2012-05-30

Herramienta para Revisar Múltiples Logs Simultaneo

Estudiando juicioso para una certificación encontré una muy breve reseña que indicaba de una herramienta en Linux para leer múltiples Logs en simultaneo y que me parece una herramienta forense o de análisis muy valiosa para un administrador.

La herramienta se llama multitail y se instala así:

root@localhost:~# apt-get install multitail

Como siempre super fácil y pues usarla también es así de sencillo, el comando más básico es el siguiente

root@localhost:~# multitail -i /var/log/el/de/desees1 /var/log/el/de/desees2

Esto les colocara en simultaneo las últimas lineas de cada uno de los logs que solicitaron, el siguiente ejemplo es de un Apache con sus registros de error y de access, lo cual me parece muy útil para analizar un suceso


 Si le dan Ctrl+h pueden visualizar la ayuda del sistema, la cual es la siguiente


Bueno espero les parezca interesante y cuando aprenda a usarla mejor les estaré informado.

2012-05-20

Sincronización Firefox

Realizando el aseguramiento que siempre hago en el navegador cuando actualizo la versión de Ubuntu, me encontré que en el Firefox tenia una pestaña que decía Sync. Así que investigue que era eso y encontré que era una nueva aplicación que permite sincronizar todos tus navegadores Firefox en las diferentes maquinas que tengas. Una especie de Evernote o de Dropbox pero para el navegador, lo que me parece genial, obvio con conciencia de la seguridad siempre.

Bueno tras el prologo de que es lo que voy a mostrarles entonces empecemos a instalar y configurar esta aplicación de Firefox, lo primero que tienes que hacer es configurar una cuenta, para lo que ingresas a Herramientas -> Config Sync, como se ve a continuación:






Esto nos abre una ventana para que crees la cuenta o para que si ya tienes cuenta entonces adiciones este dispositivo a la sincronización, como yo no tengo ninguno entonces escogí la de cuenta nueva, así:


Al seleccionar crear nos sale un formulario para crear la cuenta, con unos datos básicos como cuenta de correo y contraseña, pero sale algo que me llamo mucho la atención y es que se puede elegir con que servidor sincronizar, por lo que debe permitir que uno monte su servidor de sincronización y esto empresarialmente me parece muy bueno. Pero el formulario que sale es el siguiente:


Tras llenar los datos, el sistema muestra el proceso de sincronización así:

Una vez termina debes ingresar a Editar -> Preferencias y ver la pestaña de Sync, donde podemos seleccionar que deseamos que se sincronicen, lo cual se ve así:


Obviamente, nunca sincronizaría las contraseñas pero bueno tu decides que sincronizas. Espero que te sirva.

2012-05-08

Leer Archivos CHM Directamente

En una entrada anterior explique como pasar los archivos CHM a PDF, pero esto no siempre es lo más óptimo, por lo que toco buscar como leer el CHM directamente, por lo que encontré una aplicación llamada xCHM.

Para esto ingresan en Ubuntu 12.04 al Centro de Software de Ubuntu y en el buscador escriben XCHM, con lo que sale la siguiente gráfico

Lo seleccionas y le das instalar. Esperas unos segundos y cuando ya este instalado, le das click a un archivo de extensión CHM y te debe abrir el archivo de la siguiente manera:


Espero que les sirva aunque no es la visualización más bonita no se puede pedir más en un archivo comprimido de html.

2012-05-06

Cargar Script en NMAP

Como lo he expresado en ocasiones anteriores NMAP es una excelente herramienta que nos permite identificar los servicios activos en nuestra red o e un maquina en especifico, sin embargo no es su única función, ya que cuando uno realiza procesos de ethical hacking es vital para el paso denominado Gathering.

En este proceso se busca obtener información del objetivo y un conocimeinto básico de sus debilidades, es por que esto que nmpa es tan importante, ya que no solo nos dice los puertos activos sino que usando cientos de script que posee es capaz de entregarnos datos sobre vulnerbilidades o información de programas y protocolos.

Mi intensión en esta entrada es que tenan la capacidad de adicionar los script que todos los días son aportados por millones de usuarios y que nos son actualizados de forma automática por la herramienta.

Lo primero que tienes que hacer es definir cual es el script que vas a cargar, para este caso de estudio vamos a usar el CVE-2012-0152, por que este nos permite identificar que maquinas en la red posee la vulnerabilidad MS12-020 (si de windows).

Entonces para ayudarnos vamos a usar google para buscar la pagina de nmap donde esta la explicación del script y donde la podemos descargar, para hacer más sencilla nuestra búsqueda usamos los filtros de google, por ejemplo yo use lo siguiente para buscar

"CVE-2012-0512" site:nmap.org filetype:html

Así filtro que solo sea en nmap.org y que sea un archivo tipo html. Bueno ya con eso tengo la pagina y en esta nos dice que el script se puede descargar de http://nmap.org/svn/scripts/rdp-vuln-ms12-020.nse.

Ahora necesitamos saber donde colocarlo para que nmap lo pueda usar, para esto tenemos que usar un poco la lógica y lo que conocemos de Linux, aprendernos con exactitud todas las ubicaciones es ilogico por lo que si nos fijamos el script tiene una extensión tipo nse entonces búsquemos la ubicación de esas extensiones así:

root@localhost:~# locate *nse | more

Si se fijan usualmente están en /usr/local/share/nmap/scripts/ por lo el nuevo lo guardaremos en esa misma ubicación así

root@localhost:~# wget http://nmap.org/svn/scripts/rdp-vuln-ms12-020.nse >> /usr/local/share/nmap/scripts/

Ahora como usarlo, bueno en la pagina web del script te dan los ejemplos pero si no tienes la pagina en mano simplemente leer con more o con cat el archivo del script y en alguna parte esta el @usage que te indica como usarlo. Para nuestro caso de estudio dice así

-- @usage
-- nmap -sV --script=rdp-ms12-020 -p 3389
--
-- @output
-- PORT     STATE SERVICE        VERSION
-- 3389/tcp open  ms-wbt-server?
-- | rdp-ms12-020:
-- |   VULNERABLE:
-- |   MS12-020 Remote Desktop Protocol Denial Of Service Vulnerability
-- |     State: VULNERABLE
-- |     IDs:  CVE:CVE-2012-0152
-- |     Risk factor: Medium  CVSSv2: 4.3 (MEDIUM) (AV:N/AC:M/Au:N/C:N/I:N/A:P)
-- |     Description:
-- |               Remote Desktop Protocol vulnerability that could allow remote attackers to cause a denial of service.
-- |
-- |     Disclosure date: 2012-03-13
-- |     References:
-- |       http://technet.microsoft.com/en-us/security/bulletin/ms12-020
-- |       http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0152
-- |


Como vez es muy sencillo de usar y te puede decir facilmente que maquinas son vulnerables a esta debilidad encontrada y reportada en la CVE. Espero les sirva.