Mensajes

Aseguro que todo lo que escribo sobre este tema lo hago de forma muy seria, tengo ubuntu y lo unico win que tengo en el, es el wine, que es una aplicación que emula el software mas no el propio S.O de microsoft..... y así como escribí el etherape me detecto de entre otras mas, esa conexión llamada RADMIN-PORT sin que haya iniciado yo alguna de ellas.

Viendo lo que escribes sobre el radmin o rat, ya que win es la atracción de virus y mas..., y linux a veces se encuentran bugs, entonces que se puede hacer en casos así?, si al instalar una actualización de seguridad o cualquiera se pudiera igual comprometer el sistema, que hay que ver o saber antes de descargar una de estas?, o como detectarla? o un caso de estos no es muy común?.....

Como se podría configurar mi modem vial telnet y como hacer una auditoría completa (forense) de un equipo y red?....

xDDD sé lo que es wine..

Bueno entonces puede que sea un falso positivo. Desde otro equipo en la misma red local haz un escaneo de puertos y servicios de tu equipo con Linux y ve qué resultados te da. También puedes intentar sniffear el tráfico para que estés más seguro, claro sin que estés navegando ni nada desde ese equipo. Guarda los logs y revisa a ver qué conexiones se establecen de forma automática. Si observas algo anormal eso confirmaría la intrusión de una manera simple y contarías con información más confiable: las IPs, protocolos y puertos en cuestión.

Lo del modem, busca documentación para la marca y modelo del dispositivo.

Lo de protegerse de fuentes de software falsificado no es simple, se tendría que comparar las firmas de lo que descargaste con las del software legítimo, para eso se incluye en muchos sitios de desarrolladores las MD5. ¿Comparaste las firmas de la imagen iso de tu distro Linux con las que se indican en el sitio oficial de descarga?

Ahora, no digo que los repositorios desde donde descargas actualizaciones de tu OS necesariamente sean fraudulentos, eso no me consta, pero tampoco puedo asegurar que una fuente oficial sea 100% segura y esté libre de ataques internos y externos. No te imaginas lo complicado que puede ser mantener un repositorio de software en Internet y garantizar que su contenido no sea modificado. Revisar un solo programa de 60000 lineas en busca de alteraciones o puertas traseras no legítimas no es cosa sencilla. Lo ideal sería poder revisar uno mismo el código que está descargando y pretende instalar o actualizar, en el caso de software de código abierto ese no es un obstáculo insuperable, lamentablemente no es nada práctico a menos que tengas delirio de persecución y muchos conocimientos. Además esa opción no está a disposición de cualquiera y lo mismo ocurre con hacerun análisis forense. No se reduce a que alguien te escriba un tutorial de 10 pasos por hacer. Por esa razón muchas veces la alternativa más sencilla y a la mano es formatear-reinstalar desde cero.

Me gustaría poder ayudarte más pero está más allá de lo que se puede hacer por esta vía.
Nos vemos.
Saludos.

Si la VM la tienes en puente con el mismo rango de red que tu equipo anfitrión puedes intentar desde éste último con un scanner de puertos, pej. nmap. Desde OpenSuse logeate en la consola como root, ve a la ruta /sbin/ifconfig y ejecuta el comando, o utiliza ip addr o ip route.

Asumo que para entrar al servidor FTP necesitas dirección IP y puerto.

Saludos.

Debo admitir que es imposible saber a ciencia cierta lo que ocurre en tu caso, se tendría que hacer una auditoría completa (forense obviamente) de tus equipos y red para tener una idea más apropiada del problema.

Para comenzar es ilógico que tengas el puerto de RADMIN abierto en un sitema Linux por la sencilla razón de que esta herramienta de administración remota es sólo para Windows. Y sólo puedo concluir que o no das detalles de manera correcta o simplemente estás haciéndote el gracioso.

para que un RAT funcione es necesario ejecutar un archivo maligno en el equipo víctima o una intrusión por este funciona solo con saber el rango o la ip, mac, etc....?, mirando un post en este foro decía que troyanisando RADMIN, teniendo en cuenta algo similar a esto o puede ser este mismo, los archivos malignos como los ingresan al equipo víctima, si solo se acepta actualizaciones del S.O, instalaciones desde consola y nana raro...;

Así es (como ya te había dicho en un post pasado), para que un programa del tipo de RADMIN funcione debe haberse ejecutado el server en el sistema operativo soportado, es decir Windows 7/Vista/XP/2008/2003/2000/NT/ME/9x en este caso. ¿Cómo llega ahí? Pues de dos maneras: que algún usuario de ese equipo lo instale o que un atacante lo haga a distancia por medio de ingeniería social o intrusión . Para eso último lo más común es explotar alguna vulnerabilidad conocida o desconocida en aplicaciones utilizadas por los usuarios del equipo o servicios del Sistema Operativo. Y sí, para ese tipo de intrusiones basta con saber la dirección IP pública o privada y la MAC de los dispositivos afectados en el ataque. Por cierto una fuente "oficial" puede ser suplantada también, recientemente un componente del gusano flame firmaba certificados de Microsoft haciendo paracer paquetes de actualizaciones de seguridad como legítimas.  Cualquier fuente "oficial" puede ser vulnerable a este tipo de suplantaciones de identidad, ha ocurrido ya en la comunidad Google-Android por ejemplo y no sería raro que pase también en software de repositorios de algunas distros de SO --->http://articles.cnn.com/2011-03-02/tech/google.android.hack_1_app-store-android-users-google-s-android-market?_s=PM:TECH
http://brainstorm.ubuntu.com/idea/23568/

También ya pude entrar a la configuración avanzada del módem y no existe nada para modificar puertos o aceptar/negar rango de ip, mac..., osea todo muy básico y casi nada configurable, pura información no mas.

Puede ser que tu modem se configure vía Telnet, habría que checar la documentación.

Tengo firestarter como firewall con opción restrictiva tanto para entrada y salida y solo tengo el puerto HTTPS y otros 2 de programas confiables aceptados de salida, osea nada aceptado de entrada, observando esto ultimo mas lo que ya había escrito, como hacen entonces los intrusos para ingresar ilegalmente a mi equipo?

Tendría que hacerse una auditoría forense completa para saber a ciencia cierta si efectivamente tu equipo ha sido comprometido y cómo. Si usas Linux habría que descartar la presencia de rootkit que esté modificando tablas esenciales que mantienen información de las tareas en ejecución y de las llamadas a sistema. Así a distancia, con información contradictoria y suposiciones, no hay mucho de donde partir.

Saludos.

Junto a XSS para el robo de galletas y no sé si sea más común, está la captura y análisis de paquetes en la red local por ejemplo con Wireshark (las cookies viajan en HTTP requests como un método estandar para transmitir tokens de sesion) . Así que si alguien entra en una WLAN crackeándose la wep key pues hay otras amenazas a parte de robarse la señal nada más.

Saludos.

cierto, bueno hay que aprender de las especificaciones de java --->

To compare Strings for equality, don't use ==. The == operator checks to see if two objects are exactly the same object. Two strings may be different objects, but have the same value (have exactly the same characters in them). Use the .equals() method to compare strings for equality. Similarly, use the .compareTo() method to test for unequal comparisons

En resumen, el operador == en Java checa si dos objetos son exactamente el mismo. Dos cadenas pueden ser diferentes pero tener el mismo valor, el mismo número de caracteres como en "loca" y "cola".El método equals() las compara en busca de igualdad.


Saludos.

[interesantes]

jajajaj
Hola de nuevo comoes:
Veo que sigues..

No seria malo que revises y los demás también mi penúltimo post a este, que he puesto cosas interesantes como lo que detecto el EtherApe del RADMIN-PORT, FTP  y mas, creo se merece una buena revisión.

Pues no es nada interesante en verdad: un puerto asociado con una herramienta de administración remota, el famoso RADMIN y al parecer un servidor para transferencia de archivos. Si tu no los instalaste eso indica efectivamente que tu equipo fue nuevamente comprometido por esos odiosos técnicos sin escrúpulos (no tengo pruebas pero eso es lo que tu dices).

Deshabilitar telnet ->panel de control->herramientas administrativas->servicios->casi al final de la lista encuentras el servicio telnet (deshabilitado por default en xp y subsiguientes versiones)->botón derecho sobre el servicio, detener el servicio y deshabilitar.

Ahí mismo en esa lista deshabilita los servicios que veas sospechosos, pero no deshabilites sin antes investigar lo que haces.

En Linux si estás usando como supongo ubuntu ->http://www.unixtutorial.org/2009/01/disable-service-startup-in-ubuntu/

Nos vemos.

No conozco esa aplicación pero deberías de revisar si permite configuración con proxies http o socks. Si soporta alguno solo escribe la dirección de la interfaz loopback y el puerto que corresponda al proxy que soporte tu aplicación por ejemplo 8118 si es a http y 9050 si es a socks.

Caso de que la aplicación no soporte proxy tendrás que buscar un modo de forzar a que salga su conexión con algún programa extra. Te dejo parte del HOWTO de la web de tor:

Overview about different methods for Torification

There are three different methods to torify applications.

Security overall:

    Leaks of your real IP address after you got rooted, are only impossible, if your machine has no other option than exiting traffic through Tor. (Transparent Proxy [TorBOX]).
    About protocol leaks (leak of your time zone through CTCP/irc; browser fingerprinting; Bittorent leaks; See warning above!; etc.) you always have to keep care of.

Classical / common way: use the application's proxy settings

Advantages:

    Does not need third party software (wrapper).
    Only a few proxy settings needed, sometimes a few more settings like 'use remote DNS' are required.

Disadvantages:

    Each application has to be checked and configured against DNS leaks.
    The application is not forced to honor the proxy settings. Some applications such as Skype and Bittorrent do not care, what the proxy settings are and use direct connections anyway. Also once the application is infected, it's not forced to honor the application settings.

Not so common: use a wrapper: force the application to use a proxy (torsocks/usewithtor)

Advantages:

    No proxy settings inside the application needed.
    Nothing like 'use remote DNS' can be forgotten.

Disadvantages:

    It's a redirector. Not a jail. Applications may still decide to use fancy techniques to archive direct connections. Also once infected it can break out of the redirector.
    There are/were serious leaks, which leak your IP, because of bugs. For example,  IPv6 can still leak your IP when using torsocks.
    It also does not magically prevent protocol leaks, see  torsocks homepage for details.

Update:
To prevent identity correlation through circuit sharing use uwt. torsocks
Even less common: use a transparent proxy

Security:

    Safety against leak of real IP address depends on implementation.
    Anonymizing Middlebox can be secure. (For example: TorBOX)
    Other implementations such Transparently anonymizing traffic for a specific user and Local Redirection Through Tor do not provide strong protection like Anonymizing Middlebox.

Advantages:

    No proxy settings inside the application needed.
    Nothing like 'use remote DNS' can be forgotten.
    Can provide some protocol leak and fingerprinting protection, for example see TorBOX's Protocol-Leak-Protection and Fingerprinting-Protection.

Disadvantages:

    More complex and complicated, requires additional software.
    Identity correlation (all application connect through the same TransPort, SocksPort or DnsPort)! Workarounds available.

Nota: acabo de checar reseña de esa aplicación por la cual preguntas, recuerda que es un delito testear sqlinjection sin autorización, lo que escribí arriba es con fines de aprendizaje, no aliento ningún acto que afecte a terceros y no me responsabilizo del uso que des a esta información.

Saludos.

¿Seguiste estos pasos para configurar los servicios de ruteo y acceso remoto? ------>

http://www.techrepublic.com/article/managing-routing-and-remote-access-in-windows-server-2003/5089192

¿Checaste que la cuenta de administrador que estás utilizando esté identificada en los ACLs del equipo local con credenciales suficientes en el grupo de administradores correspondiente?

Saludos.

No hay magia en eso, entrar a la interfaz del router y configurarle la IP y puerto del host que estará a la escucha con el servicio smtp. Cómo hacerlo depende de la marca y modelo del dispositivo, busca y lee el manual.

Saludos.

También intenta usar apt-get dist-upgrade pues éste además checa las dependencias.

Saludos