– root@injetionsec:~#

Backdoor Linux que usa SSH para disfarçar sua presença

15.11.2013 (11:51 pm) – Filed under: Noticias ::

Pesquisadores de segurança descobriram um backdoor Linux que utiliza um protocolo de comunicação secreto para disfarçar sua presença em sistemas comprometidos. O malware foi usado em um ataque a um grande  provedor de hospedagem ‬ em maio. Ele evitar qualquer alarme, injetando suas próprias comunicações para o tráfego legítimo, conversas especificamente SSH.  De acordo com uma análise do backdoor por pesquisadores de segurança da Symantec.

Além disso, o malware fez uso do algoritmo de criptografia Blowfish para criptografar envios de dados roubados ou outras comunicações com a rede de quem esta controlando .Este backdoor permite que o atacante execute a funcionalidade de execução de comandos remotos,o código backdoor e injetado no processo de SSH para monitorar o tráfego de rede e procure a seguinte seqüência de caracteres: dois pontos, ponto de exclamação, ponto e vírgula, ponto final e etc.

Depois de ver esse padrão, a porta  ira analisar o resto do tráfego e, em seguida, extrair os comandos que foram criptografadas com Blowfish e Base64 codificado.Symantec conclui que  misterioso malware é diferente de qualquer outro backdoor Linux que já foram analisados. Mesmo assim, a Symantec afirma que  que esse malware intitulado Fokirtor é completamente diferente de qualquer malware linux.

 

Fonte : symantec

Encontrado mais uma falha XSS persistente no Ebay

15.11.2013 (5:27 pm) – Filed under: Noticias ::

O pesquisador de segurança indiano Shubham Upadhyay intitulado com nick Cyb3R_Shubh4M, enviou-nos um novo XSS permanente, afetando os produtos de anúncios no Ebay.com. Ele explicou-nos como reproduzi-lo:

Eu encontrei um bug XSS persistente no ebay. para isso você precisa de uma conta de vendedor,uma vez que você acessar sua conta de vendedor no ebay, criar uma listagem para a venda,fazendo isso agora, edite o HTML colocando o código XSS: ‘”–></style></script><script>alert(“XSSed by Cyb3R_Shubh4M”)</script> disse o indiano

Aqui está a  página onde ele injetou seu código:

http://www.ebay.com/itm/181023275832?ssPageName=STRK:MESELX:IT&_trksid=p3984.m1555.l2649

Aqui o mirror do ataque disponível aqui

Às vezes, é executado em outro subdomínio com um iframe (no Google Chrome), mas podemos testá-lo com sucesso no Firefox com o código javascript que está sendo executado no domínio do eBay,além disso, depois de clicar em “imprimir”, temos um link temporariamente como abaixo: 

http://www.ebay.com/itm/ws/eBayISAPI.dll?ViewItem&rt=nc&item=181023275832&si=gGZ3pf0PeJXSxz0i4IMd7G4Xu
2Q%3D&print=all&category=172602

De acordo com o pesquisador, é executado no domínio cgi.ebay.com

 

Fonte: xssed

Add-ons do firefox para pentest

15.11.2013 (4:14 pm) – Filed under: Pentest ::

Mozilla Firefox tem um arsenal de ferramentas para realizar suas suas auditorias de segurança. Esse navegador pode incorparar diversas add-ons(complementos) que podem promover diversos testes em aplicações web. Abaixo seguem a lista dos addons que você pode complementar no seu firefox para seus teste.

Este plugin permite que você pesquise sobre arquivo no Offsec Exploit

Firecat (Firefox Catalog of Auditing exTensions) auditoria mais eficiente de aplicações web.

Websecurify é  um poderoso addon para análise de segurança web de multi-plataforma.

Esta extenção permite fazer busca extras de regras do Snort IDS no site próprio site do SNORT

Este plugin permite que você pesquise sobre Vulnerabilities Security Focus.

Addon utilizado para pesquisar de XSS na base de dados do XSSed.Com

E um dos mais conhecidos e perfeitamente utilizado como ferramenta de depuração para rastrear falhas de java script em aplicações

Útil para teste de SQL,incluindo XSS e ferramentas para a URL e HEX de codificação/decodificação e muitos mais.

Monitorar e analisar todo o tráfego de entrada e saí­da HTTP entre o navegador eo servidor web.

Localização de web servers, IP, Datacenter, Ping, Traceroute, RDNS, AS e etc.

Este add-on pode decodificar e exibir conteúdos viewstate de um arquivo *. aspx. Uma vez que você instale este add-on, ele irá mostrar um item ‘Show Viewstate‘ no menu de contexto do Firefox. Quando este menu é clicado, um po-pup surge mostrando os detalhes do viewstate.

Exibe informações do Server Type, Headers, IP Address, Location Flag, and links para Whois Reports,demostrando  links para checar o status do servidor alvo.

Ferramenta de criptografia/descriptografia para o Mozilla Firefox,com dicionario para quebrar as senhas MD5.

Utilizado para personalizar a forma como uma páginas da Web exibe ou se comporta, usando pequenos códigos de JavaScript.

Descubra qual tecnologia ou plataforma são usados nos sites que você quiser.

Adicionar, modificar e filtrar os cabeçalhos HTTP enviados para servidores web,  util para o desenvolvimento web, testes de HTTP e privacidade.

E uma extensão que adicionada um menu e possibilitando um botão para alternar user agent de um navegador.

Ver os cabeçalhos HTTP de um site instantaneamente.

Visualizar e modificar os cabeçalhos HTTP / HTTPS e parâmetros POST.

Mostra o IP da página atual no bar.It estado também inclui informações como o nome do host, o ISP, o país ea cidade.  

Banco de dados Open Source Vulnerability Search.
Assista o cookie selecionado na barra de status.  
Mostra cabeçalhos HTTP na barra de status
Exibe o atual cifra e certificado na barra de status SSL / TLS.
Fazer solicitações HTTP, interagir com os serviços web e assistir a saída.
Mostrar o código JavaScript que estão em execução em páginas da web
Ferramenta de gerenciamento proxy avançado.
Mostra uma bandeira do país para a localização do server.inclui ferramentas como Whois, Geotool, Ping, Alexa, etc
Localização do servidor web, IP, Datacenter, Ping, Traceroute, RDNS, AS etc
Revela a tecnologia do servidor web (Apache, IIS, etc)
Pesquisar banco de dados de senha padrão CIRT.net.
 
Ate a próxima galera =)

Alguns comandos uteis no linux

15.11.2013 (1:44 pm) – Filed under: Dicas ::

Montar um arquivo ISO
mkdir /mnt/cdimage mount -o loop -t iso9660
cdimage.iso /mnt/cdimage/

Ejetar a bandeja pelo terminal
eject

Compilar o código fonte
./configure
make make
install

Juntando arquivo
cat arquivos arquivos > arquivofinal
Ex.:cat arquivo.7z.001 arquivo.7z.002 arquivo.7z.003 > arquivo.7z

Dividindo arquivos
split -d -a 3 -b [bytes][k|m] [nome do arquivo] [outro nome qualquer]
Ex.: split -d -a 3 -b 100m cdimage.iso cdimage.iso // iremos dividir o arquivo em 100MB cada parte

 

 

Tails distribuição Linux

15.11.2013 (1:31 pm) – Filed under: SOs ::

Tails é uma distribuição Linxu baseada no Debian GNU/Linux e roda em modo live, com o objetivo não deixar rastros quando você se comunica pela internet e criptografar tudo que for possível.

Alguns pontos que o tails pode ser  seguro?

1)  Todas as conexões estão configuradas para usar a rede de anonimato Tor,em ponto a ponto são bloqueadas, já que elas podem revelar seu IP de origem;

2) A distribuição não usa o HD da sua máquina pois existe métodos para recuperar informações gravadas. O Tails grava os dados na memória RAM. Isto,dificultando a recuperação de documentos extremamente sigilosos. Mas existem métodos custosos para recuperar dados da memória;

3) Criptografia por todo o sistema: criptografia do sistema de arquivos com o Linux Unified Key Setup (LUKS). Usando HTTP com SSL em todos os sites que suportam, pelo plug-in HTTPS Everywhere. Comunicação via OTR (Off The Record). Limpeza dos arquivos com o Nautilus Wipe e criptografia das mensagens por e-mail com OpenPGP.

O Tails certamente não é o mais seguro, mas tem a capacidade de atingir um nível de segurança adequando as suas necessidades

O Tails pode ser baixado direto do site oficial onde esta em sua versão 0.21.