zombies y permite controlar remotamente los pc's, indicando dónde deben atacar y como deben hacerlo.

Los medios de comunicación se hacen eco del virus, aunque lógicamente no mencionan a quién ataca ni cómo actúa el virus.

Nuevo gusano de MSN con textos en español sobre Bush
http://www.vsantivirus.com/05-05-07.htm

VB.NKS. Se propaga por Messenger como película de Bush
http://www.vsantivirus.com/vb-nks.htm

Un virus que se distribuye por Messenger asalta a españoles y latinoamericanos
http://www.20minutos.es/noticia/276078/0/alerta/virus/messenger/

Mensaje original en el foro:

Infectados Virus bush.exe que se propaga vía Messenger
http://foro.elhacker.net/sugerencias_y_dudas_sobre_el_foro/infectados_virus_bushexe_que_se_propaga_via_messenger-t164966.0.html



Continuará....

[Juegos]

Se trata de una distribución Linux, ejecutable desde DVD (sin necesidad de instalación), que incluye diferentes juegos para Linux. Algo tan sencillo como encender el ordenador con el DVD dentro y esta distribución Linux, en este caso convertida en plataforma...

Es una distro basada en Arch Linux, que puede descargarse vía Torrent en forma de un Live DVD que incluye todo lo necesario para jugar, entre ello estos 15 juegos y los drivers para ATI y Nvidia.

LinuX-Gamers requiere un ordenador x86 con 512 MB de RAM.

Su único propósito es demostrar que en Linux también se puede jugar... incluso a los usuarios de Windows, ya que no toca el disco duro.

Juegos

Requerimientos de hardware:

   * Arquitectura x86
   * 512 MB de RAM
   * Tarjeta de video con aceleración 3D

Características principales:

   * 9 juegos disponibles para correr desde el DVD ( 8 de ellos en modo multiplayer)
   * Drivers propietarios nvidia y ati preinstalados.
   * Drivers con aceleración 3D para muchas otras tarjetas de video.
   * El disco duro no se utiliza.
   * Posibilidad de guardar y restaurar configuraciones en dispositivos USB.
   * Nada necesita ser configurado, todo se hace automáticamente.
   * Es libre y gratis.


http://live.linux-gamers.net/?s=games


   Armagetron Advanced - Tron-like
   AstroMenace - space shooter
   Blobby Volley 2 - beach ball
   Chromium B.S.U. - space shooter
   Extreme Tux Racer - downhill racing
   foobillard - billard
   Frozen Bubble - puzzle
   LBreakout2 - Breakout-like, puzzle
   LTris - Tetris-like
   Neverball - puzzle
   Neverputt - minigolf
   Osmos (demo) - ambient puzzle
   Pingus - Lemmings-like, puzzle
   Secret Maryo Chronicles - jump and run
   Teeworlds - action
   World of Goo (Demo) - puzzle
   XMoto - motocross
   Zaz - puzzle
   Frets On Fire - music
   MegaGlest - real-time strategy
   Hedgewars - Worms-like, artillery
   LinCity-NG - city planner
   Mars Shooter - space shooter
   Nexuiz - first person shooter
   OpenLieroX - action
   OpenTTd - industry planner
   Scorched 3D - artillery
   Speed Dreams - driving simulation
   SuperTuxKart - kart racing
   Tremulous - first person shooter
   Urban Terror - first person shooter
   Warsow - first person shooter
   Warzone 2100 - real-time stategy
   Wesnoth - turn-based strategy, fantasy
   Widelands - real-time strategy

Nexuiz

         




Openarena (Quake)

         


Tremulous





Urban Terror




Descarga

Vía http-ftp

http://mirrors.netdna.com/llg/lglive-0.9.7-i686-hybrid-big.iso
ftp://ftp.holarse-linuxgaming.de/0-Day-Stuff/Live-Linuxgamers-linuxtag2011/lglive-0.9.7-i686-hybrid-big.iso
http://live.linux-gamers.net/iso/lglive-0.9.7-i686-hybrid-big.iso
http://mirrors.netdna.com/llg/lglive-0.9.7-i686-hybrid-big.iso

Torrent:

http://live.linux-gamers.net/iso/lglive-0.9.7-i686-hybrid-big.iso.torrent

CodeKa es un software de facturación, terminal punto de venta (TPV) y control de almacén, diseñado especialmente para pequeñas y medianas empresas. Desarrollada en Extremadura por expertos programadores, ofrecen su trabajo de manera gratuita y libre, publicando la aplicación con una licencia GPL. Desde hoy está disponible para su descarga gratuita en la página web www.codeka.net

* Gestión de Interlocutores comerciales [Clientes y proveedores]
* Gestión de Artículos y Familias
* Gestión de Facturas y Albaranes de los clientes
* Gestión de Facturas y Albaranes de los proveedores
* Ventas en mostrador [TPV]
* Gestión de los cobros y pagos [Tesorería]
* Creación y configuración de códigos de barras
* Gestión de de copias de seguridad
* Listados en formato PDF

Más info:
http://www.extremaduraaldia.com/tecnologia/liberada-la-aplicacion-codeka-v10/61313.html

Visto en:
http://meneame.net/story/liberada-aplicacion-codeka-v1.0

[MySQL Tuning Primer]

Herramientas:

MySQL Tuning Primer

MySQLTuner

mysqlreport

Optimizar MySQL
http://wiki.elhacker.net/bases-de-datos/mysql/optimizacion




MySQL Tuning Primer

Descargar el shell script:
http://www.day32.com/MySQL/tuning-primer.sh

chmod 755 y ejecutar

[root@ns58 ~]# ./tuning-primer.sh

       -- MYSQL PERFORMANCE TUNING PRIMER --
            - By: Matthew Montgomery -

MySQL Version 5.1.52-log i686

Uptime = 7 days 18 hrs 23 min 56 sec
Avg. qps = 100
Total Questions = 67734325
Threads Connected = 157

Server has been running for over 48hrs.
It should be safe to follow these recommendations

To find out more information on how each of these
runtime variables effects performance visit:
http://dev.mysql.com/doc/refman/5.1/en/server-system-variables.html
Visit http://www.mysql.com/products/enterprise/advisors.html
for info about MySQL's Enterprise Monitoring and Advisory Service

SLOW QUERIES
The slow query log is enabled.
Current long_query_time = 3.000000 sec.
You have 1158 out of 67734355 that take longer than 3.000000 sec. to complete
Your long_query_time seems to be fine

BINARY UPDATE LOG
The binary update log is NOT enabled.
You will not be able to do point in time recovery
See http://dev.mysql.com/doc/refman/5.1/en/point-in-time-recovery.html

WORKER THREADS
Current thread_cache_size = 8
Current threads_cached = 6
Current threads_per_sec = 0
Historic threads_per_sec = 0
Your thread_cache_size is fine

MAX CONNECTIONS
Current max_connections = 600
Current threads_connected = 156
Historic max_used_connections = 289
The number of used connections is 48% of the configured maximum.
Your max_connections variable seems to be fine.

INNODB STATUS
Current InnoDB index space = 75 M
Current InnoDB data space = 147 M
Current InnoDB buffer pool free = 30 %
Current innodb_buffer_pool_size = 250 M
Depending on how much space your innodb indexes take up it may be safe
to increase this value to up to 2 / 3 of total system memory

MEMORY USAGE
Max Memory Ever Allocated : 4.42 G
Configured Max Per-thread Buffers : 7.21 G
Configured Max Global Buffers : 978 M
Configured Max Memory Limit : 4.16 G
Physical Memory : 5.21 G

KEY BUFFER
Current MyISAM index space = 416 M
Current key_buffer_size = 600 M
Key cache miss rate is 1 : 6013
Key buffer free ratio = 38 %
Your key_buffer_size seems to be too high.
Perhaps you can use these resources elsewhere

QUERY CACHE
Query cache is enabled
Current query_cache_size = 100 M
Current query_cache_used = 31 M
Current query_cache_limit = 20 M
Current Query cache Memory fill ratio = 31.97 %
Current query_cache_min_res_unit = 4 K
Query Cache is 32 % fragmented
Run "FLUSH QUERY CACHE" periodically to defragment the query cache memory
If you have many small queries lower 'query_cache_min_res_unit' to reduce fragme                                 ntation.
MySQL won't cache query results that are larger than query_cache_limit in size

SORT OPERATIONS
Current sort_buffer_size = 2 M
Current read_rnd_buffer_size = 8 M
Sort buffer seems to be fine

JOINS
Current join_buffer_size = 132.00 K
You have had 1433 queries where a join could not use an index properly
You should enable "log-queries-not-using-indexes"
Then look for non indexed joins in the slow query log.
If you are unable to optimize your queries you may want to increase your
join_buffer_size to accommodate larger joins in one pass.

Note! This script will still suggest raising the join_buffer_size when
ANY joins not using indexes are found.

OPEN FILES LIMIT
Current open_files_limit = 3000 files
The open_files_limit should typically be set to at least 2x-3x
that of table_cache if you have heavy MyISAM usage.
Your open_files_limit value seems to be fine

TABLE CACHE
Current table_open_cache = 512 tables
Current table_definition_cache = 256 tables
You have a total of 72 tables
You have 427 open tables.
The table_cache value seems to be fine

TEMP TABLES
Current max_heap_table_size = 64 M
Current tmp_table_size = 64 M
Of 131907 temp tables, 29% were created on disk
Perhaps you should increase your tmp_table_size and/or max_heap_table_size
to reduce the number of disk-based temporary tables
Note! BLOB and TEXT columns are not allow in memory tables.
If you are using these columns raising these values might not impact your
ratio of on disk temp tables.

TABLE SCANS
Current read_buffer_size = 2 M
Current table scan ratio = 84 : 1
read_buffer_size seems to be fine

TABLE LOCKING
Current Lock Wait ratio = 1 : 1407
You may benefit from selective use of InnoDB.

MySQLTuner

MySQLTuner is a high-performance MySQL tuning script written in perl that will provide you with a snapshot of a MySQL server's health. Based on the statistics gathered, specific recommendations will be provided that will increase a MySQL server's efficiency and performance. The script gives you automated MySQL tuning that is on the level of what you would receive from a MySQL DBA.

Perl Script
http://mysqltuner.com/mysqltuner.pl



Features:

   * Memory Usage: Calculates MySQL memory usage at max load and makes recommendations for increasing or decreasing the MySQL memory footprint. Per-thread and server-wide buffer data is calculated separately for an accurate snapshot of the server's configuration.
   * Slow Queries: Reviews the amount of slow queries relative to the total queries. Slow query time limits are also analyzed and recommendations are made.
   * Connections: Current and historical connection counts are reviewed.
   * Key Buffer: Takes configuration data and compares it to the actual indexes found in MyISAM tables. Key cache hit rates are calculated and variable adjustments are suggested.
   * Query Cache: Query cache hit rates and usage percentages are used to make recommendations for the query cache configuration variables.
   * Sorting & Joins: Per-thread buffers that affect sorts and joins are reviewed along with the statistics from the queries run against the server.
   * Temporary Tables: Variable recommendations are made to reduce temporary tables that are written to the disk.
   * Table Cache: Compares total tables opened to the currently open tables. Calculates the table cache hit rate in order to make suggestions.
   * Open Files: Determines if the server will approach or run into the open file limit set by the operating system or the MySQL server itself.
   * Table Locks: Finds table locking that forces queries to wait and makes suggestions for reducing locks that require a wait.
   * Thread Cache: Calculates how many times MySQL must create a new thread to respond to a query.
   * Aborted Connections: Finds applications that are not closing connections to MySQL properly.
   * Read/Write Ratios: Calculates the percentage of read and write operations on your MySQL installation.

Usage:

# ./mysqltuner.pl --help

  MySQLTuner 0.9.0 - MySQL High Performance Tuning Script
  Bug reports, feature requests, and downloads at http://mysqltuner.com/
  Maintained by Major Hayden (major@mhtx.net)

  Important Usage Guidelines:
     To run the script with the default options, run the script without arguments
     Allow MySQL server to run for at least 24-48 hours before trusting suggestions
     Some routines may require root level privileges (script will provide warnings)

  Performance and Reporting Options
     --skipsize       Don't enumerate tables and their types/sizes
                      (Recommended for servers with many tables)
     --skipversion    Don't check for updates to MySQLTuner

  Output Options:
     --nogood         Remove OK responses
     --nobad          Remove negative/suggestion responses
     --noinfo         Remove informational responses
     --nocolor        Don't print output in color

Here is a sample of the script's output on a well optimized server:

>>  MySQLTuner 0.9.0 - Major Hayden
>>  Bug reports, feature requests, and downloads at http://mysqltuner.com/
>>  Run with '–help' for additional options and output filtering

——– General Statistics ————————————————–
[OK] You have the latest version of MySQLTuner
[OK] Currently running supported MySQL version 5.0.51a-log
[OK] Operating on 64-bit architecture

——– Storage Engine Statistics ——————————————-
[--] Status: +Archive -BDB -Federated +InnoDB -ISAM -NDBCluster
[--] Data in MyISAM tables: 491M (Tables: 1424)
[--] Data in InnoDB tables: 9M (Tables: 151)

——– Performance Metrics ————————————————-
[--] Up for: 19d 16h 14m 3s (57M q [33.636 qps], 5M conn, TX: 185B, RX: 5B)
[--] Reads / Writes: 77% / 23%
[--] Total buffers: 2.7M per thread and 606.0M global
[OK] Maximum possible memory usage: 743.5M (37% of installed RAM)
[OK] Slow queries: 0% (81/57M)
[!!] Highest connection usage: 100%  (51/50)
[OK] Key buffer size / total MyISAM indexes: 256.0M/210.9M
[OK] Key buffer hit rate: 99.3%
[OK] Query cache efficiency: 71.4%
[!!] Query cache prunes per day: 2752
[OK] Sorts requiring temporary tables: 0%
[OK] Temporary tables created on disk: 2%
[OK] Thread cache hit rate: 99%
[!!] Table cache hit rate: 2%
[OK] Open file limit used: 4%
[OK] Table locks acquired immediately: 99%
[OK] InnoDB data size / buffer pool: 9.8M/50.0M

——– Recommendations —————————————————–
General recommendations:
   Reduce or eliminate persistent connections to reduce connection usage
   Increase table_cache gradually to avoid file descriptor limits
Variables to adjust:
   max_connections (> 50)
   wait_timeout (< 15)
   interactive_timeout (< 15)
   query_cache_size (> 256M)
   table_cache (> 4096)




mysqlreport

mysqlreport makes a friendly report of important MySQL status values. mysqlreport transforms the values from SHOW STATUS into an easy-to-read report that provides an in-depth understanding of how well MySQL is running. mysqlreport is a better alternative (and practically the only alternative) to manually interpreting SHOW STATUS.

Descargar Perl Script
http://hackmysql.com/scripts/mysqlreport

http://tag1consulting.com/MySQL_Monitoring_and_Tuning

Código (bash) [Seleccionar] Expandir

#!/bin/bash
# Written by James Crow crow.jamesm <at> google email domain name <dot> com
# 2010-09-16
# This script connects to the MythTV mythconverg database to pull
# the two most important tuning parameters. This script only works
# for MyISAM tables at the moment. The only part that needs to be
# configured is the variables at the top of the script
# ver 0.1

# *** Change these to match you environment ***
mysql='/usr/bin/mysql'
mythconverg='mythconverg'
sql_user='mythtv'
sql_pass='mythtv'
sql_host='192.168.1.2'
# *** You should not need to change anything after this line ***

# determine if we are using MyISAM tables
$mysql -h $sql_host -u $sql_user -p$sql_pass $mythconverg -e 'show
create table record' | grep -q MyISAM
myisam=$?

if [ $myisam -ne 0 ]; then
echo "You do not appear to be using MyISAM tables for the myth database"
exit;
fi
#echo $myisam

# The most important tuning parameters are the key_buffer_size and
table_open_cache
# find the key_buffer_size and % in use first
key_blocks_unused=`$mysql -h $sql_host -u $sql_user -p$sql_pass -e
'show status like "key_blocks_unused"' | grep "[Kk]ey_blocks_unused" |
sed 's/[^0-9]//g'`
key_cache_block_size=`$mysql -h $sql_host -u $sql_user -p$sql_pass -e
'show variables like "key_cache_block_size"' | grep
key_cache_block_size | sed 's/[^0-9]//g'`
key_buffer_size=`$mysql -h $sql_host -u $sql_user -p$sql_pass -e 'show
variables like "key_buffer_size"' | grep key_buffer_size | sed
's/[^0-9]//g'`

# using a simple formula from the MySQL doc we get the key_buffer_cache in use
key_buffer_cache_in_use=`echo "scale=2; 1-(($key_blocks_unused *
$key_cache_block_size)/$key_buffer_size)" | bc`
# this next line rounds each value to an even integer, but that is the
best way to display the result
key_buffer_use_pct=`echo "scale=0; $key_buffer_cache_in_use*100" | bc`
key_buffer_use_pct=`echo "($key_buffer_use_pct+0.5)/1" | bc`
#echo "scale=0; $key_buffer_cache_in_use*100"
echo ""
echo "**** key_buffer_cache section *****************************"
if [ $key_buffer_use_pct -eq 100 ]; then
echo "!!!!!! WARNING: You are using 100% of your key_buffer_cache."
echo "                You should raise the value!"
elif [ $key_buffer_use_pct -gt 80 ]; then
echo "NOTE: You are using more than 80% of your key_buffer_cache."
echo "      You may may want to raise the value."
fi
echo "key_buffer_size: $key_buffer_size, $(($key_buffer_size/1024))
kb, $(($key_buffer_size/(1024*1024))) mb"
echo "key_buffer_cache in use: $key_buffer_use_pct%"
echo "***********************************************************"

# the second of two most important variables is the table_open_cache
open_tables=`$mysql -h $sql_host -u $sql_user -p$sql_pass -e 'show
status like "open_tables"' | grep Open_tables | sed 's/[^0-9]//g'`
open_table_cache=`$mysql -h $sql_host -u $sql_user -p$sql_pass -e
'show variables like "table_open_cache"' | grep table_open_cache | sed
's/[^0-9]//g'`
free_tables=$(($open_table_cache-$open_tables))
open_tables_free_pct=`echo "scale=2; $free_tables/$open_table_cache*100" | bc`
open_tables_free_pct=`echo "($open_tables_free_pct+0.5)/1" | bc`
#echo "scale=0; $free_tables/$open_table_cache*100"
echo ""
echo "**** table_open_cache section *****************************"
if [ $free_tables -eq 0 ]; then
echo "!!!!!! WARNING: You have no free tables."
echo "                You should raise the value."
elif [ $open_tables_free_pct -lt 10 ]; then
echo "NOTE: You have less than 10% free in the table_open_cache."
echo "      You may want to raise the value."
fi
echo "table_open_cache: $free_tables free out of $open_table_cache,
$open_tables used"
echo "table_open_cache used pct: $((100-$open_tables_free_pct))%"
echo "***********************************************************"

[Los usuarios nuevos]

Los usuarios no registrados (invitados) no ven ni han visto nunca el botón de buscar.

Editado (Enero 08):

Los usuarios nuevos vuelven a ver el botón buscar gracias a que el buscador usará en su caso el motor de búsqueda de Google.

Los usuarios no registrados (invitados) pueden usar la siguiente URL para buscar en el Foro:

http://foro.elhacker.net/buscar/

Cuando el servidor nota que las cargas son altas se deshabilita automáticamente la opción de buscar para todos los usuarios pero sigue apareciendo el botón de buscar y nos da la posibilidad de usar Google.

   La publicación en Inglés:

   http://www.microsoft.com/technet/community/columns/secmvp/sv0907.mspx

-          La publicación en "latinoamericano":

  http://www.microsoft.com/latam/technet/articulos/articulos_seguridad/2007/septiembre/sv0907.mspx

La latinomericana es una traducción de la inglesa, la orginal, escrita en castellano saldrá en la newsletter technet de este mes

Mirando el log del mod_security he visto varios falsos positivos de gente que ha intentado navegar con el móvil por el foro.

Concretamente han sido un SonyEricssonK750i/R1AA, un SonyEricssonZ520a,  SonyEricssonW800i, un Nokia3300/2.0 y un SonyEricssonK608i/R2T  que por una mala configuración (ya arreglada) el mod_security les impedía el acceso con un molesto Error 403 (Acceso Prohibido).

Por lo visto los móviles no usan las cookies de la misma manera que un navegador y el mod_security se ha hecho un auténtico lío jeje.

Lo dicho, pido disculpas y problema fixed.

Nueva especificación Bluetooth, llamada Core Specification v2.1 + EDR (Enhanced Data Rate).

Uno de los cambios afecta a la seguridad:

Improved pairing also offers "Man in the Middle" protection that in reality eliminates the possiblity for an undetected middle man intercepting information.

Mejoras principales:

    * Mayor facilidad de emparejado, ofreciendo a parte de la tradicional búsqueda por tipo de dispositivo, un nuevo sistema el NFC (Near Field Communication) permitiendo un emparejamiento instantáneo entre dos dispositivos, mejor, ver el vídeo.
    * Mejoras en consumo, gastando 5 veces menos que la versión anterior.
    * Mejoras en seguridad:la tecnología 'eavesdropper' dota a la palabra de paso de 6 dígitos de una seguridad mayor que una de 16dígitos alfanuméricos, además este nuevo método hace imposible que una tercera persona intercepte lo que transmitimos.

Fuente:
http://www.quands.cat/2007/08/05.html#a9109
http://www.noticias3d.com/noticia.asp?idnoticia=20363

[Cómo ver archivos de Photoshop desde el explorador de windows]

Ejemplo:


Cómo ver archivos de Photoshop desde el explorador de windows

Simplemente hay que copiar el dll a la carpeta:

c:\Archivos de programa\Archivos comunes\Adobe\shell\

Y ejecutar el .reg -->

Código [Seleccionar] Expandir

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
"c:\\Archivos de programa\\Archivos comunes\\Adobe\\shell\\psicon.dll"=dword:00000001

[HKEY_CLASSES_ROOT\.psd\ShellEx]

[HKEY_CLASSES_ROOT\.psd\ShellEx\{BB2E617C-0920-11d1-9A0B-00C04FC2D6C1}]
@="{0B6DC6EE-C4FD-11d1-819A-00C04FB69B4D}"

[HKEY_CLASSES_ROOT\CLSID\{0B6DC6EE-C4FD-11d1-819A-00C04FB69B4D}]
@="Photoshop Icon Handler"

[HKEY_CLASSES_ROOT\CLSID\{0B6DC6EE-C4FD-11d1-819A-00C04FB69B4D}\InProcServer32]
@="c:\\Archivos de programa\\Archivos comunes\\Adobe\\shell\\psicon.dll"
"ThreadingModel"="Apartment"

Uno de los sceners más prolíficos y probablemente el español más conocido allende nuestras fronteras dice adiós a la scene. Dark_AleX justifica su despedida por el excesivo consumo de tiempo de esta afición y por evitar posibles acciones legales por parte de Sony, que según algunos rumores ya podrían haberse iniciado. Desde ElOtroLado le damos las gracias por todo lo que ha ofrecido desinteresadamente a la comunidad durante todo este tiempo y le deseamos la mayor de las suertes. Hasta siempre Alex.

Más info:
http://es.wikipedia.org/wiki/Dark_AleX

En fín, una vez más el tiempo y las "presiones" pueden con los hacks, aunque en este caso fuera de consolas y firmwares de la psp.

Una lástima, me parece que los que tenéis una PSP, se os va lo mejor y encima era Español.


Fuente:
http://www.elotrolado.net/vernoticia.php?idnoticia=13522
http://www.dark-alex.org/

[[Sugerencia] Añadir un modo al foro, muy útil]

El mod se llama GeSHi.

http://qbnz.com/highlighter/

¿Cómo se usa?

Escribes el código, lo seleccionas entero y eliges el lenguaje en GeSHi.

Código [Seleccionar] Expandir

[code=perl]my $var = undef;[/code]

Código (perl) [Seleccionar] Expandir

my $var = undef;


Ejemplo:





Lenguajes soportados:

    * Actionscript
    * ADA
    * Apache Log
    * AppleScript
    * ASM
    * ASP
    * Bash
    * C
    * C for Macs
    * C#
    * C++
    * CAD DCL
    * CadLisp
    * CSS
    * Delphi
    * DIV
    * DOS
    * Eiffel
    * FreeBasic
    * GML
    * HTML
    * Inno
    * Java
    * javascript
    * Lisp
    * Lua
    * Microprocessor ASM
    * NSIS
    * Objective C
    * OCaml
    * OpenOffice BASIC
    * Oracle 8 SQL
    * Pascal
    * Perl
    * PHP
    * Python
    * Q(uick)BASIC
    * Ruby
    * Scheme
    * SDLBasic
    * Smarty
    * SQL
    * VB.NET
    * Visual BASIC
    * Visual Fox Pro
    * XML

Sugerencia de un usuario:

[Sugerencia] Añadir un modo al foro, muy útil
http://foro.elhacker.net/index.php/topic,106775.0.html

Robert Koster y Yamamoto han sido declarados culpable por un juez de California por la venta de software Rockwell pirateado en eBay por un valor de 6 millones de Dolares.
Koster ha admintido que en el mes de Septiembre del 2003 inició hasta 105 subastas en eBay de las cuales vendió software Rockwell pirateado, teniendo unas ganancias por las ventas de 23.000 Dolares (Su precio real de este software asciende a 5 millones de Dolares).

Yamamoto ha admintido que en diciembre del 2003 hasta agosto del 2004 inició como unas 92 subastas de las cuales se hizo con un beneficio de 6.000 Dolares (el precio real del software era de 543.000 Dolares).
Los culpables hacen frente a una pena de 5 años de carcel con una multa de 250.000 Dolares, los demandados serán condenados antes del mes de Septiembre de este año.

Fuente:
http://noticiastech.com/wordpress/?p=3399

[Mejorar el buscador del foro]

Finalmente se va a mejorar el buscador del foro porque se está creando un gran index para que funcione mejor y más rápido.

El problema es que crear el index lleva algo de tiempo, pero en máximo 1 semana estará disponible.

Aquí la explicación en inglés:

A search index can greatly improve the performance of searches on your forum. Especially when the number of messages on a forum grows bigger, searching without an index can take a long time and increase the pressure on your database. If your forum is bigger than 50.000 messages, you might want to consider creating a search index to assure peak performance of your forum.

Note that a search index can take up quite some space. A fulltext index is a built-in index of MySQL. It's relatively compact (approximately the same size as the message table), but a lot of words aren't indexed and it can, in some search queries, turn out to be very slow. The custom index is often bigger (depending on your configuration it can be up to 3 times the size of the messages table) but it's performance is better than fulltext and relatively stable.

Esto ya se comentó aquí:

Mejorar el buscador del foro
http://foro.elhacker.net/index.php/topic,161373.0.html

Pero finalmente por problemas de espacio no se llevo a cabo. Ahora, una vez solucionados si se llevará a cabo.

Por entonces la tabla índice ocupaba 266MB cuándo sólo estaba completada en 35%.

Usando Photoshop.

Video:

http://sclipo.com/controller.php?p_action=view_detail&video_id=YWZ2H6Q1F2

[estás infectado por un Virus]

Si has recibido un mensaje en el Messenger y has abierto un archivo bush.exe

mira esta animacion de bush

Ahora estás infectado por un Virus (varias variantes).

Win32/VB.NHI  ||  Win32/VB.NKS  ||  MSNDiablo.A

Este virus ataca el foro de elhacker.net. Los infectados mandan el texto con la supuesta animación de bush.exe a TODOS los contactos del Messenger y así se propaga este gusano.

Si te han salido carteles con encabezado: Microsoft Internet Explorer.
En los que pone:

Haz cilck en Aceptar para entrar al foro.

Haz cilck en Aceptar para entrar al foro del ehacker.net.

Es porque era un a protección en javascript para intentar detener el ataque en el foro. El atacante ha usado tu ordenador para visitar el foro repetidamente y saturarlo.

Si alguno de tus contactos te quiere enviar la animación bush.exe, copia la URL de la descarga del bush.exe o haz una captura de pantalla con la tecla Impr-PetSis  (pegar en el Word) y envíamos una copia del bush.exe o de la captura a la dirección de correo:

staff |arroba| elhacker |punto| net

Desinfección

Usa antivirus on-line vía web rápido de Panda:

http://www.nanoscan.com/

Vacuna:
ELISTARA.25052007.EXE

Otros:
http://www.pandasoftware.es/productos/activescan

Más información sobre el virus y sus variantes:

Notas de prensa de compañías Antivirus (nod32):

Nuevo gusano de MSN con textos en español sobre Bush
http://www.vsantivirus.com/05-05-07.htm

VB.NJL. Se propaga vía Messenger (Bush-gracioso.exe)
http://www.vsantivirus.com/vb-njl.htm

VB.NKS. Se propaga por Messenger como película de Bush
http://www.vsantivirus.com/vb-nks.htm

Un virus que se distribuye por Messenger asalta a españoles y latinoamericanos
http://www.20minutos.es/noticia/276078/0/alerta/virus/messenger/

Info:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=6838
http://www.pandasoftware.com/spain/virus_info/enciclopedia/verficha.aspx?idvirus=160139&sind=0

Vacuna:
http://fileinfo.prevx.com/fileinfo.asp?PXC=c7ca72518194



Preguntas-Respuestas sobre el virus bush.exe

- ¿Qué hace el virus?

El virus ataca al foro de elhacker.net, pero de manera silenciosa (sin que el usuario infectado se de cuenta de nada).

Se propaga enviando el mensaje de hey, mira esta animación de bush a todos los contactos del Messenger. Los nuevos infectados hacen lo mismo y así sucesivamente.

Hemos detectado miles de ordenadores infectados intentan acceder al foro y lo colapsan (por eso el foro ha funcionado mal durante estos últimos días) y habían 1.000-2.000 invitados en e foro.

- ¿Qué relación hay entre el virus bush.exe y elhacker.net?

Ninguna, simplemente que el virus has sido crear para floodear y colapsar el foro de elhacker.net.

Finalmente la única solución (contramedida) contra el virus es una pantalla como esta:



Sirve para validar que eres "humano" y que no estás infectado por el virus. Es decir, intentas entrar al foro navegando y no por culpa del virus. Simplemente aparece únicamente la primera vez que visitas el foro.

A diferencia del primer mensaje "Haz click en aceptar para entrar al foro", era un alert de JS que sí se les mostraba a los infectados y por eso al final aceptaban la cookie y la contramedida no servía.



Por lo visto las personas infectadas por el virus hacian click en aceptar (aún no sabiendo de donde procedía la ventana).

[Explicación del ataque DDoS]

Explicación del ataque DDoS

El ataque en imágenes (Gráficos del tráfico)



Duración del ataque: Viernes 4 , sábado 5 y domingo 6 Mayo 2007.

Método del ataque

Petición GET /index.php con 2.000 zombies cada 20 minutos aproximadamente.

Simplemente un "GET", es una llamada del navegador al index del foro. Es decir, muchos zombies visitando la página principal del foro.

Impacto

¿Qué ocurre?

Tantas peticiones seguidas y de diferentes ip's al index del foro hacen que el MySQL del foro se colapse y el foro no funcione.

Solución

Primero se deshabilitó que los Visitantes (usuarios no registrados) pudieran navegar por el foro. Por eso salían 2.000-3.000 usuarios visitantes on-line en el foro.

Este método es efectivo, pero sigue consumiendo muchos recursos (hace consultas al MySQL para contar los invitados).

El acceso al foro para invitados está siempre activado (sólo se activa automáticamente en caso de ataque).

Buscando otra solución....

¿Cómo distinguir si la persona que entra al foro es usuario normal o es un zombie?

Busquemos un patrón:

- HTTP_Referer --> Nulo, entran directamente. Y un visitante normal también es posible que entre directamente (desde favoritos, etc).

- Sistema Operativo --> la mayoría de los bots usan Windows XP, pero no podemos decirle al foro que no deje entrar usuarios con Windows XP jeje

- Navegador --> los zombies usan Internet Explorer con diferentes versiones, pero de nuevo no podemos denegar el acceso a TODOS los que usen el IE.

¿Cómo lo hacemos?

javascript "alert" (ventanita que requiere confirmación por parte del usuario) que se carga al principio del foro y "verifica" si la petición es "humana" o no. Si es un bot (no humana) no sabe hacer click en aceptar y se queda a la espera (no se carga el index del foro y por lo tanto no consume recursos).



Si aceptas se guarda una cookie que verifica "tu humanidad". Si no eres bot, puedes ver el foro.

Esta ventana solo aparece una vez, la primera vez que entras al foro (a no ser que borres las cookies), aunque ayer saliera repetidamente, ya que se estaban realizando pruebas.

¿Porqué hay tantos infectados?

El método de infección es vía Messenger.

Si alguien cree que está infectado o tiene muestras del posible virus que envie la muestra a staff@elhacker.net para su posterior análisis. Gracias.

Estado actual

Solucionado con JS.

¿Hasta cuándo?

Hasta que el atacante se canse.

¿Quién ha sido?

No se sabe, ¿hay miedo a decirlo por posibles represalias? xD

Ya está disponible la actualización para PS3 que nos permitirá hacer funcionar a los juegos de PSOne que se descarguen desde la PS Store, cosa que por ahora sólo ocurre en tierras niponas, pero que llegará en breve a Europa y Estados Unidos.Se habilitan las funciones de vibración para los accesorios de las anteriores consolas. Así que a los que les apetezca probar cualquier título que tenga la opción de vibración, lo podrán hacer utilizando estos accesorios de las anteriores versiones. Además se amplia la retro-compatibilidad con juegos de PS2.

Fuente:
http://www.elotrolado.net/vernoticia.php?idnoticia=13132

http://wooledge.org/mywiki/BashFaq

[No soy yo.]

La cuenta de correo el-brujo@live.com que agrega a personas del Foro -->

No soy yo.

Es algún imitador timador xD  :rolleyes:

[26 de enero]

Desde el viernes 26 de enero ni la web ni el foro han funcionado correctamente por el masivo ataque, con una botnet, de una banda de argentinos que no tienen nada mejor que hacer.

No queremos decir nombres para no dar publicidad a "criminales" que no se lo merecen.

Están lanzando un DDoS hacia elhacker.net de hasta 18 mb por segundo de Syn Flood  y por ese motivo el foro y la web han permacido off-line.

Calculamos que más de 40.000 zombies (máquinas infectadas) han atacado el foro.

Lamentamos profundamente las drásticas medidas que se van a tomar contra las personas que están DoSeado al foro.

Los atacantes han usado el Messenger para propagar su virus/gusando a través de ejecutable (bush-gracioso.exe) e infectar a miles de computadores que atacan, sin saberlo, al foro.

Nuevo gusano de MSN con textos en español sobre Bush
http://www.vsantivirus.com/05-05-07.htm

VB.NJL. Se propaga vía Messenger (Bush-gracioso.exe)
http://www.vsantivirus.com/vb-njl.htm

A partir del 12 de Marzo se puede navegar por el foro sin usar los webproxys y volvemos a funcionar con relativa normalidad a la espera de nuevas noticias.

El viernes 16 de marzo volvemos a los "problemas" y durante el  fin de semana (17-18 de marzo) se hace imposible navegar por el foro).

El Miércoles 21 de marzo el foro permanece off-line todo el día por un problema de hardware.

Hoy día 22 de Marzo el foro vuelve a funcionar con normalidad.

Agradecemos a los miembros del foro por sus ánimos y apoyo.

Disculpad las molestias ocasionadas.

[última versión estable]

El foro se ha actualizado a la última versión estable y disponible del SMF.

El proceso ha sido bastante largo y doloroso xDDD

Renovarse o morir

Algunos cambios en las tablas para mejorar el rendimiento del foro pues han sido muy largos, de horas, debido a a cantidad de mensajes y de usuarios.

Hay nuevas opciones, funcionalidades, mejoras de estabilidad, etc.

Ejemplos de las novedades:

- Se puede hacer búsquedas en tus mensajes privados.
- Te indica el porcentaje % de espacio que te quedan para los mensajes privados
- Buscador más rápido
- Te sale si has contestado ya a un mensaje privado (mirar el icono)
- Si vas a contestar un tema viejo te sale una advertencia.


Cualquier fallo, podéis comentarlo aquí mismo 

Fallos más comunes:

1) - Traducción al Español (cosas sin traducir, errores de ortografía, etc).
2) - Errores de Plantilla o se ve diferente que antes.
3) - Imágenes que no se vean.

Errores Solucionados:

1) Emoticones repetidos
2) Marcar temas leídos y no leídos ya funcionaba (daba error de sesión)
3)Imagen "nuevo" lleva al primer mensaje, no al último.
4) Traducir la Ayuda.

Por Solucionar:

1) Estadísticas de cada usuario "locas".
2) Imagen para registrarse no se ve (desactivada temporalmente).


El funcionamiento del foro en general debería ser correcto. Ni se han perdido mensajes, ni se ha borrado nada.

Gracias por vuestra paciencia y disfrutar del foro, como si estuviérais en vuestra casa 

[botnet]

El foro está siendo atacado con una botnet de miles de máquinas zombies y funciona realmente mal a ratos....

La navegación por el foro fue restringida temporalmente únicamente a los miembros registrados.

Inicio --> 16 de septiembre Sábado
Final --> 27 de septiembre Miercóles.

Gracias por vuestra comprensión y disculpad las molestias.

[nVidia Vs ATI]

v 2.0 Octubre '09

Por Artikbot y el-brujo

nVidia Vs ATI

En éste post enseñaré las tarjetas gráficas de que dispone nuestro mercado, con comparativas y precios.
Pondré una solución por precio y marca, siguiendo el siguiente esquema:
Precio: nVidia - ATi
Primero enumeraré las GPU's para PCI-Express, y después un breve comentario sobre las AGP
Observaréis que en el segmento de los 500€ no hay gráficas ATi, es porque no ofrece soluciones para sobremesas en segmentos superiores (de precio, no rendimiento ;))

GAMA INFIERNO-SUBSUELO: 30~50€
30€: nVidia GeForce 7300 128MB – Ati Radeon HD3450 256MB
50€: nVidia GeForce GT220 256MB GDDR2 – Ati Radeon HD4550 256MB

GAMA BAJA-MEDIA: 70~100€
70€: Ati Radeon 5670 512MB GDDR3
80~90€: Ati Radeon HD4850 512MB GDDR3

GAMA MEDIA: 110~170€
110€: nVidia GeForce GTS250 512MB – Ati Radeon HD5750 1GB GDDR3
150€: Ati Radeon HD6850
170€: nVidia GeForce GTX460


GAMA ALTA: 200~500€
190~210€: nVIDIA GTX470 - Radeon HD6870
300€: SLi nVIDIA GTX 460 - CFX Radeon HD6850
350~450€: nVidia GTX480 -CFX Radeon HD6870
500~muchos €: nVidia GTX580 - Radeon HD6990 (still to be launched, ETA enero '11)


Como os habréis fijado y toda mente curiosa piensa, ¿cómo es que la mayoría de GPU's aquí expuestas son de 256MB en vez de 512, que bien las hay?
Principalmente, porque cuando de 256MB a 512 va un incremento de 5€ sobre el precio, es obvio que las memorias que montan esas GPU's son más baratas (con consecuencia más lentas) para poder mantener los precios, y de paso impresionar ( y engañar) al consumidor no experimentado.

No pongo los buses, ya que los comento ahora:
En el primer segmento el bus es de 128 bits.
En los segmentos que le siguen son de 256 bits mayoritariamente excepto casos excepcionales de 448 bits.
En el último segmento son de 256 y 512 bits para la ATi y de 448 y 512 bits para las nVidia.

El mercado AGP es algo más limitado, pero lo pongo porque son muchos los usuarios (Artikbot entre ellos) que tienen esos buses.

Pongo un solo segmento, ya que es el único que vale la pena.

GAMA ALTA (para bus AGP) 100~200€:

100€: nVidia GeForce 7600GT 256MB – Ati Radeon X1600 256MB
130€: - - Ati Radeon HD3850 256MB
160€: nVidia GeForce 7800GT 256MB – Ati Radeon HD2600XT 256MB
170~200€: nVidia GeForce 7950GT 512MB – Ati Radeon X1950XT 512MB

Estos buses son todos de 128 bits excepto el último segmento que son de 256 bits, y las memorias son de GDDR2 el primer tramo y GDDR3 las de los otros tramos.

Aclaración sobre el tipo de memorias:
Cuanto más alto sea el tipo de memoria, más rápida será ésta.
También influye el tiempo de acceso de la memoria, que en las más modernas es de 1ns (nanosegundo, billonésima parte de un segundo). Este dato no está especificado en la caja, y sólo se puede reconocer mirando directamente las memorias.

En este mismo subforo hay una guía más extensa sobre las memorias y los buses, no dejéis de echare un vistazo.

Respecto a la calidad/precio, decir que ahora mismo las GPUs que dominan son las que utilizan el núcleo procesador G92 y G94 de nVidia, y el RV870 de ATi; Por tanto las 8800GT 256/512MB, 8800GTS 512MB, 8800GS 384MB, HD3850 256MB, HD3870 512MB y HD3870X2 1GB. Recientemente se nos unen las modernas GTX y HD4xxx, que son lo que en teoría rinde más, si bien en nVidia las 9800GT/9600GT/8800GT siguen siendo las que tienen mejor calidad precio.

(Actualización realizada por el-brujo conjuntamente con Artikbot)
Salu2 y que esta guía os sea muy útil a los que queráis adquirir una tarjeta gráfica en estos momentos.

Izquierda VGA - Derecha DVI

Consumo

Nvidia GeForce 7950 GX2 -->¡¡¡¡¡¡ 143 Watts !!!!
Nvidia GeForce 7300 GS --> 16 Watts

La nueva GPU R600 de ATI consumirá 250 Watios
http://es.theinquirer.net/2006/09/18/el_r600_de_ati_consumira_250w.html

Core clock y memory clock

Serie 6800 de Nvidia en versiones PCI Express, por ejemplo, presenta los siguientes valores:

Tarjeta Core clock Memory clock
6800 XT 325 700
6800 325 600
6800 GTO 350 900
6800 GS 425 1000
6800 GT 350 1000
6800 Ultra 400 1100

- Tecnología SLI de NVIDIA
- Tecnología Crossfire de ATI

El SLI (Scalable Link Interface), es una tecnología desarrollada por Nvidia que permite combinar varias GPU NVIDIA en un mismo sistema para incrementar drásticamente el rendimiento. Actúa aumentando la capacidad de cálculo geométrico y la tasa de relleno de forma inteligente para adaptarlas a la presencia de dos GPU.

SLI está diseñada para el bus PCI Express y solo se puede utilizar con tarjetas compatibles e idénticas entre si.





- Mucho consumo fuente alimentación.
- Tarjetas gráficas idénticas (las 2).
- Placa base que soprote SLI o CrossFire.




Fuente:
http://www.xbitlabs.com/articles/video/display/power-noise_3.html

Overcloking

Primera parte, overclock con Riva Tuner en ATi
Segunda parte, overclock con Riva Tuner en nVidia
Tercera parte, overclock con ATiTool

Guía -Overclocking en Gráficas-
http://foro.elhacker.net/hardware/guia_overclocking_en_graficas-t203500.0.html

- RivaTuner
Nació con las TNT, pero es compatoble con las GPU's actuales. También soporta ATI Radeon 8500 y superiores

RivaTuner es una potente utilidad gratuita (para uso no comercial) que permite configurar numerosos aspectos de tu tarjeta 3D con chipset NVIDIA.

Es compatible prácticamente con todas las versiones de Detonator y permite realizar multitud de cambios que van desde overclockear la velocidad principal de la tarjeta (y de la memoria de la misma), detectar la velocidad y activar el AGP, crear un informe de tu sistema gráfico (tarjeta 3D, datos de AGP, velocidad core y de memoria, etc.), activar o desactivar VSync (sincronización vertical), modificar la configuración de DirectDraw y OpenGL, etc.

Un programa extremadamente completo, probablemente el mejor de su clase, pero mucho ojito con lo que haces con él, si desconoces para qué sirve esto o aquello mejor no lo toques, ya que puedes dañar tu tarjeta gráfica.





Rivatuner 2.08 (2,3 MB)
http://files.guru3d.info/guru3d/rivatuner/RivaTuner208-%5BGuru3D.com%5D.exe

RivaTuner 2.0 RC 15.8 (1,1 MB)
http://www.techpowerup.com/downloads/11a/RivaTuner20RC158.exe

Rivatuner 2.01 (2,1 MB)
http://194.71.11.70/pub/games/PC/guru3d/rivatuner/RivaTuner201-%5Bguru3d.com%5D.exe

Mirrors:
http://downloads.guru3d.com/download.php?det=163#download

- Rage3D Tweak
Nació para las Matrox, pero ahora es para las ATI's Radeon.

Rage3D Tweak es una utilidad para acceder a opciones avanzadas de las tarjetas Radeon.

Permite acceso a ratios de resfresco, overclocking y modos propios de resolución.

Soporta las siguientes tarjetas gráficas:
• Radeon LE/VE/SDR/DDR/AIW

• Radeon 7000/7200/7500/AIW 7500/7800

• Radeon 8500(LE/LELE)/8500DV/8500eXP/8800

• Radeon 9xxx

• Mobility Radeon



Rage3D Tweak CCC v1.1 (Catalyst 5.10). (1,5 MB)
http://rage3d.com/r3dtweak/dload/Rage3DTweakCCC_1.1_Cat5.10.zip

- PowerStrip
Compatible con casi todas las tarjetas gráficas del mercado.





PowerStrip 3.77 (1,2 MB)
http://www.entechtaiwan.net/files/pstrip-i.exe

- ATI Tool
Conocida y utilizada utilidad de Tweaking de nuestra tarjeta gráfica que, a pesar de su nombre, soporta también a muchas funciones y modelos de Nvidia. Con este podemos ver las temperaturas de nuestra tarjeta gráfica, siempre que tenga un sensor y esté documentado, claro. La velocidad de sus ventiladores, practicar overclock y ver información de nuestra VGA.

Para linux está el NVClock.

ATi Tray Tools build 1.2.6.955
http://www.guru3d.com/newsitem.php?id=4514

ATi Tray Tools v1.2.6.940 (1 MB)
http://www.radeon2.ru/atitray/attsetup.exe

ATITool 0.25 Beta 15 (1,2 MB)
http://www.techpowerup.com/downloads/341a/ATITool_0.25b15.exe

ATI Tool 0.26
http://www.techpowerup.com/downloads/436j/ATITool_0.26.exe


- RaBiT Bios Editor v1.7
http://www.techpowerup.com/downloads/9a/RaBiT-1.7.rar

RaBiT (Radeon ATI BIOS Tuner) is a BIOS Info/Editor utility designed for all ATI Radeon Graphic Cards. This Tool is designed to give you as much details as possible about an ATI BIOS. As it is know, the ATI Radeon 9800 Pro Card could easily be flashed to a Raden 9800 XT. And basically therefore the RaBiT utility is very usefull to check your Original BIOS and also the BIOS you would like to use to flash you ATI Card with.

- SpeedFan 4.32
http://www.almico.com/speedfan432.exe

Programa que controla las temperaturas, voltajes y revoluciones de nuestro equipo.



- GPU-Z



GPU-Z es un programa muy similar a CPU-Z, también gratuito, que persigue la finalidad de informar al usuario de forma muy fácil sobre los datos de su tarjeta gráfica, mostrando varios parámetros juntos que hasta la fecha normalmente requerían más de una aplicación o como mínimo tener una buena instalada y actualizada. En cambio este programa de poco más de 350 KB es un autojecutable. Ideal para la primera prueba cuando nos hemos comprado una VGA nueva y queremos comprobar sus características.

GPU-Z v0.2.5
http://dl6.techpowerup.com//SysInfo/GPU-Z/GPU-Z.0.2.5.exe

Drivers

Drivers NVIDIA ForceWare

NVIDIA ForceWare son drivers creados para tarjetas NVIDIA con los que se consigue optimizar y ofrecer nuevas prestaciones bajo OpenGL y DirectX.

Entre algunas de las tarjetas afortunadas para las cuales se han creado estos drivers se encuentran las TNT, GeForce2, GeForce3, GeForce4, Vanta, etc.

NVIDIA promete que estos drivers aumentan el rendimiento de las tarjetas con chipset NVIDIA hasta un 25% tanto bajo DirectX como OpenGL.

http://es.nvidia.com/page/drivers.html

http://www.wilkinsonpc.com.co/soporte/drivers-tarjetas-de-video-nvidia.html


ATi Catalyst



Drivers Ati

1) Eliges tu sistema operativo
2) Elige tu modelo de tarjeta gráfica

http://ati.amd.com/support/driver.html

ATi Catalyst Software Suite 7.6 (2K/XP) (36MB)
Incluye Software + Drivers

ATi Catalyst Drivers 7.6 (2K/XP) (14 MB)
Sólo incluye drivers sin utilidades.

Avivo Video Converter >
https://support.ati.com/ics/support/default.asp?deptID=894&task=knowledge&questionID=21793


Drivers en Linux

En Tom's Hardware realizan una comparativa entre la Radeon X1900 XTX y la GeForce 7800 GTX bajo Fedora Core 5 para comprobar la madurez de los controladores respecto a los existentes en Windows.

Enlace:
http://www.tomshardware.com/2006/07/12/geforce_and_radeon_take_on_linux/

¿Una Xbox 360 portátil con pantalla LCD de 17", refrigeración líquida, teclado, hub USB, WiFi, salidas de vídeo...? Eso es lo que ha construido un apasionado del modding tras tres meses de trabajo, si alguien más quiere intentarlo aquí tenéis el "making off" y el resultado final.

Fuente:
http://www.elotrolado.net/vernoticia.php?idnoticia=11557&s=

http://benheck.com/Games/Xbox360/x360_page_5.htm

[Contenidos:]

Descarga:

http://www.hirensbootcd.org/files/Hirens.BootCD.15.1.zip

HBCD

CD con autoarranque para DOS con una sensacional recopilación de utilidades.

¿Te aparecen pantallas azules en Windows?  Puedes comprobar que no sea la memoria RAM.

¿Tu disco duro te da errores? Puedes escanear el disco duro en busca de errores y recuperar sectores defectuosos.

¿Has eliminado un archivo importante de la papelera? Recupéralo sencillamente con las utilidades que trae el Hiren's BootCD.

Hirens Boot CD es un CD autoarrancable que contiene todas las utilidades necesarias para el arranque del sistema después de un fallo grave. Contiene la mayoría de las aplicaciones de mantenimiento de sistemas: diagnóstico y análisis del sistema, antivirus, gestión de particiones, herramientas de recuperación de datos,...
Cuando arrancas el ordenador con el CD te aparece un menú con el que podrás ejecutar cualquiera de las siguientes aplicaciones:

  1. Particionamiento de Unidades de Almacenamiento
         * Partition Magic 8.2
         * Paragon Partition Manager 5.5
         * Partition Commander 8.01
         * Ranish Partition Manager 2.44
         * The Partition Resizer v1.3.4
         * Smart Fdisk 2.05
         * SPecial Fdisk
         * eXtended Fdisk
  2. Clonación de Discos
         * Drive Image 2002
         * Norton Ghost 8.0
         * Partition saber 2.80
  3. Antivirus
         * F-Prot Antivirus 3.14e
         * McAfee Antivirus 4.32
  4. Herramientas de Recuperación de Información
         * Offline NT/2K/XP Password Changer
         * Active Partition Recovery 2.1
         * Active Uneraser 2.1.1
         * Ontrack Easy Recovery Pro 6.3
         * Winternals Disk Commander 1.1
         * TestDisk 4.5.
         * Lost & Found 1.06
  5. Herramientas de Análisis y Diagnóstico
         * DocMemory 2.0
         * GoldMemory 5.07
         * Memtest 2.00
         * System Speed Test 4.78
         * PC-Check 5.50
         * The Troubleshooter 5.02
         * PC Doctor 3.0
         * Test Cpu/Video/Disk 5.6
  6. Herramientas para Discos Duros
         * Seagate Seatools Desktop Edition 2.10
         * Western Digital Data Lifeguard Tools
         * Maxtor PowerMax 4.6
         * Fujitsu HDD Diagnostic Tool 6.10
         * Samsung HDD Utility 1.11
         * IBM/Hitachi Drive Fitness Test
         * MHDD 2.9
         * HDD Regenerator 1.41
         * Ontrack Disk Manager 9.57
         * Norton Disk Doctor 2002
         * Norton Disk Editor 2002
         * Active Kill Disk 1.1
         * SmartUDM 2.00
  7. Herramientas de Análisis de Sistemas
         * Aida16 2.12
         * PCI and AGP info Tool
         * System Analyser version 5.3b
         * Navrátil Software System Information 0.58
         * Astra 4.20
         * HwInfo 4.93
         * PC-Config 9.33
         * SysChk 2.46
  8. Gestores de Ficheros DOS
         * Volkov Commander 4.99
         * Dos Command Center 5.1
         * File Wizard 1.35
         * File Maven 3.5
         * FastLynx 2.0
         * LapLink 5.0
         * Mini Windows 3.11
  9. Otras Herramientas
         * DosCDroast beta 2
         * Ontrack Data Advisor 5.0
         * Bootmagic 8.0
         * Picture Viewer 1.94
         * QuickView Pro 2.51
         * Universal TCP/IP Network 4.80
         * NTFS Dos Pro 5.0
 10. Herramientas DOS
         * NTFS Dos Pro 5.0
         * USB CD-Rom Driver 1
         * Universal USB Driver 2
         * Interlnk support at COM1
         * Interlnk support at LPT1
         * Otras herramientas del DOS
 11. Herramientas Windows
         * SpaceMonger 1.4
         * Drive Temperature 1.0
         * Disk Speed1.0
         * MemTest 1.0
         * PageDfrg 2.21
         * Split Join 1.3.3
         * Ghost Image Explorer 7.0
         * DriveImage Explorer 5.0
         * Active File Recovery 2.0
         * Restoration 2.5.14
         * Startup Control Panel 2.8
         * TCPView 2.34
         * Unknown Devices 1.2
         * Ad-Aware 6.181

Muy recomendado.

Código [Seleccionar] Expandir

Partition Tools
Partition Magic Pro 8.05
Best software to partition hard drive

Acronis Disk Director 10.0.2160
Popular disk management functions in a single suite

Paragon Partition Manager 7.0.1274
Universal tool for partitions

Partition Commander 9.01
The safe way to partition your hard drive,with undo feature

Ranish Partition Manager 2.44
a boot manager and hard disk partitioner.

The Partition Resizer 1.3.4
move and resize your partitions in one step and more.

Smart Fdisk 2.05
a simple harddisk partition manager

SPecial Fdisk 2000.03v
SPFDISK a partition tool.

eXtended Fdisk 0.9.3
XFDISK allows easy partition creation and edition

GDisk 1.1.1
Complete replacement for the DOS FDISK utility and more.

Super Fdisk 1.0
Create, delete, format partitions drives without destroying data.

Partition Table Editor 8.0
Partition Table and Boot Record Editor

EASEUS Partition Master 4.0.1
Partition Resize/Move/Copy/Create/Delete/Format/Convert, Explore, etc.

Backup Tools
ImageCenter 5.6 (Drive Image 2002)
Best software to clone hard drive

Norton Ghost 11.5
Similar to Drive Image (with usb/scsi support)

Acronis True Image 8.1.945
Create an exact disk image for complete system backup and disk cloning.

Partition Saving 3.71
A tool to backup/restore partitions. (SavePart.exe)

COPYR.DMA Build013
A Tool for making copies of hard disks with bad sectors

DriveImageXML 2.02
backup any drive/partition to an image file, even if the drive is currently in use

Drive SnapShot 1.39
creates an exact Disk Image of your system into a file while windows is running.

Ghost Image Explorer 11.5
to add/remove/extract files from Ghost image file

DriveImage Explorer 5.0
to add/remove/extract files from Drive image file

WhitSoft File Splitter 4.5a
a Small File Split-Join Tool

InfraRecorder 0.50
An Open source CD/DVD burning software, also create/burn .iso images

FastCopy 1.99r4
The Fastest Copy/Delete Software on Windows

Smart Driver Backup 2.12
Easy backup of your Windows device drivers (also works from PE)

Double Driver 2.1
Driver Backup and Restore tool

DriverBackup! 1.0.3
Another handy tool to backup drivers

Recovery Tools
Active Partition Recovery 3.0
To Recover a Deleted partition.

Active Uneraser 3.0
To recover deleted files and folders on FAT and NTFS systems.

Ontrack Easy Recovery Pro 6.10
To Recover data that has been deleted/virus attack

Winternals Disk Commander 1.1
more than just a standard deleted-file recovery utility

TestDisk 6.11.3
Tool to check and undelete partition from Dos/Windows

Lost & Found 1.06
a good old data recovery software.

DiyDataRecovery Diskpatch 2.1.100
An excellent data recovery software.

Prosoft Media Tools 5.0 v1.1.2.64
Another excellent data recovery software with many other options.

PhotoRec 6.11.3
Tool to Recover File and pictures from Dos/Windows

Active Undelete 5.5
a tool to recover deleted files

Restoration 3.2.13
a tool to recover deleted files

GetDataBack for FAT 4.0
Data recovery software for FAT file systems

GetDataBack for NTFS 4.0
Data recovery software for NTFS file systems

Recuva 1.29.429
Restore deleted files from Hard Drive, Digital Camera Memory Card, usb mp3 player...

Partition Find and Mount 2.3.1
Partition Find and Mount software is designed to find lost or deleted partitions

Unstoppable Copier 4.2
Allows you to copy files from disks with problems such as bad sectors,
scratches or that just give errors when reading data.

Testing Tools
System Speed Test 4.78
it tests CPU, harddrive, ect.

PC-Check 6.05
Easy to use hardware tests

Ontrack Data Advisor 5.0
Powerful diagnostic tool for assessing the condition of your computer

The Troubleshooter 7.02
all kind of hardware testing tool

PC Doctor 2004
a benchmarking and information tool

CPU/Video/Disk Performance Test 5.7
a tool to test cpu, video, and disk

Test Hard Disk Drive 1.0
a tool to test Hard Disk Drive

Disk Speed1.0
Hard Disk Drive Speed Testing Tool

S&M Stress Test 1.9.1
cpu/hdd/memory benchmarking and information tool, including temperatures/fan speeds/voltages

IsMyLcdOK (Monitor Test) 1.02
Allows you to test CRT/LCD/TFT screens for dead pixels and diffective screens

RAM (Memory) Testing Tools
GoldMemory 5.07
RAM Test utility

Memtest86+ 2.11
PC Memory Test

MemTest 1.0
a Memory Testing Tool

Video Memory Stress Test 1.7.116
a tool to thoroughly test your video RAM for errors and faults

Hard Disk Tools
Hard Disk Diagnostic Utilities
Seagate Seatools Graphical v2.13b
SeaTools for Dos 1.10
Western Digital Data Lifeguard Tools 11.2
Western Digital Diagnostics (DLGDIAG) 5.04f
Maxtor PowerMax 4.23
Maxtor amset utility 4.0
Maxtor(or any Hdd) Low Level Formatter 1.1
Fujitsu HDD Diagnostic Tool 7.00
Fujitsu IDE Low Level Format 1.0
Samsung HDD Utility(HUTIL) 2.10
Samsung Disk Diagnose (SHDIAG) 1.28
Samsung The Drive Diagnostic Utility (ESTOOL) 3.00g
IBM/Hitachi Drive Fitness Test 4.15
IBM/Hitachi Feature Tool 2.13
Gateway GwScan 5.12
ExcelStor's ESTest 4.50
MHDD 4.6
WDClear 1.30
Toshiba Hard Disk Diagnostic 2.00b

HDD Regenerator 1.71
to recover a bad hard drive

HDAT2 4.53
main function is testing and repair (regenerates) bad sectors for detected devices

Ontrack Disk Manager 9.57
Disk Test/Format/Maintenance tool.

Norton Disk Doctor 2002
a tool to repair a damaged disk, or to diagnose your hard drive.

Norton Disk Editor 2002
a powerful disk editing, manual data recovery tool.

Hard Disk Sentinel 0.04
Hard Disk health, performance and temperature monitoring tool.

Active Kill Disk 4.1
Securely overwrites and destroys all data on physical drive.

SmartUDM 2.00
Hard Disk Drive S.M.A.R.T. Viewer.

Victoria 3.33e and 3.52rus
a freeware program for low-level HDD diagnostics

HDD Erase 4.0
Secure erase using a special feature built into most newer hard drives

HDD Scan 3.2
HDDScan is a Low-level HDD diagnostic tool, it scans surface find bad sectors etc.

HDTune 2.55
Hard disk benchmarking and information tool.

Data Shredder 1.0
A tool to Erase disk and files (also wipe free space) securely

System Information Tools
PCI and AGP info Tool (2908)
The PCI System information & Exploration tool.

System Analyser 5.3w
View extensive information about your hardware

Navratil Software System Information 0.60.32
High-end professional system information tool

Astra 5.43
Advanced System info Tool and Reporting Assistant

HWiNFO 5.3.0
a powerful system information utility

PC-Config 9.33
Complete hardware detection of your computer

SysChk 2.46
Find out exactly what is under the hood of your PC

CPU Identification utility 1.17
Detailed information on CPU (CHKCPU.EXE)

CTIA CPU Information 2.7
another CPU information tool

Drive Temperature 1.0
Hard Disk Drive temperature meter

PC Wizard 2009.1.90
Powerful system information/benchmark utility designed especially for detection of hardware.

SIW 2009-07-28
Gathers detailed information about your system properties and settings.

CPU-Z 1.52
It gathers information on some of the main devices of your system

PCI 32 Sniffer 1.4 (2908)
device information tool (similar to unknown devices)

Unknown Devices 1.2 (2908)
helps you find what those unknown devices in Device Manager really are

USBDeview 1.42
View/Uninstall all installed/connected USB devices on your system

MBR (Master Boot Record) Tools
MBRWork 1.07b
a utility to perform some common and uncommon MBR functions

MBR Tool 2.2.100
backup, verify, restore, edit, refresh, remove, display, re-write...

DiskMan4
all in one tool for cmos, bios, bootrecord and more

BootFix Utility
Run this utility if you get 'Invalid system disk'

MBR SAVE / RESTORE 2.1
BootSave and BootRest tools to save / restore MBR

Boot Partition 2.60
add Partition in the Windows NT/2000/XP Multi-boot loader

Partition Table Doctor 3.5
a tool to repair/modify mbr, bootsector, partition table

Smart Boot Manager 3.7.1
a multi boot manager

Bootmagic 8.0
This tool is for multi boot operating systems

MBRWizard 2.0b
Directly update and modify the MBR (Master Boot Record)

BIOS / CMOS Tools
CMOS 0.93
CMOS Save / Restore Tool

BIOS Cracker 4.8
BIOS password remover (cmospwd)

BIOS Cracker 1.4
BIOS password remover (cmospwc)

BIOS Utility 1.35.0
BIOS Informations, password, beep codes and more.

!BIOS 3.20
a powerfull utility for bios and cmos

DISKMAN4
a powerful all in one utility

UniFlash 1.40
bios flash utility

Kill CMOS
a tiny utility to wipe cmos

Award DMI Configuration Utility 2.43
DMI Configuration utility for modifying/viewing the MIDF contents.

MultiMedia Tools
Picture Viewer 1.94
Picture viewer for dos, supports more then 40 filetypes.

QuickView Pro 2.58
movie viewer for dos, supports many format including divx.

MpxPlay 1.56
a small Music Player for dos

Password Tools
Active Password Changer 3.0.420
To Reset User Password on windows NT/2000/XP/2003/Vista (FAT/NTFS)

Offline NT/2K/XP Password Changer
utility to reset windows nt/2000/xp administrator/user password.

Registry Reanimator 1.02
Check and Restore structure of the Damaged Registry files of NT/2K/XP

NTPWD
utility to reset windows nt/2000/xp administrator/user password.

Registry Viewer 4.2
Registry Viewer/Editor for Win9x/Me/NT/2K/XP

ATAPWD 1.2
Hard Disk Password Utility

TrueCrypt 6.2a
On-the-fly disk encryption tool, can create a virtual encrypted disk within a file and mount it as a real disk, can also encrypt an entire HDD/Partition/USB Drive

Content Advisor Password Remover 1.01
It Removes Content Advisor Password from Internet Explorer

Password Renew 1.1
Utility to (re)set windows passwords

WindowsGate 1.1
Enables/Disables Windows logon password validation

WinKeyFinder 1.73
Allows you to View and Change Windows XP/2003 Product Keys, backup and restore
activation related files, backup Microsoft Office 97, 2000 SP2, XP/2003 keys etc.

XP Key Reader 2.7
Can decode the XP-key on Local or Remote systems

ProduKey 1.36
Recovers lost the product key of your Windows/Office

Wireless Key View 1.27
Recovers all wireless network keys (WEP/WPA) stored in your computer by WZC

MessenPass 1.26
A password recovery tool that reveals the passwords of several instant messangers

Mail PassView 1.51
Recovers mail passwords of Outlook Express, MS Outlook, IncrediMail, Eudora, etc.

Asterisk Logger 1.04
Reveal passwords hidden behind asterisk characters

NTFS (FileSystems) Tools
NTFS Dos Pro 5.0
To access ntfs partitions from Dos

NTFS 4 Dos 1.9
To access ntfs partitions from Dos

Paragon Mount Everything 3.0
To access NTFS, Ext2FS, Ext3FS partitions from dos

NTFS Dos 3.02
To access ntfs partitions from Dos

EditBINI 1.01
to Edit boot.ini on NTFS Partition

Browsers / File Managers
Volkov Commander 4.99
Dos File Manager with LongFileName/ntfs support
(Similar to Norton Commander)

Dos Command Center 5.1
Classic dos-based file manager.

File Wizard 1.35
a file manager - colored files, drag and drop copy, move, delete etc.

File Maven 3.5
an advanced Dos file manager with high speed PC-to-PC file
transfers via serial or parallel cable

FastLynx 2.0
Dos file manager with Pc to Pc file transfer capability

LapLink 5.0
the smart way to transfer files and directories between PCs.

Dos Navigator 6.4.0
Dos File Manager, Norton Commander clone but has much more features.

Mini Windows 98
Can run from Ram Drive, with ntfs support,
Added 7-Zip, Disk Defragmenter, Notepad / RichText Editor,
Image Viewer, .avi .mpg .divx .xvid Movie Player, etc...

Mini Windows Xp
Portable Windows Xp that runs from CD/USB/Ram Drive, with Network and SATA support

7-Zip 4.65
File Manager/Archiver Supports 7z, ZIP, GZIP, BZIP2, TAR, RAR, CAB, ISO, ARJ, LZH, CHM, MSI, WIM, Z, CPIO, RPM, DEB and NSIS formats

Opera Web Browser 8.53
One of the fastest, smallest and smartest full-featured web browser

Other Tools
Ghost Walker 11.5
utility that changes the security ID (SID) for Windows NT, 2000 and XP

DosCDroast beta 2
Dos CD Burning Tools

Universal TCP/IP Network 6.4
MSDOS Network Client to connect via TCP/IP to a Microsoft based
network. The network can either be a peer-to-peer or a server based
network, it contains 91 different network card drivers
HxD 1.7.7.0
Hex Editor provides tools to inspect and edit files, main memory, disks/disk images

Virtual Floppy Drive 2.1
enables you to create and mount a virtual floppy drive on your NT/2000/XP/Vista

Streams 1.56
Reveal/Delete NTFS alternate data streams

NewSID 4.10
utility that changes the security ID (SID) for Windows NT, 2000 and XP

Dos Tools
USB CD-Rom Driver 1
Standard usb_cd.sys driver for cd drive

Universal USB Driver 2
Panasonic v2.20 ASPI Manager for USB mass storage

ASUSTeK USB Driver 3
ASUS USB CD-ROM Device Driver Version 1.00

SCSI Support
SCSI Drivers for Dos

SATA Support
SATA Driver (gcdrom.sys) and JMicron JMB361 (xcdrom.sys) for Dos

1394 Firewire Support
1394 Firewire Drivers for Dos

Interlnk support at COM1
To access another computer from COM port

Interlnk support at LPT1
To access another computer from LPT port

and too many great dos tools
very good collection of dos utilities
extract.exe pkzip.exe pkunzip.exe unrar.exe rar.exe
ace.exe lha.exe gzip.exe uharcd.exe mouse.com
attrib.com deltree.exe xcopy.exe diskcopy.com imgExtrc.exe
undelete.com edit.com fdisk.exe fdisk2.exe fdisk3.exe
lf.exe delpart.exe wipe.com zap.com format.com
move.exe more.com find.exe hex.exe debug.exe
split.exe mem.exe mi.com sys.com smartdrv.exe
xmsdsk.exe killer.exe share.exe scandisk.exe scanreg.exe
guest.exe doskey.exe duse.exe biosdtct.exe setver.exe
intersvr.exe interlnk.exe loadlin.exe lfndos.exe doslfn.com

Cleaners
SpaceMonger 1.4
keeping track of the free space on your computer

WinDirStat 1.1.2.80
a disk usage statistics viewer and cleanup tool for Windows.

CCleaner 2.23.993
Crap Cleaner is a freeware system optimization and privacy tool

Optimizers
PageDfrg 2.32
System file Defragmenter For NT/2k/XP

NT Registry Optimizer 1.1j
Registry Optimization for Windows NT/2000/2003/XP/Vista

DefragNT 1.9
This tool presents the user with many options for disk defragmenting

JkDefrag 3.36
Free disk defragment and optimize utility for Windows 2000/2003/XP/Vista

Network Tools
Angry IP Scanner 2.21
Scan IP addresses in any range as well as any their ports

CurrPorts 1.66
displays the list of all currently opened TCP and UDP ports on your computer

TCPView 2.54
Lists TCP and UDP endpoints, including the Local/Remote addresses of TCP connections

Winsock 2 Fix for 9x
to fix corrupted Winsock2 information by poorly written Internet programs

XP TCP/IP Repair 1.0
Repair your Windows XP Winsock and TCP/IP registry errors

Process Tools
IB Process Manager 1.04
a little process manager for 9x/2k, shows dll info etc.

Process Explorer 11.33
shows you information about which handles and DLLs processes have opened or loaded

OpenedFilesView 1.40
View opened/locked files in your system, sharing violation issues

Pocket KillBox 2.0.0.978
can be used to get rid of files that stubbornly refuse to allow you to delete them

ProcessActivityView 1.10
Detailed process access information read/write/opened files etc

Unlocker 1.8.7
This tool can delete file/folder when you get this message - Cannot delete file:
Access is denied, The file is in use by another program etc.

Registry Tools
RegScanner 1.77
Tool to find/search in the Registry of Windows

Registry Editor PE 0.9c
Easy editing of remote registry hives and user profiles

Registry Restore Wizard 1.0.4
Restores a corrupted system registry from Xp System Restore

Startup Tools
Autoruns 9.53
Displays All the entries from startup folder, Run, RunOnce, and other Registry keys,
Explorer shell extensions,toolbars, browser helper objects, Winlogon notifications,
auto-start services, Scheduled Tasks, Winsock, LSA Providers, Remove Drivers
and much more which helps to remove nasty spyware/adware and viruses.

Silent Runners Revision 59
A free script that helps detect spyware, malware and adware in the startup process

Startup Control Panel 2.8
a tool to edit startup programs

Startup Monitor 1.02
it notifies you when any program registers itself to run at system startup

HijackThis 2.0.2
a general homepage hijackers detector and remover and more

Tweakers
Dial a Fix 0.60.0.24
Fix errors and problems with COM/ActiveX object errors and missing registry entries,
Automatic Updates, SSL, HTTPS, and Cryptography service (signing/verification)
issues, Reinstall internet explorer etc. comes with the policy scanner

Ultimate Windows Tweaker 2.0
A TweakUI Utility for tweaking and optimizing Windows Vista

TweakUI 2.10
This PowerToy gives you access to system settings that are not exposed in the Windows Xp

Xp-AntiSpy 3.97.4 beta
it tweaks some Windows XP functions, and disables some unneeded Windows services quickly

Shell Extensions Manager (ShellExView) 1.40
An excellent tool to View and Manage all installed Context-menu/Shell extensions

EzPcFix 1.0.0.16
Helpful tool when trying to remove viruses, spyware, and malware

RemoveWGA 1.2
Windows Genuine Advantage Notifications Removal tool

RRT - Remove Restrictions Tool 3.0
To Re-enable Ctrl+Alt+Del, Folder Options and Registry tools etc.

Antivirus Tools
Kaspersky Virus Removal Tool 7.0.0.290 (2908)
Free on-demand virus scanner from Kaspersky Lab to remove viruses.

Spybot - Search & Destroy 1.6.2 (2908)
Application to scan for spyware, adware, hijackers and other malicious software.

Malwarebytes' Anti-Malware 1.40 (2908)
anti-malware application that can thoroughly remove even the most advanced malware.

SpywareBlaster 4.2 (2908)
Prevent the installation of spyware and other potentially unwanted software.

SmitFraudFix 2.423
This removes Some of the popular Desktop Hijack malware

ComboFix (2908)
Designed to cleanup malware infections and restore settings modified by malware

CWShredder 2.19
Popular CoolWebSearch Trojan Remover tool

RootkitRevealer 1.7.1
Rootkit Revealer is an advanced patent-pending root kit detection utility.

SuperAntispyware 4.27 (2908)
Remove Malware, Rootkits, Spyware, Adware, Worms, Parasites (a must have tool)

Contenidos:
http://www.hiren.info/pages/bootcd

Arrancar desde USB (pendrive, lápiz de memoria)

USB Booting
http://www.hirensbootcd.net/usb-booting.html

Hiren's BootCD From USB Flash Drive (USB Pen Drive)
http://homepage.ntlworld.com/hiren.thanki/bootcd_on_usb_disk.html

Hiren's Boot CD


Hiren's BootCD 15.1
http://www.hirensbootcd.org/files/Hirens.BootCD.15.1.zip

Filename: Hirens.BootCD.15.1.zip
Filesize: 498.36 MB (522565534 bytes)
ISO MD5: B5DE7A10DD1586D47535372EA1AD9BED

Relacionado:

CDs autoarrancables para casos de emergencia )

Por motivos de optimización y pruebas el buscador del foro volverá a funcionar el Lunes 4 de Septiembre.



Gracias.

[A) Detectando el ataque]

v 2.38

Intentando Detener o mitigar un Ataque de Denegación de Servicio Distribuido

Porque un null-route a una ip no es una solución, es una chapuza.

Si unos script-kiddies están DDoSeando tu web.....

Index:
a) Detectando el ataque

1) Usando el comando netstat
2) Mirando el server-status del Apache
3) Mirando los logs del mod_evasive
4) Mirando los logs del syslog (del kernel)
5) Mirando las gráficas del MRTG, RRDtool, ntopng, Monitorix

B) Intentar parar el ataque

1) - mod_evasive
2) - mod_security
3)  tcplimit, ipdrop, ipblock
4) Optimizando y asegurando la red con el sysctl.conf
5) APF Firewall con el módulo anti-ddos
6) Parar el/la botnet
7) Usando reglas de iptables
8) Usando el mod_throttle
9) DDoS Deflate, Floodmon
10) CloudFlare, Akamai, Incapsula, Arbor, ProjectShield


a) Se basa en ataques reales.
b) No hay nada de teoría, solo parte práctica.

A) Detectando el ataque

1) Usando el comando netstat

Código [Seleccionar] Expandir

netstat -an | grep :80 | sort

Código [Seleccionar] Expandir

netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'

Código [Seleccionar] Expandir

netstat -n -p|grep SYN_REC | wc -l

Código [Seleccionar] Expandir

netstat -lpn|grep :80 |awk '{print $5}'|sort

Código [Seleccionar] Expandir

netstat -an | grep :80 | awk '{ print $5 }' | awk -F: '{ print $1 }' | sort | uniq -c | sort -n

Ejemplo de ataque SYN_RECV o SYN Flooding al Apache (puerto 80).

192.168.0.3 es la ip del servidor apache y 192.168.0.105 es la ip del "atacante".

Código [Seleccionar] Expandir


[..]
tcp        0      0 192.168.0.3:80          192.168.0.5:60808     SYN_RECV  
tcp        0      0 192.168.0.3:80          192.168.0.5:60761     SYN_RECV  
tcp        0      0 192.168.0.3:80          192.168.0.5:60876     SYN_RECV  
tcp        0      0 192.168.0.3:80          192.168.0.5:60946     SYN_RECV  
tcp        0      0 192.168.0.3:80          192.168.0.5:60763     SYN_RECV  
tcp        0      0 192.168.0.3:80          192.168.0.5:60955     SYN_RECV  
tcp        0      0 192.168.0.3:80          192.168.0.5:60765     SYN_RECV  
tcp        0      0 192.168.0.3:80          192.168.0.5:60826     SYN_RECV  
tcp        0      0 192.168.0.3:80          192.168.0.5:60951     SYN_RECV  
tcp        0      0 192.168.0.3:80          192.168.0.5:60942     SYN_RECV  
tcp        0      0 192.168.0.3:80          192.168.0.5:61113     SYN_RECV  
tcp        0      0 192.168.0.3:80          192.168.0.5:60909     SYN_RECV  
tcp        0      0 192.168.0.3:80          192.168.0.5:60822     SYN_RECV  
tcp        0      0 192.168.0.3:80          192.168.0.5:60894     SYN_RECV  
tcp        0      0 192.168.0.3:80          192.168.0.5:60952     SYN_RECV  
tcp        0      0 192.168.0.3:80          192.168.0.5:60928     SYN_RECV  
tcp        0      0 192.168.0.3:80          192.168.0.5:60936     SYN_RECV  
tcp        0      0 192.168.0.3:80          192.168.0.5:60906     SYN_RECV  
tcp        0      0 192.168.0.3:80          192.168.0.5:61466     SYN_RECV  
tcp        0      0 192.168.0.3:80          192.168.0.5:60919     SYN_RECV  
tcp        0      0 192.168.0.3:80          192.168.0.5:60914     SYN_RECV  
tcp        0      0 192.168.0.3:80          192.168.0.5:60926     SYN_RECV  
tcp        0      0 192.168.0.3:80          192.168.0.5:60939     SYN_RECV  
tcp        0      0 192.168.0.3:80          192.168.0.5:60931     SYN_RECV  
tcp        0      0 192.168.0.3:80          192.168.0.5:60831     SYN_RECV  
tcp        0      0 192.168.0.3:80          192.168.0.5:60743     SYN_RECV  
tcp        0      0 192.168.0.3:80          192.168.0.5:61076     SYN_RECV  
tcp        0      0 192.168.0.3:80          192.168.0.5:60912     SYN_RECV  
tcp        0      0 192.168.0.3:80          192.168.0.5:60816     SYN_RECV
[..]


Claro ejemplo de SYN Attack al Apache.

2) Mirando el server-status del Apache

Si miramos el server-status del apache veremos conexiones en estado "Reading" ("R" Reading Request).



El problema es que cuando el número de conexiones "Reading" llena el "MaxClients" del Apache no acepta nuevas peticiones, por lo que los nuevos clientes, aunque sean legítimos, no serán aceptados.

Podemos aumentar el valor del "MaxClients" para que no se llene la cola de peticiones y acepte a todos los clientes, sean atacantes o no.

Otra buena medida es bajar el valor del "Timeout" del Apache para que las peticiones "Reading" sean "matadas" rápidamente, antes que pueda llenarse el MaxClients a su tope.

Por defecto en Apache:

Código [Seleccionar] Expandir

Timeout 300

Se puede bajar hasta 100 sin problemas, teniendo en cuenta que las conexiones muy lentas pueden tener problemas.

Para aumentar el MaxClients en el fichero httpd.conf Apache 2 basta con añadir la directiva:

ServerLimit 350 antes de MaxClients y ya dejará.

Código [Seleccionar] Expandir

<IfModule prefork.c>
[..]
ServerLimit 500
MaxClients 450
[..]
</IfModule>

Y la directiva ListenBackLog

Código [Seleccionar] Expandir

#por defecto ListenBacklog 511 ataque tcp syn flood
#http://httpd.apache.org/docs/2.0/mod/mpm_common.html#listenbacklog
ListenBackLog 1024

Herramienta Floodmon: alerta, detecta y mitiga ataques SYN Flood
http://blog.elhacker.net/2014/05/floodmon-alerta--detecta-mitiga-ataques-tcp-syn-flood-ip.html

3) Mirando los logs del mod_evasive

Jun 22 18:24:04 lan mod_evasive[3835]: Blacklisting address 82.228.169.50: possible attack.
Jun 22 18:24:45 lan mod_evasive[3600]: Blacklisting address 81.206.164.163: possible attack.
Jun 22 18:25:46 lan mod_evasive[3589]: Blacklisting address 155.232.250.19: possible attack.
Jun 22 18:27:23 lan mod_evasive[3671]: Blacklisting address 83.227.217.2: possible attack.
Jun 22 18:28:10 lan mod_evasive[3673]: Blacklisting address 68.187.171.89: possible attack.
Jun 22 18:29:57 lan mod_evasive[3605]: Blacklisting address 70.143.2.130: possible attack.
Jun 22 18:30:45 lan mod_evasive[3803]: Blacklisting address 69.157.93.88: possible attack.
Jun 22 18:31:45 lan mod_evasive[10397]: Blacklisting address 146.64.81.22: possible attack.
Jun 22 18:35:01 lan mod_evasive[3794]: Blacklisting address 66.38.192.134: possible attack.
Jun 22 18:35:15 lan mod_evasive[3553]: Blacklisting address 81.190.204.64: possible attack.
Jun 22 18:40:10 lan mod_evasive[16602]: Blacklisting address 64.231.39.129: possible attack.
Jun 22 18:48:04 lan mod_evasive[16479]: Blacklisting address 84.99.195.100: possible attack.
Jun 22 18:48:12 lan mod_evasive[16467]: Blacklisting address 201.0.10.142: possible attack.
Jun 22 18:52:57 lan mod_evasive[16573]: Blacklisting address 219.95.39.242: possible attack.
Jun 22 18:53:07 lan mod_evasive[16534]: Blacklisting address 86.129.3.91: possible attack.
Jun 22 18:53:26 lan mod_evasive[16527]: Blacklisting address 62.254.0.32: possible attack.
Jun 22 18:54:41 lan mod_evasive[30473]: Blacklisting address 24.196.199.191: possible attack.
Jun 22 18:55:17 lan mod_evasive[30520]: Blacklisting address 142.161.157.227: possible attack.
Jun 22 18:55:24 lan mod_evasive[30461]: Blacklisting address 65.92.145.133: possible attack.
Jun 22 18:55:33 lan mod_evasive[30509]: Blacklisting address 88.111.227.200: possible attack.
Jun 22 18:56:13 lan mod_evasive[30473]: Blacklisting address 69.199.94.227: possible attack.
Jun 22 18:57:45 lan mod_evasive[30517]: Blacklisting address 86.125.135.212: possible attack.
Jun 22 18:57:54 lan mod_evasive[30479]: Blacklisting address 84.192.141.65: possible attack.
Jun 22 18:58:46 lan mod_evasive[30527]: Blacklisting address 83.140.97.106: possible attack.
Jun 22 18:59:31 lan mod_evasive[30469]: Blacklisting address 82.173.216.196: possible attack.
Jun 22 19:00:33 lan mod_evasive[30517]: Blacklisting address 80.176.157.245: possible attack.
Jun 22 19:00:38 lan mod_evasive[30470]: Blacklisting address 86.133.102.51: possible attack.
Jun 22 19:01:35 lan mod_evasive[30870]: Blacklisting address 24.42.134.253: possible attack.
Jun 22 19:01:48 lan mod_evasive[30509]: Blacklisting address 62.254.0.34: possible attack.
Jun 22 19:02:57 lan mod_evasive[31009]: Blacklisting address 81.227.219.125: possible attack.
Jun 22 19:03:29 lan mod_evasive[31056]: Blacklisting address 172.209.173.153: possible attack.
Jun 22 19:05:07 lan mod_evasive[31385]: Blacklisting address 84.6.12.110: possible attack.
Jun 22 19:06:52 lan mod_evasive[31008]: Blacklisting address 85.227.144.249: possible attack.
Jun 22 19:06:56 lan mod_evasive[31263]: Blacklisting address 213.222.156.222: possible attack.
Jun 22 19:07:13 lan mod_evasive[31393]: Blacklisting address 62.163.143.166: possible attack.
Jun 22 19:07:37 lan mod_evasive[31021]: Blacklisting address 62.135.101.73: possible attack.
Jun 22 19:08:03 lan mod_evasive[31251]: Blacklisting address 82.201.249.69: possible attack.
Jun 22 19:08:17 lan mod_evasive[31200]: Blacklisting address 81.62.65.53: possible attack.
Jun 22 19:11:04 lan mod_evasive[31263]: Blacklisting address 82.39.148.204: possible attack.
Jun 22 19:12:37 lan mod_evasive[31241]: Blacklisting address 213.222.154.13: possible attack.
Jun 22 19:13:54 lan mod_evasive[31027]: Blacklisting address 81.51.79.4: possible attack.
Jun 22 19:24:04 lan mod_evasive[31041]: Blacklisting address 84.221.118.156: possible attack.
Jun 22 19:48:47 lan mod_evasive[3400]: Blacklisting address 62.135.101.192: possible attack.
Jun 22 19:53:04 lan mod_evasive[31031]: Blacklisting address 62.30.33.13: possible attack.
Jun 22 19:54:32 lan mod_evasive[31016]: Blacklisting address 72.14.194.18: possible attack.
Jun 22 19:56:10 lan mod_evasive[31067]: Blacklisting address 198.96.34.58: possible attack.
Jun 22 20:03:24 lan mod_evasive[5144]: Blacklisting address 172.213.33.242: possible attack.
Jun 22 20:08:31 lan mod_evasive[5137]: Blacklisting address 83.241.11.16: possible attack.
Jun 22 20:21:59 lan mod_evasive[6645]: Blacklisting address 201.23.193.20: possible attack.
Jun 22 20:32:28 lan mod_evasive[7801]: Blacklisting address 212.38.134.172: possible attack.
Jun 22 20:45:46 lan mod_evasive[7836]: Blacklisting address 81.247.11.48: possible attack.
Jun 22 20:48:03 lan mod_evasive[7796]: Blacklisting address 70.245.98.186: possible attack.
Jun 22 20:49:38 lan mod_evasive[7832]: Blacklisting address 61.8.138.203: possible attack.
Jun 22 20:51:21 lan mod_evasive[7801]: Blacklisting address 201.132.197.161: possible attack.
Jun 22 20:57:18 lan mod_evasive[10426]: Blacklisting address 82.201.249.67: possible attack.
Jun 22 20:57:51 lan mod_evasive[7822]: Blacklisting address 81.77.26.162: possible attack.
Jun 22 21:00:25 lan mod_evasive[7817]: Blacklisting address 200.39.202.243: possible attack.
Jun 22 21:12:04 lan mod_evasive[7794]: Blacklisting address 84.27.139.25: possible attack.
Jun 22 21:22:27 lan mod_evasive[7816]: Blacklisting address 217.208.98.254: possible attack.

Si es un DDoS muy distribuido enseguida notaremos que muchas ip's diferente DoSean el Apache.

4) Mirando los logs del syslog (del kernel)

May 17 13:39:01 lan kernel: possible SYN flooding on port 80. Sending cookies.
May 17 13:39:02 lan kernel: ip_conntrack: table full, dropping packet.
May 17 13:39:35 lan kernel: NET: 4 messages suppressed.
May 17 13:39:35 lan kernel: ip_conntrack: table full, dropping packet.
May 17 13:39:38 lan kernel: NET: 1 messages suppressed.
May 17 13:39:38 lan kernel: ip_conntrack: table full, dropping packet.
May 17 13:39:43 lan kernel: NET: 6 messages suppressed.
May 17 13:39:43 lan kernel: ip_conntrack: table full, dropping packet.
May 17 13:39:48 lan kernel: NET: 4 messages suppressed.
May 17 13:39:48 lan kernel: ip_conntrack: table full, dropping packet.
May 17 13:39:52 lan kernel: NET: 9 messages suppressed.
May 17 13:39:52 lan kernel: ip_conntrack: table full, dropping packet.
May 17 13:39:57 lan kernel: NET: 15 messages suppressed.
May 17 13:39:57 lan kernel: ip_conntrack: table full, dropping packet.
May 17 13:40:01 lan kernel: possible SYN flooding on port 80. Sending cookies.

Líneas a mirar:

possible SYN flooding on port 80. Sending cookies.

"Sending Cookies" si lo tenemos activado en el /etc/sysctl.conf
# Enable TCP SYN Cookie Protection

Código [Seleccionar] Expandir

net.ipv4.tcp_syncookies = 1

A veces es mejor deshabilitarlo:

Código [Seleccionar] Expandir

net.ipv4.tcp_syncookies = 0

De esta manera podemos ver las ip's del ataque:

Jul 14 12:46:50 lan kernel: TCP: drop open request from 80.171.45.81/63069
Jul 14 12:46:55 lan kernel: NET: 1401 messages suppressed.
Jul 14 12:46:55 lan kernel: TCP: drop open request from 80.103.166.148/4403
Jul 14 12:46:59 lan kernel: NET: 1772 messages suppressed.
Jul 14 12:46:59 lan kernel: TCP: drop open request from 200.127.62.215/4019
Jul 14 12:47:05 lan kernel: NET: 2362 messages suppressed.
Jul 14 12:47:05 lan kernel: TCP: drop open request from 85.57.169.142/19899
Jul 14 12:47:11 lan kernel: NET: 2618 messages suppressed.
Jul 14 12:47:11 lan kernel: TCP: drop open request from 83.19.73.122/2710
Jul 14 12:47:14 lan kernel: NET: 898 messages suppressed.
Jul 14 12:47:14 lan kernel: TCP: drop open request from 80.235.39.64/3554
Jul 14 12:47:19 lan kernel: NET: 1120 messages suppressed.
Jul 14 12:47:19 lan kernel: TCP: drop open request from 80.171.45.81/62095
Jul 14 12:47:24 lan kernel: NET: 1714 messages suppressed.
Jul 14 12:47:24 lan kernel: TCP: drop open request from 84.62.152.44/34014
Jul 14 12:47:29 lan kernel: NET: 2274 messages suppressed.
Jul 14 12:47:29 lan kernel: TCP: drop open request from 200.127.62.215/3207
Jul 14 12:47:34 lan kernel: NET: 1552 messages suppressed.
Jul 14 12:47:34 lan kernel: TCP: drop open request from 80.103.166.148/4797
Jul 14 12:47:39 lan kernel: NET: 4044 messages suppressed.
Jul 14 12:47:39 lan kernel: TCP: drop open request from 80.235.39.64/2678
Jul 14 12:47:44 lan kernel: NET: 4360 messages suppressed.
Jul 14 12:47:44 lan kernel: TCP: drop open request from 80.103.166.148/1312
Jul 14 13:04:15 lan kernel: TCP: drop open request from 200.14.237.83/4787
Jul 14 13:04:22 lan kernel: NET: 147 messages suppressed.
Jul 14 13:04:22 lan kernel: TCP: drop open request from 81.38.172.161/4892
Jul 14 13:04:30 lan kernel: NET: 6 messages suppressed.
Jul 14 13:04:30 lan kernel: TCP: drop open request from 200.14.237.83/4934
Jul 14 13:04:30 lan kernel: TCP: drop open request from 200.14.237.83/4935
Jul 14 13:04:38 lan kernel: NET: 76 messages suppressed.
Jul 14 13:04:38 lan kernel: TCP: drop open request from 81.84.212.34/2861
Jul 14 13:04:40 lan kernel: NET: 269 messages suppressed.
Jul 14 13:04:40 lan kernel: TCP: drop open request from 200.14.237.83/3070
Jul 14 13:04:45 lan kernel: NET: 287 messages suppressed.
Jul 14 13:04:45 lan kernel: TCP: drop open request from 81.203.228.102/4400
Jul 14 13:04:50 lan kernel: NET: 98 messages suppressed.
Jul 14 13:04:50 lan kernel: TCP: drop open request from 81.84.212.34/3961
Jul 14 13:04:54 lan kernel: NET: 245 messages suppressed.
Jul 14 13:04:54 lan kernel: TCP: drop open request from 200.84.169.200/1183
Jul 14 13:05:00 lan kernel: NET: 1787 messages suppressed.
Jul 14 13:05:00 lan kernel: TCP: drop open request from 81.203.228.102/2050
Jul 14 13:05:04 lan kernel: NET: 3208 messages suppressed.
Jul 14 13:05:04 lan kernel: TCP: drop open request from 86.212.167.27/4720
Jul 14 13:05:09 lan kernel: NET: 2031 messages suppressed.
Jul 14 13:05:09 lan kernel: TCP: drop open request from 81.203.228.102/1794
Jul 14 13:05:14 lan kernel: NET: 2221 messages suppressed.
Jul 14 13:05:14 lan kernel: TCP: drop open request from 81.38.172.161/4908
Jul 14 13:05:21 lan kernel: NET: 730 messages suppressed.
Jul 14 13:05:21 lan kernel: TCP: drop open request from 81.203.228.102/1430
Jul 14 13:05:25 lan kernel: NET: 234 messages suppressed.
Jul 14 13:05:25 lan kernel: TCP: drop open request from 81.203.228.102/2939
Jul 14 13:05:30 lan kernel: NET: 1594 messages suppressed.
Jul 14 13:05:30 lan kernel: TCP: drop open request from 200.14.237.83/3876
Jul 14 13:05:36 lan kernel: NET: 633 messages suppressed.
Jul 14 13:05:36 lan kernel: TCP: drop open request from 86.212.167.27/1116
Jul 14 13:05:39 lan kernel: NET: 970 messages suppressed.
Jul 14 13:05:39 lan kernel: TCP: drop open request from 81.38.172.161/3040
Jul 14 13:05:45 lan kernel: NET: 548 messages suppressed.
Jul 14 13:05:45 lan kernel: TCP: drop open request from 81.203.228.102/2119
Jul 14 13:05:50 lan kernel: NET: 421 messages suppressed.
Jul 14 13:05:50 lan kernel: TCP: drop open request from 81.203.228.102/2478
Jul 14 13:05:56 lan kernel: NET: 379 messages suppressed.
Jul 14 13:05:56 lan kernel: TCP: drop open request from 81.203.228.102/4005
Jul 14 13:05:59 lan kernel: NET: 891 messages suppressed.
Jul 14 13:05:59 lan kernel: TCP: drop open request from 81.38.172.161/3568
Jul 14 13:06:04 lan kernel: NET: 2221 messages suppressed.
Jul 14 13:06:04 lan kernel: TCP: drop open request from 81.203.228.102/4532
Jul 14 13:06:09 lan kernel: NET: 243 messages suppressed.
Jul 14 13:06:09 lan kernel: TCP: drop open request from 81.203.228.102/1939
Jul 14 13:06:14 lan kernel: NET: 2166 messages suppressed.
Jul 14 13:06:14 lan kernel: TCP: drop open request from 81.38.172.161/2137
Jul 14 13:06:19 lan kernel: NET: 2071 messages suppressed.
Jul 14 13:06:19 lan kernel: TCP: drop open request from 81.38.172.161/3136
Jul 14 13:06:24 lan kernel: NET: 2069 messages suppressed.
Jul 14 13:06:24 lan kernel: TCP: drop open request from 81.84.212.34/4600
Jul 14 13:06:29 lan kernel: NET: 1797 messages suppressed.
Jul 14 13:06:29 lan kernel: TCP: drop open request from 86.212.167.27/3171
Jul 14 13:06:35 lan kernel: NET: 1292 messages suppressed.
Jul 14 13:06:35 lan kernel: TCP: drop open request from 81.203.228.102/1394
Jul 14 13:06:39 lan kernel: NET: 715 messages suppressed.

May 17 14:13:24 lan kernel: ip_conntrack: table full, dropping packet.

Tabla llena. Tenemos un problema porque no admitiremos más conexiones aunque sean legítimas.

Podemos aumentar el valor de dicha tabla si nuestra red da para más.

Directamente:

Código [Seleccionar] Expandir

echo "65535" > /proc/sys/net/ipv4/ip_conntrack_max

Para que el valor quede guardardo y no se pierda al reiniciar, debemos añadirlo en el sysctl.conf

Código [Seleccionar] Expandir

net.ipv4.ip_conntrack_max = 65535

Recuerda reiniciar la red para aplicar los cambios en el /proc (service network restart).

Paquetes Marcianos:

Aug 31 12:41:29 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 12:45:07 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 12:52:57 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 12:58:55 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 13:08:12 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 13:12:03 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 13:34:38 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 13:37:38 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 13:52:42 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 13:56:18 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 13:59:54 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 14:13:32 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 14:38:08 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 14:43:42 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 14:50:05 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 14:51:05 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 14:57:58 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 15:05:27 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 15:06:14 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0
Aug 31 15:09:08 lan kernel: martian source 192.168.0.10 from 0.0.0.0, on dev eth0

Son paquetes inesperados que llegan por un camino por el cual no pueden llegar indica algún problema de audacia (cracker).

Usando paquetes como éstos se pueden atacar vulnerabilidades remotas en stacks TCP/IP .

UDP: bad checksum y UDP: short packet

Ataques inundación paquetes UDP seguramente usando reflectores y técnicas de amplificación DrDDoS

http://blog.elhacker.net/2014/06/udp-flood-inundacion-reflection-attack-ataque.html

[..]
Sep  8 15:17:03 ns7 kernel: UDP: bad checksum. From 113.9.245.94:1388 to 108.162.206.73:80 ulen 328
Sep  8 15:17:04 ns7 kernel: UDP: bad checksum. From 113.0.136.151:1388 to 108.162.206.73:80 ulen 330
Sep  8 15:17:04 ns7 kernel: UDP: bad checksum. From 221.208.29.91:1388 to 108.162.206.73:80 ulen 328
Sep  8 15:17:05 ns7 kernel: UDP: bad checksum. From 1.62.206.110:1388 to 108.162.206.73:80 ulen 322
Sep  8 15:17:06 ns7 kernel: UDP: bad checksum. From 1.62.120.124:1388 to 108.162.206.73:80 ulen 276
Sep  8 15:17:06 ns7 kernel: UDP: bad checksum. From 220.192.216.53:1388 to 108.162.206.73:80 ulen 250
Sep  8 15:17:10 ns7 kernel: UDP: bad checksum. From 1.62.206.110:1388 to 108.162.206.73:80 ulen 330
Sep  8 15:17:13 ns7 kernel: UDP: bad checksum. From 221.207.182.119:1388 to 108.162.206.73:80 ulen 334
Sep  8 15:17:13 ns7 kernel: UDP: bad checksum. From 1.190.191.225:1388 to 108.162.206.73:80 ulen 276
Sep  8 15:17:14 ns7 kernel: UDP: bad checksum. From 221.207.218.4:1388 to 108.162.206.73:80 ulen 276
Sep  8 15:17:23 ns7 kernel: UDP: bad checksum. From 113.9.245.94:1388 to 108.162.206.73:80 ulen 250
Sep  8 15:17:23 ns7 kernel: UDP: bad checksum. From 221.207.203.17:1363 to 108.162.206.73:80 ulen 352
Sep  8 15:17:26 ns7 kernel: UDP: bad checksum. From 1.190.191.225:1388 to 108.162.206.73:80 ulen 250
Sep  8 15:17:27 ns7 kernel: UDP: bad checksum. From 221.208.29.91:1388 to 108.162.206.73:80 ulen 334
Sep  8 15:17:29 ns7 kernel: UDP: bad checksum. From 221.208.50.50:1388 to 108.162.206.73:80 ulen 278
Sep  8 15:17:31 ns7 kernel: UDP: bad checksum. From 221.207.182.119:1388 to 108.162.206.73:80 ulen 276
Sep  8 15:17:32 ns7 kernel: UDP: bad checksum. From 221.208.16.42:1388 to 108.162.206.73:80 ulen 296
Sep  8 15:17:35 ns7 kernel: UDP: bad checksum. From 220.192.216.53:1388 to 108.162.206.73:80 ulen 276
Sep  8 15:17:35 ns7 kernel: UDP: bad checksum. From 221.207.182.119:1388 to 108.162.206.73:80 ulen 334
Sep  8 15:17:42 ns7 kernel: UDP: bad checksum. From 220.192.216.53:1388 to 108.162.206.73:80 ulen 296
Sep  8 15:17:42 ns7 kernel: UDP: bad checksum. From 1.62.120.124:1388 to 108.162.206.73:80 ulen 298
Sep  8 15:17:47 ns7 kernel: UDP: bad checksum. From 1.62.120.124:1388 to 108.162.206.73:80 ulen 322
Sep  8 15:17:47 ns7 kernel: UDP: bad checksum. From 1.58.196.127:1388 to 108.162.206.73:80 ulen 330
Sep  8 15:17:48 ns7 kernel: UDP: bad checksum. From 113.9.227.210:1388 to 108.162.206.73:80 ulen 298
Sep  8 15:17:48 ns7 kernel: UDP: bad checksum. From 1.62.206.110:1388 to 108.162.206.73:80 ulen 322
Sep  8 15:17:53 ns7 kernel: UDP: bad checksum. From 113.0.136.151:1388 to 108.162.206.73:80 ulen 322
Sep  8 15:17:59 ns7 kernel: UDP: bad checksum. From 1.190.191.225:1388 to 108.162.206.73:80 ulen 328
Sep  8 15:18:00 ns7 kernel: UDP: bad checksum. From 1.62.206.110:1388 to 108.162.206.73:80 ulen 296
Sep  8 15:18:01 ns7 kernel: UDP: bad checksum. From 221.208.18.228:1388 to 108.162.206.73:80 ulen 334
Sep  8 15:18:04 ns7 kernel: UDP: bad checksum. From 113.0.4.194:1388 to 108.162.206.73:80 ulen 250
Sep  8 15:18:07 ns7 kernel: UDP: bad checksum. From 113.9.227.210:1388 to 108.162.206.73:80 ulen 322
Sep  8 15:18:10 ns7 kernel: UDP: bad checksum. From 221.208.50.50:1388 to 108.162.206.73:80 ulen 300
Sep  8 15:18:14 ns7 kernel: UDP: bad checksum. From 221.207.182.119:1388 to 108.162.206.73:80 ulen 330
Sep  8 15:18:17 ns7 kernel: UDP: bad checksum. From 113.0.74.11:1388 to 108.162.206.73:80 ulen 296
Sep  8 15:18:17 ns7 kernel: UDP: bad checksum. From 221.212.160.140:1388 to 108.162.206.73:80 ulen 322
Sep  8 15:18:18 ns7 kernel: UDP: bad checksum. From 113.9.114.231:1388 to 108.162.206.73:80 ulen 334
Sep  8 15:18:18 ns7 kernel: UDP: bad checksum. From 221.208.18.228:1388 to 108.162.206.73:80 ulen 322
Sep  8 15:18:18 ns7 kernel: UDP: bad checksum. From 1.58.196.127:1388 to 108.162.206.73:80 ulen 296
Sep  8 15:18:20 ns7 kernel: UDP: bad checksum. From 1.190.191.225:1388 to 108.162.206.73:80 ulen 314
Sep  8 15:18:23 ns7 kernel: UDP: bad checksum. From 113.9.146.207:1388 to 108.162.206.73:80 ulen 322
Sep  8 15:18:25 ns7 kernel: UDP: bad checksum. From 1.62.120.124:1388 to 108.162.206.73:80 ulen 314
Sep  8 15:18:26 ns7 kernel: UDP: bad checksum. From 221.208.18.228:1388 to 108.162.206.73:80 ulen 314
Sep  8 15:18:26 ns7 kernel: UDP: bad checksum. From 113.0.136.151:1388 to 108.162.206.73:80 ulen 276
Sep  8 15:18:26 ns7 kernel: UDP: bad checksum. From 1.190.134.140:1388 to 108.162.206.73:80 ulen 322
Sep  8 15:18:28 ns7 kernel: UDP: bad checksum. From 1.62.120.124:1388 to 108.162.206.73:80 ulen 334
Sep  8 15:18:29 ns7 kernel: UDP: bad checksum. From 113.9.146.207:1388 to 108.162.206.73:80 ulen 328
Sep  8 15:18:30 ns7 kernel: UDP: bad checksum. From 1.190.191.225:1388 to 108.162.206.73:80 ulen 328
Sep  8 15:18:31 ns7 kernel: UDP: bad checksum. From 221.207.218.4:1388 to 108.162.206.73:80 ulen 276
Sep  8 15:18:35 ns7 kernel: UDP: bad checksum. From 221.207.203.17:4413 to 108.162.206.73:80 ulen 321
Sep  8 15:18:35 ns7 kernel: UDP: bad checksum. From 113.0.189.87:1388 to 108.162.206.73:80 ulen 322
Sep  8 15:18:36 ns7 kernel: UDP: bad checksum. From 1.190.134.140:1388 to 108.162.206.73:80 ulen 298
Sep  8 15:18:36 ns7 kernel: UDP: bad checksum. From 113.0.74.220:1388 to 108.162.206.73:80 ulen 322
Sep  8 15:18:36 ns7 kernel: UDP: bad checksum. From 221.208.29.91:1388 to 108.162.206.73:80 ulen 330
Sep  8 15:18:37 ns7 kernel: UDP: bad checksum. From 221.207.182.119:1388 to 108.162.206.73:80 ulen 276
Sep  8 15:18:37 ns7 kernel: UDP: bad checksum. From 221.207.218.4:1388 to 108.162.206.73:80 ulen 322
Sep  8 15:18:40 ns7 kernel: UDP: bad checksum. From 221.212.160.140:1388 to 108.162.206.73:80 ulen 322
Sep  8 15:18:43 ns7 kernel: UDP: bad checksum. From 113.0.250.3:1388 to 108.162.206.73:80 ulen 334
Sep  8 15:18:43 ns7 kernel: UDP: bad checksum. From 221.208.50.50:1388 to 108.162.206.73:80 ulen 330
Sep  8 15:18:45 ns7 kernel: UDP: bad checksum. From 1.58.196.127:1388 to 108.162.206.73:80 ulen 330
Sep  8 15:18:47 ns7 kernel: UDP: bad checksum. From 221.207.218.4:1388 to 108.162.206.73:80 ulen 296
Sep  8 15:18:48 ns7 kernel: UDP: bad checksum. From 1.62.120.124:1388 to 108.162.206.73:80 ulen 322
[..]

5) Mirando las gráficas del MRTG, RRDtool

Si ves que el tráfico inbound sube hasta los 100mbps es que te están doseando.





Importante mirar la tasa de PPS (packets per second).

En ataques se pueden llegar a más de 100k (100 mil) paquetes por segundo.

Analizar e inspeccionar el tráfico de red (wireshark, tshark, ntopng, tcpdump, iptraf) en busca de patrones o playload.



B) Intentar detener o mitigar un ataque DDoS

1) - mod_evasive

Web Oficial:
http://www.nuclearelephant.com/projects/mod_evasive/

Consideramos que 50 conexiones por segundo a 2 páginas es suficiente motivo como para bloquear esa ip:

Código [Seleccionar] Expandir

<IfModule mod_evasive.c>
   DOSHashTableSize    3097
   DOSPageCount        2
   DOSSiteCount        50
   DOSPageInterval     1
   DOSSiteInterval     1
   DOSBlockingPeriod   900
</IfModule>


Igual que el anterior pero con 50 peticiones en un segundo a 1 sola página:

Código [Seleccionar] Expandir

<IfModule mod_evasive.c>
DOSHashTableSize 3097
DOSPageCount 1
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
</IfModule>


Si queremos bloquear las ips que floodean, podemos usar el iptables:

DOSSystemCommand "sudo -u root -c '/sbin/iptables -A INPUT -s %s -j DROP"

Recordar mirar el syslog por si hay posibles falsos positivos (ip's que no hacian flood).

Para evitar falsos positivos:

Código [Seleccionar] Expandir

<IfModule mod_evasive.c>
# añadir estas líneas que corresponden a rangos de los bots de google
DOSWhitelist 66.249.65.*
DOSWhitelist 66.249.66.*
</IfModule>

Importante:

Para que el mod_evasive funcione correctamente deberás modificar el:

MaxRequestsPerChild 0

Para poner un valor alto pero nunca ilimitado (0).

MaxRequestsPerChild 10000

Config ejemplo:
http://www.eth0.us/mod_evasive

2 - mod_security

El único problema del mod_security es que necesitamos al menos un argumento para detectar el ataque.

En el ejemplo usamos en http_referer y el User Agent para detectar el DDoS:

Bloqueando un ataque Iframe
http://foro.elhacker.net/seguridad/bloqueando_un_ataque_iframe-t127481.0.html

3- tcplimit, ipdrop, ipblock

Usando firewalls dinámicos.

4- Optimizando y asegurando la red con el sysctl.conf


cat /proc/sys/net/ipv4/tcp_syncookies

Código [Seleccionar] Expandir


   # Enable IP spoofing protection, turn on Source Address Verification

   net.ipv4.conf.all.rp_filter = 1

   # Enable TCP SYN Cookie Protection

   net.ipv4.tcp_syncookies = 1

   # Enable ignoring broadcasts request
   
   net.ipv4.icmp_echo_ignore_broadcasts = 1


1). Activate SynCookies protection

   It works by sending out 'syncookies' when the
   syn backlog queue of a socket overflows.

   => echo 1 >/proc/sys/net/ipv4/tcp_syncookies

   or

   => /sbin/sysctl -w net.ipv4.tcp_syncookies=1

2). Disable source routing

   => for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do
   echo 0 > $f
   done

   or

   => /sbin/sysctl -w net.ipv4.conf.all.accept_source_route=0

3). Reverse Path Filtering

   Reject incoming packets if their source address doesn't match
   the network interface that they're arriving on

   => for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
   echo 1 > $f
   done

   or

   => /sbin/systcl -w net.ipv4.conf.all.rp_filter=1

4). Log RP filter dropped packets (martians)

   => for f in /proc/sys/net/ipv4/conf/*/log_martians; do
   echo 1 > $f
   done

   or

   => /sbin/sysctl -w net.ipv4.conf.all.log_martians=1

5). Maximal number of remembered connection requests

   => /sbin/sysctl -w net.ipv4.tcp_max_syn_backlog=256

6). How may times to retry before killing TCP connection

   (default 7 on most systems)

   => /sbin/sysctl -w net.ipv4.tcp_orphan_retries=4

7). Number of SYN packets the kernel will send before giving up

   => /sbin/sysctl -w net.ipv4.tcp_syn_retries=5

8). Disable broadcast icmp reply

   => /sbin/sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1

9). Ignore Bogus icmp packets

   => /sbin/sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1

10). Disable ICMP redirect

   => echo 0 >/proc/sys/net/ipv4/conf/all/accept_redirects
   => echo 0 >/proc/sys/net/ipv4/conf/all/send_redirects

   or

   => /sbin/sysctl -w net.ipv4.conf.all.accept_redirects=0
   => /sbin/sysctl -w net.ipv4.conf.all.send_redirects=0

11). Disable timestamps

   => echo 0 >/proc/sys/net/ipv4/tcp_timestamps

   or

   => /sbin/sysctl -w net.ipv4.tcp_timestamps=0

12). Reduce DOS ability by reducing timeouts

   => echo 30 >/proc/sys/net/ipv4/tcp_fin_timeout
   => echo 1800 >/proc/sys/net/ipv4/tcp_keepalive_time
   => echo 0 >/proc/sys/net/ipv4/tcp_window_scaling
   => echo 0 >/proc/sys/net/ipv4/tcp_sack

   or

   => /sbin/sysctl -w net.ipv4.tcp_fin_timeout=30
   => /sbin/sysctl -w net.ipv4.tcp_keepalive_time=1800
   => /sbin/sysctl -w net.ipv4.tcp_window_scaling=0
   => /sbin/sysctl -w net.ipv4.tcp_sack=0

- Lista de todas las variables del TCP: (Lista de Variables del /proc/sys/net/ipv4/* (con varlores por defecto y explicaciones))
http://www.frozentux.net/ipsysctl-tutorial/ipsysctl-tutorial.html

- Optimizando el kernel de linux mediante tuning y hardering sysctl.conf
http://wiki.elhacker.net/sistemas-operativos/gnulinux/tuning-sysctl-conf

- Opciones de seguridad en Linux a través de /proc (I) y (II)
http://www.elhacker.net/opciones-seguridad-linux-proc.html

Más ejemplos de configuración completa del sysctl.conf en las referencias del documento.

5- APF Firewall con el módulo anti-ddos

Código [Seleccionar] Expandir

wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz
tar xvzf apf-current.tar.gz
cd apf-0.9.6-1/
./install.sh

service apf start
/usr/local/sbin/apf -s

Fichero de configuración:

/etc/apf/conf.apf

Despues de hacer las pruebas dejar:
DEVEL_MODE="0"

Si nos sale un error parecido a este:
apf(9413): unable to load iptables module (ip_tables), aborting.

Cambiamos esto:
SET_MONOKERN="1"

Puertos que queremos abrir (inbound)
IG_TCP_CPORTS="21,22,25,53,80,110"

Si queres bloquear todo el tráfico de salida lo ponemos en 1 (outbound)
EGF="0"

Si queremos usar el módulo antddos poner a 1:
USE_AD="0"

Log:
/var/log/apf_log

Para ver los paquetes que dropeamos:
LOG_DROP="1"

Lo guardará en el syslog, ejemplo:

Proto= Protocolo
SRC= ip origen
SPT= Source Port (puerto d origen)
DST= Destination Port (puerto destino)

Oct 20 13:59:27 ns2 kernel: ** SANITY ** IN=eth0 OUT=  SRC=213.27.201.254 DST=192.168.0.3 LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=18779 PROTO=TCP SPT=11629 DPT=80 WINDOW=0 RES=0x00 RST FIN URGP=0
Oct 20 14:00:16 ns2 kernel: ** SANITY ** IN=eth0 OUT=  SRC=213.27.201.254 DST=192.168.0.3 LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=20376 PROTO=TCP SPT=27734 DPT=80 WINDOW=0 RES=0x00 RST FIN URGP=0
Oct 20 14:00:17 ns2 kernel: ** SANITY ** IN=eth0 OUT=  SRC=213.27.201.254 DST=192.168.0.3 LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=20382 PROTO=TCP SPT=25943 DPT=80 WINDOW=0 RES=0x00 RST FIN URGP=0
Oct 20 14:00:17 ns2 kernel: ** SANITY ** IN=eth0 OUT=  SRC=213.27.201.254 DST=192.168.0.3 LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=20387 PROTO=TCP SPT=19026 DPT=80 WINDOW=0 RES=0x00 RST FIN URGP=0
Oct 20 14:00:17 ns2 kernel: ** SANITY ** IN=eth0 OUT=  SRC=213.27.201.254 DST=192.168.0.3 LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=20397 PROTO=TCP SPT=2155 DPT=80 WINDOW=0 RES=0x00 RST FIN URGP=0
Oct 20 14:00:17 ns2 kernel: ** SANITY ** IN=eth0 OUT=  SRC=213.27.201.254 DST=192.168.0.3 LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=20407 PROTO=TCP SPT=9294 DPT=80 WINDOW=0 RES=0x00 RST FIN URGP=0
Oct 20 14:00:22 ns2 kernel: ** SANITY ** IN=eth0 OUT=  SRC=213.27.201.254 DST=192.168.0.3 LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=20687 PROTO=TCP SPT=9269 DPT=80 WINDOW=0 RES=0x00 RST FIN URGP=0
Oct 20 14:00:22 ns2 kernel: ** SANITY ** IN=eth0 OUT=  SRC=213.27.201.254 DST=192.168.0.3 LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=20694 PROTO=TCP SPT=27223 DPT=80 WINDOW=0 RES=0x00 RST FIN URGP=0
Oct 20 14:00:23 ns2 kernel: ** SANITY ** IN=eth0 OUT=  SRC=213.27.201.254 DST=192.168.0.3 LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=20830 PROTO=TCP SPT=30938 DPT=80 WINDOW=0 RES=0x00 RST FIN URGP=0
Oct 20 14:00:25 ns2 kernel: ** SANITY ** IN=eth0 OUT=  SRC=213.27.201.254 DST=192.168.0.3 LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=21038 PROTO=TCP SPT=5377 DPT=80 WINDOW=0 RES=0x00 RST FIN URGP=0
Oct 20 14:00:27 ns2 kernel: ** SANITY ** IN=eth0 OUT=  SRC=213.27.201.254 DST=192.168.0.3 LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=21219 PROTO=TCP SPT=13341 DPT=80 WINDOW=0 RES=0x00 RST FIN URGP=0
Oct 20 14:00:42 ns2 kernel: ** SANITY ** IN=eth0 OUT=  SRC=213.27.201.254 DST=192.168.0.3 LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=21990 PROTO=TCP SPT=22960 DPT=80 WINDOW=0 RES=0x00 RST FIN URGP=0
Oct 20 14:02:32 ns2 kernel: ** SANITY ** IN=eth0 OUT=  SRC=213.27.201.254 DST=192.168.0.3 LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=26386 PROTO=TCP SPT=2826 DPT=80 WINDOW=0 RES=0x00 RST FIN URGP=0

Recuerda que para usar el antidos debes añadir el cron job:

*/8 * * * * root /etc/apf/ad/antidos -a >> /dev/null 2>&1

http://www.r-fx.org/apf/README.antidos

KISS My Firewall es una alternativa.

Script PHP
http://www.prism-hosting.com/AntiDoS

6- Parar el botnet

ZmbScap - Zombie Scapper - Stoopt DDoS Programs
http://www.metaeye.org/projects/zmbscap/

Tracking Botnets - Bot-Commands
http://www.honeynet.org/papers/bots/botnet-commands.html

Tracking Botnets
http://www.honeynet.org/papers/bots/

Tracking Botnets - DDoS-attacks
http://www.honeynet.org/papers/bots/botnet-ddos.html

Phatbot Trojan Analysis
http://www.lurhq.com/phatbot.html

F-Bot by f-secure- Elimina el Agobot y todas sus variantes
http://www.f-secure.com/tools/f-bot.zip

Nepenthes - Autoinfecarse sin peligro para analizar
http://nepenthes.mwcollect.org/

honeytrap – trap attacks against tcp services
http://honeytrap.sourceforge.net/

7) Usando reglas del iptables

- Los paquetes del DDoS (Ataque de denegación de servicio distribuido) podrían venir de cualquier parte del mundo

Podemos limitar con iptables el tráfico udp

Código [Seleccionar] Expandir

   
# Limitar el UDP flood
# Crear la cadena para UDP flood
iptables -N cadena-udp-flood
# Saltar a la cadena cuando el UDP es detectado
iptables -A INPUT -p  udp -j cadena-udp-flood
# Limitar la velocidad UDP  a 10/segundos con limite de 20
iptables -A cadena-udp-flood -m limit – -limit 10/s – -limit-burst 20 -m comment – -comment "Limite velocidad UDP" -j RETURN
# Logear
iptables -A cadena-udp-flood -m limit – -limit 6/h – -limit-burst 1 -j LOG – -log-prefix "Probable udp flood "
# Baneados durante 5 minutos los que más floodean
iptables -A cadena-udp-flood -m recent – -name blacklist_300 – -set -m comment – -comment "BlackList origen IP" -j DROP  


Módulo limit (iptables)

Diferencias entre limit y limit burst

Usando el módulo limit

-m limit

Podemos hacer uso de limit y limit burst

Código [Seleccionar] Expandir

    iptables -I FORWARD -p udp -m limit --limit 200/s --limit-burst -j DROP

Con --limit se especifica una media (average), no un caudal. Por ejemplo: decir 200/s (200 por segundo) puede significar que en el primer minuto se reciben 50 paquetes y en el segundo también 50 o puede significar que en el primer minuto se reciben 100 y en el segundo 50... la media sigue siendo 200/segundo.

El limite puede ser

   /second (/s)
   /minute (/m)
   /hour (/h)
   /day (/d)

--limit-burst especifica un máximo, si no se especifica un --limit-burst por defecto vale 5 y significa que se aceptaran los primeros 5 paquetes y luego se esperara hasta alcanzar la media para seguir aceptando.

Módulo Recent (iptables)

El módulo de IPTables recientes tiene algunas limitaciones. Por defecto, sólo hace un seguimiento de las 100 más recientes 100 IPs, y los últimos diez paquetes de cada una. Si tienes una gran cantidad de direcciones IP de origen de golpe, estos límites pueden no ser suficientes.

Código [Seleccionar] Expandir


# todo el trafico syn
-P INPUT DROP
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p tcp ! --syn -j REJECT --reject-with tcp-reset
-A INPUT -m state --state INVALID -j DROP
-P OUTPUT DROP
-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -p tcp ! --syn -j REJECT --reject-with tcp-reset
-A OUTPUT -m state --state INVALID -j DROP
-P FORWARD DROP
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -p tcp ! --syn -j REJECT --reject-with tcp-reset
-A FORWARD -m state --state INVALID -j DROP
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A FORWARD -i lo -o lo -j ACCEPT


# sube las cargas pero muchos wwww buena señal
-A INPUT -p tcp --syn -j REJECT --reject-with icmp-port-unreachable



# la que mejor va
-N syn-flood
-A syn-flood -m limit --limit 100/second --limit-burst 150 -j RETURN
-A syn-flood -j LOG --log-prefix "SYN flood: "
-A syn-flood -j DROP



# igual que el de arriba pero muy bestia
-N syn-flood
-A INPUT -i eth0:2 -p tcp --syn -j syn-flood
-A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
-A syn-flood -j DROP


-A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit
1/sec -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit
--limit 1/sec -j ACCEPT

# no es muy efectivo
-A INPUT -s 0/0 -p tcp --syn --source-port 1000:5000
--destination-port 80 -j DROP

# no es muy efectivo
-A INPUT -p tcp -m tcp --dport 80 --sport 1000:5000 --tcp-flags SYN SYN -j DROP

# Descartar paquetes mal formados

-N PKT_FAKE
-A PKT_FAKE -m state --state INVALID -j DROP
-A PKT_FAKE -p tcp --dport 80 --tcp-flags ALL ACK,RST,SYN,FIN -j DROP
-A PKT_FAKE -p tcp --dport 80 --tcp-flags SYN,FIN SYN,FIN -j DROP
-A PKT_FAKE -p tcp --dport 80 --tcp-flags SYN,RST SYN,RST -j DROP
-A PKT_FAKE -p tcp --dport 80 ! --syn -m state --state NEW -j DROP
-A PKT_FAKE -f -j DROP
-A PKT_FAKE -j RETURN

# syn-flood
-N syn-flood
-A INPUT -i eth+ -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j syn-flood
-A FORWARD -i eth+ -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j syn-flood
-A syn-flood -m limit --limit 4/s --limit-burst 16 -j RETURN
-A syn-flood -m limit --limit 75/s --limit-burst 100 -j RETURN
-A syn-flood -j LOG --log-prefix "SYN FLOOD " --log-tcp-sequence  --log-tcp-options  --log-ip-options -m limit --limit 1/second
-A syn-flood -j DROP

# By pepel. Requiere módulo "recent"
-A INPUT -p tcp --dport 80 -m state --state NEW -m recent   --set
-A INPUT -p tcp --dport 80 -m state --state NEW -m recent  --update --seconds 10 --hitcount 10 -j DROP

#explicación:
Se añade cada ip que se conecte a la tabla de recent
Por por cada ip en la tabla de recent si hace mas de x hits en x segundos, se dropea.


iptables -I INPUT -p tcp –syn -m recent –set
iptables -I INPUT -p tcp –syn -m recent –update –seconds 10 –hitcount 30 -j DROP

UDP Flood

/sbin/iptables -A OUTPUT -p udp -m state --state NEW -j ACCEPT
/sbin/iptables -A OUTPUT -p udp -m limit --limit 100/s -j ACCEPT
/sbin/iptables -A OUTPUT -p udp -j DROP

Lo que hace es contar el número de paquetes SYN (inicio de conexión TCP) para
cada dirección IP en los últimos 10 segundos. Si llega a 30 descarta ese paquete por
lo que no se establecerá la conexión (el TCP volverá a intentar varias veces,
cuando baje del límite podrá establecerse).


8) Limitar el ancho de banda servidor web

http://www.snert.com/Software/mod_throttle/

Limitar ancho de banda en Apache

Limitar ancho de banda en Apache

mod_bandwidth para Apache versión/rama 1.3.x
   mod_bw para Apache versión/rama 2.x
   mod_cband para Apache2
   mod_ratelimit para Apache 2.4.x y 2.5.x
   mod_qos  para Apache 2 (quality of service (QoS))

Otros:

Mod_Throttle, mod_bandwidth, mod_iplimit, mod_tsunami, mod_limitipconn.c

Para Apache 2:
mod_cband

Código [Seleccionar] Expandir

cd /usr/src
wget http://www.snert.com/Software/mod_throttle/mod_throttle312.tgz
tar zxvf mod_throttle312.tgz
cd mod_throttle-3.1.2
pico Makefile
Then edit the line that reads:
APXS=apxs
And change it to read:
APXS=/usr/local/apache/bin/apxs
make
make install
service httpd restart


<IfModule mod_throttle.c>
ThrottlePolicy Volume 10G 30d
</IfModule>
<Location /throttle-me>
SetHandler throttle-me
</Location>

http://www.webhostgear.com/160.html

9) Script herramienta Floodmon Floodmon o Script herramienta DDoS Deflate

http://blog.elhacker.net/2013/12/ddos-deflate-script-bash-para-mitigar-ataques-ddos-dos.html

http://blog.elhacker.net/2014/05/floodmon-alerta--detecta-mitiga-ataques-tcp-syn-flood-ip.html

10) Usar sistemas gratuitos como CloudFlare

Servicios basados en una gran infraestructura de red que incluyen técnicas de mitigación pro-activas, filtrado e inspección de paquetes

Funcionamiento y configuración protección DDoS de CloudFlare

[temas nuevos]

Uno de los discos duros de servidor del foro ha fallado y una de las tablas del foro ha quedado corrupta (inservible).

Se ha vuelto a restaurar un backup de dicha tabla del día 12 de agosto (sábado). Por este motivo, los temas nuevos (new topics) esritos ayer día 13 de Agosto (domingo) y hoy lunes se han perdido.

Las respuestas a  los mensajes deberían estar todas, así como los mensajes privados.

Si no encuentras tu mensaje, siéntete libre de volver a formular tu pregunta de nuevo en el foro correspondiente.

Gracias.

Disculpad las molestias.

[segunda]

Sabías que..


- Con la palabra "hacker" aparece la segunda en Google España.

http://www.google.es/search?hl=es&q=hacker&btnG=B%C3%BAsqueda+en+Google&meta=


- elhacker.net ocupa el puesto 6.500 a nivel mundial en el Ranking Alexa

http://www.alexa.com/data/details/traffic_details?q=&url=elhacker.net


También es la Nº 1 (web más popular) de Hacking según Alexa:

http://www.alexa.com/browse?&CategoryID=334518


- Se consumen más de 600 gb mensuales sin contar descargas (sólo HTML e imágenes).


- Google tenía indexadas más de 800.000 páginas del dominio elhacker.net

http://www.google.es/search?hl=es&q=site%3Aelhacker.net&btnG=B%C3%BAsqueda&meta=


- Ha aparecido en las portada de slashdot.org  (PR 9)

http://slashdot.org/articles/05/11/18/1522236.shtml?tid=217&tid=172


- Desde su creación (en el año 2001) la web y el foro no han dejado de crecer.

http://www.alexa.com/data/details/traffic_details/elhacker.net?site0=elhacker.net&y=r&z=3&h=400&w=700&range=max&size=Large


- Hay más de 700.000 mensajes en el foro.


- Se han registrado más de 160.000 usuarios en el foro.


Curiosidades

- Los actuales webmasters y administradores de trucoswindows (jbex y Alnitak) fueron moderadores globales del foro de elhacker.net y se conocieron en éste foro.


- La 1era versión data del año 2000 y usaba el dominio hacker.es.org

http://web.archive.org/web/20001206213200/http://www.hacker.es.org/


- Se ha cambiado hasta 5 veces de Hosting y entre 10-15 veces de IP.


- elhacker.net siempre ha usado Apache 0como servidor web, aunque en diferentes plataformas (FreeBSD y Linux).

La primera versión que se usó era un Apache/1.3.6 (Unix) y PHP/3.0.15


- El primer nombre de la web (antes de hacker.es.org) era "ALeX WeB"

F-Secure vuelve a patrocinar la conferencia T2 Information Security, a celebrar en Helsinki el mes de septiembre. Han puesto un archivo .exe en línea con el objeto que sea crackeado, y repartirán entradas gratis a la conferencia entre los que lo consigan. La cosa no es nada fácil, el año pasado hubo más de 50.000 descargas, pero sólo 30 pudieron con él. Al ejecutar el archivo, te pide una contraseña. Al introducir la correcta, se muestra la dirección de correo-e donde enviar la respuesta.

http://www.t2.fi/pahkina-2006.en.html

Fuente:
http://meneame.net/shakeit.php?page=2

No se trata de ningún error interno del foro, es tan sólo una medida de seguridad cuando hay alguna URL extraña o algún comando, carácter potencialmente peligroso.

Si intentas de nuevo poner lo mismo o escribir la misma URL te saldrá siempre el mismo error.

Así que por favor, contacta por privado conmigo para solucionar el problema.

La explicación es que estoy usando nuevas reglas (rules) del mod_security (un módulo del Apache que implementa más seguridad).

Digamos que el mod_security te puede proteger en ciertos casos, aunque tengas código PHP vulnerable a un ataque XSS o un SQL Inyeciton.

Muchas gracias.

[DDoS]

elhacker.net ha sido "atacado" con un DDoS gracias a un/a Botnet.

Ya se han tomado medidas legales contra este ataque.

En los próximos días daré todo tipo de detalles sobre su ataque y demás información.

Disculpad las molestias.

Un saludo coridal,
el-brujo.