Smemorandoloro ci vorrebbero tutti schiavi ma noi resistiamo

Questo sito www.pcflank.com permette di eseguire senza dover scaricare nessun tool, test anche abbastanza approfonditi sulla sicurezza del sistema dal quale ci si collega.

alcuni test disponibili : Quick Test Stealth Test Browser Test Trojans Test Advanced Port Scanner Exploits Test

facendo una scanzione del sito www.pcflank.com utilizzando il servizio di verifica messo a sisposizione da safeweb.norton.com si ottiene un risultato non è molto rassicurante.

Questi due tools (chkrootkit rkhunter) permettono di rilevare la presenza di eventuali rootkit, backdoor, sniffer, scanner sulla distribuzione linux che stiamo utilizzando.

Per installarli su Ubuntu:

sudo aptitude install chkrootkit rkhunter

ovviamente l’utilizzo di questi strumenti non ci da la garanzia che il nostro sistema sia esente da minacce ma è comunque già un buon inizio.

Per avviare chkrootkit basta lanciare sudo chkrootkit

mentre per lanciare rkhunter c’è bisogno almeno di una opzione tipo sudo rkhunter -c

Le minacce che dovrebbero riuscire ad individuare: lrk3, lrk4, lrk5, lrk6 (and some variants), Solaris rootkit, FreeBSD rootkit, t0rn (including latest variant), Ambient’s Rootkit for Linux (ARK), Ramen Worm, rh[67]-shaper, RSHA, Romanian rootkit, RK17, Lion Worm, Adore Worm, MD5 hash changes, files commonly created by rootkits, executables with anomalous file permissions, suspicious strings in kernel modules, hidden files in system directories.

per cambiare al volo il MAC address di un’interfaccia di rete su Linux Ubuntu basta lanciare da shell il comando seguente:

sudo ifconfig eth0 hw ether 00:34:E3:0D:34:A5

ovviamente il MAC address 00:34:E3:0D:34:A5 va cambiato a proprio piacimento.

Visto che c’è chi ci prova sempre a bucare il nostro website…

[Sun Nov 15 22:39:48 2009] [error] [client xxx.xxx.xxx.xxx] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Sat Nov 21 04:38:59 2009] [error] [client xxx.xxx.xxx.xxx] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Sat Nov 21 05:19:41 2009] [error] [client xxx.xxx.xxx.xxx] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Sat Nov 21 20:49:55 2009] [error] [client xxx.xxx.xxx.xxx] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Wed Nov 25 06:23:15 2009] [error] [client xxx.xxx.xxx.xxx] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Thu Nov 26 04:22:24 2009] [error] [client xxx.xxx.xxx.xxx] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Fri Nov 27 06:23:02 2009] [error] [client xxx.xxx.xxx.xxx] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Fri Nov 27 07:00:35 2009] [error] [client xxx.xxx.xxx.xxx] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Fri Dec 04 08:37:26 2009] [error] [client xxx.xxx.xxx.xxx] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Fri Dec 04 22:20:37 2009] [error] [client xxx.xxx.xxx.xxx] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Tue Dec 08 06:13:16 2009] [error] [client xxx.xxx.xxx.xxx] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Tue Dec 08 11:30:17 2009] [error] [client xxx.xxx.xxx.xxx] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Wed Dec 09 06:32:59 2009] [error] [client xxx.xxx.xxx.xxx] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Fri Dec 11 01:57:56 2009] [error] [client xxx.xxx.xxx.xxx] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Fri Dec 11 05:30:52 2009] [error] [client xxx.xxx.xxx.xxx] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)

con questo script molto semplice e ben fatto (trovato gia pronto su internet) è possibile aggiungere in automatico un drop su iptables per bloccare tutti quegli ip che provano a sfruttare Web Vulnerability Scanner tipo DFind, basta copiare il codice evidenziato qui sotto in un file tipo w00tw00t.sh e farlo girare con il cron.

#!/bin/sh
# add iptables drop for w00tw00t scan

for ip in `cat /var/log/apache2/error_log |grep w00tw00t | awk ‘{print $8}’ | sed ‘s/]//g’  | sort -ug` ; do
countoff=$[$countoff+1]
countwoot=$[$countwoot+1]
iptables -I INPUT -s $ip -j DROP
iptables -I OUTPUT -s $ip -j DROP

Default username and password

Di seguito l’elenco delle username e password impostate di default dai produttori di switch, router, access point, ecc…
Read the rest of this entry »

Installare Kismet con apt-get:
su root
apt-get install kismet

una volta terminatea l’installazione che solitamente è rapida ed indolore bisogna editare il file di configurazione /etc/kismet/kismet.conf con il vi o altro editor,

vi /etc/kismet/kismet.conf

nel mio caso per permetterne il funzionamento di kismet con la scheda Intel PRO/Wireless 3945ABG utilizzo il driver ipw3945, cerco quindi all’interno del file la riga che inizia con source= e modifico i valori di default con ipw3945,wlan0,dv9000 ottenendo questo:

source=ipw3945,wlan0,dv9000

riepilogo il significato della riga sopra riportata:
il primo valore ipw3945 identifica il driver per la scheda wifi che si sta utilizzando, il secondo wlan0 l’interfaccia wireless e il terzo dv9000 non identifica niente in particolare e può essere popolato a piacere.

a questo punto settiamo la scheda wireless in monitor:
iwconfig wlan0 mode monitor

e avviamo kismet con il comando:
kismet

una volta terminato l’utilizzo di kismet possiamo reimpostare la scheda wireless in modalità managed con il comando:
root@oem:/# iwconfig wlan0 mode managed

Se ci fossero dubbi scrivete pure qui un commento risponderò appena possibile.
Ricordo a chi non lo sapesse o preferisce far finta di non saperlo che introdursi all’interno di una network se non si è autorizzati è illegale quindi il programma kismet va utilizzato a scopo didattico e per capire fino a che punto la propria rete wireless è vulnerabile…. se una porta è aperta non è detto che siamo autorizzati ad entrare.