oct 24 2011

/* Sec tools */ (Cap 1). Whatweb y curl. “Seguridad por oscuridad” en servidores web GNU/Linux y Apache.

Category: Debian,Hacking | Redes,Sec Tools,Seguridad Informatica,Software | CMS,Webmasterdabo @ 10:13 pm

El concepto de “seguridad por oscuridad” viene ya de lejos. Imagino que, si hablamos de servidores web, nace de la necesidad de protegerse tanto de muchos ataques automatizados que pueden llegar a nuestro servidor web, buscando versiones de software vulnerables, como de la imposibilidad de realizar esas actualizaciones o frente a ataques “0 day”, para los que no hay ningún parche disponible.

Hoy vamos hablar de una herramienta interesante que ya mencioné  hace más de un año en el pasado FIMP. Se trata de “Whatweb”, (acceso a la web del proyecto y su lugar en GitHub). Se trata básicamente de una herramienta capaz de identificar las versiones instaladas de la gran mayoría de CMS (gestores de contenidos) actuales, plugins y una gran variedad de aplicaciones web. También proporciona datos tan relevantes como versiones de Apache, SSL o PHP a través de la información extraída de las “cabeceras” o “banners” que lee cuando realiza una petición al website en cuestión.

"Features" (Según se lee en la web del proyecto):
	* Over 1000 plugins
	* Control the trade off between speed/stealth and reliability
	* Plugins include example URLs
	* Performance tuning. Control how many websites to scan concurrently.
	* Multiple log formats: Brief (greppable)
          XML, JSON, MagicTree, RubyObject, MongoDB, SQL.
	* Proxy support including TOR
	* Custom HTTP headers
	* Basic HTTP authentication
	* Control over webpage redirection
	* Nmap-style IP ranges
	* Fuzzy matching
	* Result certainty awareness
	* Custom plugins defined on the command line

Por lo general, simplemente dentro del directorio desde donde hayamos descargado Whatweb, ejecutamos;

Leer el resto de;”/* Sec tools */ (Cap 1). Whatweb y curl. “Seguridad por oscuridad” en servidores web GNU/Linux y Apache.”

Tags: , , , , , , , , , ,

oct 15 2011

De seguridad en WordPress. 20 plugins recomendados, configuraciones de Apache y nmap

Category: Hacking | Redes,Seguridad Informatica,Software | CMS,Tutoriales | Guías,Webmasterdabo @ 4:17 pm

# Introducción y enlaces recomendados para su lectura.

Ya he hablado antes en DaboBlog de seguridad y WordPress. No hace mucho, publiqué en mi cuenta de Twitter un enlace con el título “Hardening WordPress” (la guía oficial de WordPress para fortificar instalaciones de WordPress). El amigo Jordi Prats de “System Admin”, escribió un artículo “Configuración segura de Apache para WordPress“, con el fin de evitar el listado de plugins frente a una auditoría realizada con nuestro querido Nmap (vía el script http-wp-plugins para nmap)

En el caso de Jordi, fue a raíz de un post muy interesante de Chema Alonso (de “El lado del mal”) en el que realizaba un ataque de este tipo, con algún tip más (por ejemplo el típico error del listado de directorios en Apache y entrar “hasta la cocina”).

Pero tenía pendiente esta entrada sobre este tema y está dedicada especialmente a Dani de “El Arca de la alianza” ya que en alguna ocasión me lo había comentado, y era algo en “pendiente” desde que grabé con él un podcast sobre “Iniciación a la seguridad informática”.(y a ver si retomas la publicación bandido;).

Sobre todo esto se ha escrito por supuesto mucho y muy bien en otros blogs, pero destaco y recomiendo leer los enlaces a las entradas de WordPress.org, Jordi , Chema, Security By Default y Oreixa (con esos seis enlaces ya tenéis una buena hoja de ruta para empezar) ya que me parece que todo puede ser complementario. También citaré alguno útil en el caso de que tengáis el registro de usuarios activado en vuestro blog.

Además de cuestiones como proteger la cuenta de admin (o cambiar el nombre), tener passwords potentes (y cambiarlos), habilitar incluso el acceso por SSL al área de administración (Oscar Reixa habló de ello y publicó una entrada de la parte que tocó de WordPress junto a mi en el FIMP 2010) o una configuración de PHP para que en el caso de que haya algún fallo en la ejecución de una función o un plugin (display errors “off”) para que no revele el “path” o ruta de la instalación de WordPress (un tema publicado no hace mucho en Security By Default, recomendable su lectura). Sobre cuestiones de seguridad, servidores web y Apache (que está todo relacionado), quizás os sirva también de ayuda el resumen de mi participación en el FIMP de Gijón (2010).

# 21 Plugins para dotar a WordPress de más seguridad.

#Actualizado, gracias por vuestras sugerencias ;)

 Vamos a pensar que no todo el mundo tiene acceso vía SSH para controlar su servidor, puede estar en un hosting compartido y creo que sobra decir que si no tenéis vuestra instalación, temas en algún caso y plugins actualizados, de poco servirán muchas de las medidas de prevención comentadas.

Akismet; Todo un clásico, poco hay que hablar de él, salvo que conviene mirar de vez en cuando los comentarios o “trackbacks” ya que no es muy difícil ver “falsos positivos” y más cuando alguien en un comentario alguien mete más de 3 enlaces como se puede configurar en “Ajustes-Comentarios”). Web del plugin

Comment Timeout; Como complemento a Akismet es perfecto. Permite cerrar los comentarios en entradas antiguas, tanto a nivel global, como en cada entrada individualmente. También funciona con los “pingbacks” o “trackbacks”. Web del plugin.

WordPress Backup (BTE); Realizar una copia de seguridad de vuestro tema actual, uploads, imágenes, el tema actual, etc en un directorio (formato .zip) también hay una opción para enviarlo todo por e-mail. Web del plugin.

WordPress Database Backup; Como complemento al anterior, realizar backups de vuestra base de datos (incrementales) y además, tiene la opción de poder enviarlos por e-mail. Web del plugin.

Automatic WordPress Backup; Según nos sugiere e informa en los comentarios Rastreador “Este plugin realiza backups periódicos de tu instalación de WordPress contra un servidor S3 de amazon”. Web del plugin.

WP-DBManager; al igual que si desde vía SSH ejecutáis comandos MySQL como mysqlcheck -o (optimize) – c (check) -r (repair), este plugin hará lo mismo, ayudando a que vuestra base de datos esté siempre a punto. Web del plugin.

Stop Spammer Registrations Plugin; Aquí ya entramos en el tema de los blogs con registro de usuarios habilitado, previene y puede dejar en “cola” de aprobación, a los usuarios con correos o IPs que puedan estar marcados como “spammers” por StopForumSpam.com, Project Honeypot, DNSBL o BotScout. Web del plugin.

Además del comentado “Stop Spammer Registrations”, que ayuda con el Spam y usuarios potencialmente peligrosos puede estar bien usarlo junto a;

Cimy User Extra Fields; Posibilita la opción de reforzar el área de registro del blog, con campos personalizables, sistemas de verificación del registro, puedes ver en una lista de los usuarios pendientes de activar su cuenta, etc (ejemplo en Daboblog con otro parecido, Register Plus Redux). Web del plugin.

Wp Contact Form 7 + Really Simple CAPTCHA; Una buena opción de formulario de contacto junto a la función de Captcha del “Really Simple” para evitar Spam en el envío de correos. Web de WP Contact Form 7 | Web de Really Simple Captcha.

WP Hide Dashboard; También útil para blogs con registro de usuarios, remueve los campos innecesarios del perfil de usuario para que no pueda acceder a otras áreas administrativas. Web del plugin.

Login LockDown; Plugin para prevenir ataques de fuerza bruta contra el usuario / password. Por citar un ejemplo, puedes definir que con 3 intentos fallidos de “login”, se realice un bloqueo contra la IP durante 600 seg. Luego verás una lista de las IPs bloqueadas (pudiendo sacar alguna de esa “lista negra”. Web del plugin.

AskApache Password Protect; Un gran plugin que no estaba añadido, permite autenticación “HTTP Basic” o una más segura “HTTP Digest Authentication”. Te puede ayudar a bloquear Spam y conservar recursos de CPU, memoria, base de datos, etc. Puedes elegir un usuario y password para proteger además del login, directorios como wp-admin, wp-includes, wp-content, plugins, etc. Web del plugin.

Exploit Scanner; Puede ser útil en el caso de que vuestra instalación haya sido comprometida, para buscar en la base de datos, o ficheros, rastros de y huellas de un ataque (también busca en el CSS, HTML, etc). Ojo a los 128 mb de memoria. Web del plugin.

Secure WordPress; Múltiples funciones como pueden ser; remover la versión de WordPress, crear un archivo “index.php” en /themes o /plugins para evitar el listado de directorios, proteger vuestro WordPress contra peticiones de URL maliciosas, evitar que tanto WP a nivel de Core o sus plugins no se actualice salvo por administradores, remover de wp_head opciones como “Windows Live Writer” o “”Really Simple Discovery”" o remover informaciones de error en el login. Web del plugin.

Block Bad Queries (BBQ); Ayuda como el anterior a proteger WordPress de peticiones de webs o IPs maliciosas, realiza un chequeo de cadenas excesivamente largas (por ej mayores de 255 caracteres) , también controla peticiones URI / “Base 64″, etc. Web del plugin

WP-Sentinel; Además de un sistema de bloqueo de IP, alertas al usuario en caso de ataque, etc, protege la instalación de algunos ataques tan comunes como; “Cross Site Scriptings, HTML Injections, Remote File Inclusions, Local File Inclusions, SQL Injections, Cross Site Request Forgery, Login bruteforcing, Flooding“. Web del plugin.

WP Security Scan; Realiza un chequeo de tu WordPress buscando posibles vulnerabilidades y sugiere acciones correctivas en campos como; passwords, permisos de ficheros, seguridad de tu base de datos, oculta la versión de WP, protección para la zona de administración y remueve la etiqueta ” WP Generator META” del “core” de WP. Web del plugin.

AntiVirus for WordPress; Su función es realizar búsquedas diarias con reportes vía mail de en vuestro WP por si hay algún script o llamada maliciosa, protege de ciertos exploits e inyecciones de spam. Otra protección contra el malware en vuestro blog. Web del plugin.

Mutex; (tal y como publican en Security By Default) “Es un plugin para WordPress que incorpora PhpIds y además, lo integra perfectamente en WordPress permitiendo su administración desde el panel de gestión”. Web del plugin.

Además de todo esto, os recomiendo dar un vistazo a esta entrada del mes pasado en DaboBlog sobre “Web Site Defender“, un servicio muy interesante para controlar instalaciones de WordPress. Y recordad borrar el readme.html que da la versión !

Espero que os sea de utilidad, partiendo de la base que siempre se podrán encontrar brechas de seguridad en un sistema remoto y, que ese concepto de la “seguridad total” es sólo eso, un concepto, estas acciones os ayudarán a estar “un poco más tranquilos”, saludos ;).

Tags: , , , , , , , , , ,

ene 15 2011

5º Aniversario de DaboBlog, entrevista en Security By Default y… ¿APACHEctl.com?

Category: Dabo | Personal,GNU/Linux,Hacking | Redes,Mi Opinión,Otras Webs | Blogs,Seguridad Informatica,Windowsdabo @ 12:28 am

Bueno, sé que el título quizás es un tanto “comprimido”, pero como habéis podido comprobar, de un par de meses a esta parte, el ritmo de publicación aquí ha bajado.

Ando con la 4ª marcha metida y cerca de pasar “la ITV”, pero todo está ok y hoy ha sido un gran día, os cuento;

Y DaboBlog cumplió 5 años…

Para ser sincero, si Destroyer hoy no me avisa de lo del 5º aniversario del blog, se me hubiese pasado esta fecha tan “redonda”. No voy a repetirme mucho pero de veras, gracias a todos por el apoyo. A los de siempre, a la gente que se ha subido al carro de nuestro podcast (¡cómo iba a olvidarme de los compañeros de micro! ) y a quienes me acompañan y sacan adelante  Daboweb, Caborian o DebianHackers “sin salir tanto en la foto” como yo.

El 2010 ha sido un año de difusión para el blog , está todo resumido en la lamentable sección “Autobombo” -;).

Entrevistado en Security By Default (Por Alberto Ortega).

Bueno, si hablo de Security By Default, estamos hablando del blog ganador de los premios Bitácoras 2010 en la categoría “Seguridad”. Como algunos recordaréis, quedé en un (sorprendente para mi) 6º lugar en la clasificación final, podía añadir también un “no merecido” tal y como expliqué en mi entrada sobre los premios.

Pero también hablamos de uno de los lugares dedicados a la seguridad de referencia en el panorama nacional y por qué no decirlo, de Hacking en la acepción más “pura” del término. He cruzado twitters y mails con Yago Jesús, Alejandro Ramos y Alberto Ortega, (saludos al resto del equipo-;) son grandes profesionales en sus áreas de actuación, con curriculums impresionantes, pero también gente muy cercana y dispuesta a echar un cable a quien lo necesite.

Y precisamente, “le tocó el entuerto” (gracias por tu paciencia-;) a Alberto Ortega de hacerme la entrevista. Los más asiduos al blog o quienes siguieron mi participación en el pasado EFIMP de Gijón, conocéis mi devoción por una herramienta indispensable para mi, hablando de auditorías de seguridad llamada PenTBox, pues bien, él es su creador…

Acceso a; Entrevista a David Hernández (aka Dabo)

Muchas gracias a todo el equipo y suerte con vuestro Wargame !!

¿APACHEctl.com? Estamos de estreno.

En estado de “Beta final”, ya podéis acceder a apachectl.com, un proyecto que se viene gestando desde hace un par de años y en el que estoy implicado con un bonito “próximamente” en mi perfil (son unos liantes-;) con dos grandes profesionales y mejores amigos,  Antonio J Pérez (AJ) y Oscar Reixa (Oreixa).

Como podéis ver, es la extensión natural de nuestra cercanía con los servidores web y por ende, con GNU/Linux, que no se de soporte a servers bajo Windows no es una pose, nunca nos meteríamos en algo en lo que no tuviésemos la experiencia necesaria para sacar adelante un trabajo.

Muchas gracias a todos los colegas por las sugerencias, críticas y apoyo, pero especialmente a David Busto (sí, el de “ennegativo”-;) y a Dani Castaño (su “cuñao”) por la paciencia y buen hacer con nuestra imagen corporativa (uff eso me suena muy a emprendedor-iniciador 3.0, mal vamos…). El feed del blog y nuestro Twitter.

Yo ando a medio gas y prometo no spamear más de lo necesario (hasta que pase la ITV y meta la séptima-;).

Aquí ya veis que estamos como en Supercor, 3 (post) x1 para no petaros el feed, gracias !!!

Tags: , , , , , , , , , ,

nov 18 2010

“Kernel Panic” especial “SysAdmin” con Ricardo Galli (Menéame, UIB)

Category: DaboBlog Podcast,GNU/Linux,Hacking | Redes,Sin archivar,Webmasterdabo @ 11:40 pm

tuxipod.jpgHola amigos, hace tiempo ya hablamos en algún Kernel Panic sobre la posibilidad de hacer un episodio especial dedicado a la administración o gestión de un servidor y proyecto web. Hoy no están al micro los habituales en Kernel Panic (Forat y N1mh), ni Oreixa que también le da al tema, pero esperaban esta entrega con las mismas ganas que muchos de vosotros.

Me ha costado un poco sacarlo al aire (más que nada por documentar el audio bien), pero aquí tenemos este especial fuera de la programación habitual del podcast (el día 1 de cada mes) que está destinada mayormente a toda la comunidad de “SysAdmins” de facto o en ciernes que seguís “Kernel Panic”. También a los que os pasáis por aquí habitualmente a enriquecer la conversación y que os interesa esta temática o muchos colegas de Twitter con los que hablo de estas cuestiones.

Especial SysAdmin y Servidores Web, en “Kernel Panic” con Ricardo Galli.

Cuando pensé en este especial, tenía clara una cuestión, nadie mejor que Ricardo Galli (en Twitter @gallir) para llevarlo adelante y no me equivoqué. No sólo por su experiencia en la creación, gestión y administración junto a Benjami Villoslada de Menéame, sino por una trayectoria (Dóctor en Informática, profesor de la UIB o portavoz de la Free Software Foundation) muy amplia que muchos conocíamos desde la época más álgida de Bulma.

Tengo que agradecerle a Ricardo lo que me ayudó a preparar todo, la cercanía e implicación a la hora de hacerlo, lo rápido que me dijo “sí” y también lo que he aprendido sobre ciertos conceptos y situaciones a las que te enfrentas en el día a día con el sistema.

# Añado, el post de Ricardo sobre el podcast en su blog, gracias !! Me dejaste K.O con tus palabras…

Leer el resto de;”“Kernel Panic” especial “SysAdmin” con Ricardo Galli (Menéame, UIB)”

Tags: , , , , , , , ,

nov 06 2010

Confirmando, estaré con Ricardo Galli (Menéame) en el Podcast especial sobre servidores web

Category: DaboBlog Podcast,GNU/Linux,Hacking | Redes,Webmasterdabo @ 4:28 pm

Hola amigos, en el pasado podcast anuncié que haríamos un episodio especial  SysAdmins en “Kernel Panic” sobre la gestión y administración de servidores web, no dije el nombre del invitado para prepararlo con tranquilidad junto a él y dejar al episodio 23 seguir su ritmo habitual.

Como los más asiduos al podcast sabéis, hemos hablado desde el principio sobre estas cuestiones. Bien con mis propias experiencias, o con esos super tutos de Forat (los “famosos 12 cómodos pasos” que tanto le gustan a Diego-;).

Después de mi charla junto a Oreixa sobre análisis, control del tráfico y seguridad en servidores web del pasado EFIMP (resumen de mi participación), lo que voy publicando aquí y lo comentado en los podcast, muchos habéis demandado más información acerca de esta temática y vamos a darle un buen impulso con este episodio especial.

Os confirmo que tendremos al micro a Ricardo Galli en la que para mi, es una de sus facetas más interesantes, la de administrador de un sistema que puede llegar a ser tan crítico por múltiples cuestiones técnicas, como es Menéame.

Estaréis de acuerdo conmigo en que si hablamos de tráfico extremo, aprovechamiento de recursos, escalado, etc, no podemos tener a nadie mejor que él para contarnos sus experiencias en la administración y gestión de un servidor o proyecto web.

Junto a las suyas, estarán las mías, obviamente a un nivel menor en lo técnico y en cuanto a tráfico, pero quizás haciendo de “puente” entre algo tan extremo como Menéame y las máquinas entre las que me muevo habitualmente y de ese modo, poder estar tanto cerca de los problemas con los que aquí o en Twitter comparto experiencias, como de quienes estáis pensando en migrar a soluciones más potentes para alojar vuestro proyecto web.

Tengo que darle las gracias públicamente a Ricardo por aceptar de tan buen grado la invitación. Lo digo porque se ha implicado a fondo en esto desde el principio y me está ayudando a darle forma y definir los temas a tratar. Ayer mismo, sin ir más lejos, estuvimos cerca de 3 horas al micro charlando y preparando la grabación. Os aseguro que es no es fácil, ya que sin una pantalla o presentación como apoyo, hay que centrarse aún más.

Si todo va bien, la grabación la haremos mañana Domingo, la duración tampoco es fácil de calcular, pero intentaremos no pasarnos mucho (aunque ya sabéis los giros que hemos dado con eso en el podcast -;).

Desde el Cloud Computing a un VPS o dedicado, charlaremos de escalado, configuración, optimización, monitorización, seguridad y lo que vaya surgiendo. Antes del día 15 lo veréis publicado en nuestro feed habitual de ivoox y en el post que abriré aquí.

Espero que cumplamos con nuestro objetivo, hacer algo útil y práctico. Gracias por el apoyo amigos. ¡ Nos escuchamos pronto !

Podéis dejar vuestras preguntas aquí si hay algo que os interesa especialmente ;)

Tags: , , , , ,

jul 11 2010

“Sobrevive a tu tráfico web” Impresiones y la parte de mi charla, seguridad a nivel de servidor en el #FIMP

Category: Dabo | Personal,Debian,GNU/Linux,Hacking | Redes,Seguridad Informaticadabo @ 12:48 pm

Hola amigos, alguno me pidió que publicase enlaces y algún texto sobre la parte que me tocó a mi (Servidores web y seguridad) en el pasado ESET Foro Internet Meeting Point que se celebró en Gijón.

Foto cortesía de mi gran amigo Fernando (SInLaVeniA), su crónica.

En su momento, hablé más o menos aquí de lo que iba a hablar en esos 30 min que me tocaban a mi en el EFIMP, después, os comenté en esta otra entrada que tendría el placer de compartir mesa con Fernando De La Cuadra (ESET), muchas gracias por todo, además de con un gran amigo Oscar Reixa (Oreixa) que ya ha publicado su parte de la charla (Seguridad en WP y optimización), alguien que no dudo en estar conmigo allí cuando le comenté la posibilidad de hacer algo juntos para la ocasión.

No voy a intentar referenciar o enlazar a todos los amigos que estuvieron allí además de los que conocí “in situ”, porque seguro que me olvido de alguno así que sólo puedo decir que gracias, por todo.

Lo cierto es que el tiempo era justo y después estaba el partido de Paraguay, (que no lo pude ver entero ya que Oreixa tuvo que llevar a Julia a casa por un asunto familiar y me quedé encerrado en su coche 20 min, con radio, eso sí -;) pero quizás contra lo que más tuve que luchar fue contra mi mismo, el Sábado por la mañana andaba todavía con fiebre del gripazo que me pillé unos días antes.

Pude estar ahí gracias a los antibióticos, el Bisolgrip, la excelente organización con su máximo exponente en Ana Fernández Ordíz, tutelada por un gran profesional como Carlos Urioste y a esos grandes amigos que tengo -;).

El Viernes no pude estar por razones obvias, pero desde las 9,30 del Sábado, estuve asistiendo a las interesantes charlas que nos precedían y conseguí “desquitarme” un poco el Sábado por la noche cuando acabó todo y compartí unos cuantos buenos momentos con varios de los participantes del EFIMP.

Me precedieron como os decía Fernando De La Cuadra (ESET) que habló de seguridad local con algunos conceptos fundamentales y Oscar Reixa (Oreixa) que tomó el testigo hablando de seguridad a nivel de WordPress (El CMS más usado de los que estábamos allí) y cuestiones de optimización como podéis ver en el enlace de superior de su parte).

Luego seguí yo hablando de seguridad web a nivel del servidor (cuando publiquen el vídeo lo enlazaré desde aquí), cada ejemplo lo acompañé de una demostración práctica ya que no quería quedarme sólo en la teoría y me basé en experiencias propias usando para ello un par de servidores web dedicados en producción bajo Debian, el mismo S.O que corría en mi MacBook (con KDE 4x). Todo ello dentro de mis limitados conocimientos adquiridos a base de muchas noches intentando “comprender”.

Algún participante comentó que quizás mi parte era muy técnica pero en el programa y donde iba mi ficha de participante ya puse esto “Todo ello apoyado con escenarios reales de ataques web de diversos tipos” y vaya, Internet es tan real como lo que se pudo ver(me quedé corto, os lo aseguro).

Conocer los riesgos o amenazas antes de montar tu flamante negocio online (que se habló mucho de ello) por citar un ejemplo y saber a qué te enfrentas y cómo hacerlo o qué deberías contratar caso de que no quieras pasarte media vida frente un terminal, creo que es fundamental. Ya hablé en esta entrada de la situación inicial en la que te encuentras contratando un servidor virtual/dedicado administrado sólo con un Plesk, DA o Cpanel.  Mucha responsabilidad y más riesgo.

Todo ello partiendo de la base de que como dije allí, hablamos de ataques automatizados en la mayor parte de los casos, si esos ataques se realizan de un modo directo por alquien que tenga los motivos, conocimientos o dinero suficiente para llevarlos a cabo, tienes un buen problema ya que de un modo u otro, acabaría por conseguir su objetivo…

Parte 1; Seguridad por oscuridad.

Como complemento a lo que comentó Oreixa a nivel de WordPress, di algún repaso a cuestiones de Apache y PHP frente a posibles ataques automatizados buscando versiones obsoletas como pueden ser las siguientes;

Ocultar la versión de Apache y PHP (con ello también la del sistema operativo a veces y PHP, SSL, etc)

Primero vimos cómo con una simple extensión de Firefox se podía conseguir una valiosa información acerca del servidor web que está ejecutándose en una web, se trata de Server Spy.

En apache2.conf (normalmente estaría en /etc/apache2/apache2.conf) cambiamos los siguientes valores; ServerTokens por defecto está en “Full”, lo cambiamos a “Prod”.
ServerSignature por defecto está en “On”, lo cambiamos a “Off”.

Luego vimos como con esto no es suficiente ya que el “flag” de PHP por defecto revela información acerca de estas cuestiones tal y como se comprobó con una simple petición con curl;
curl -i aqui-la-web.com y mediante la herramienta whatweb con un ./whatweb aqui-la-web.com

Para ello, editamos el fichero de configuración de PHP, php.ini (normalmente en /etc/php/apache2/php.ini)
El valor expose_php por defecto está en “On”, hay que ponerlo en “Off”, esto, además de revelar que está ejecutándose de facto PHP, algo que no es un riesgo para la seguridad realmente, revela la versión de PHP como se pudo ver también mediante una petición con curl, el mismo whatweb o vía un escaneo con nmap del tipo nmap -sS -sV -P0 aquí-la-web.com.

Para que todos estos cambios se hagan efectivos, es necesario recargar la configuración de apache, por ejemplo con /etc/init.d/apache2 reload.

Para testar cómo es nuestra configuración de PHP a nivel de seguridad, aconsejé el uso de phpsecinfo, sólo tenéis que descargarlo y descomprimirlo dentro de la raíz de vuestro site y acceder vía el navegador.

Parte 2; Rootkits, puertos, servicios ejecutándose en la máquina.

Aquí primero hice un par de demos con dos herramientas para buscar Rootkits-Troyanos además de cambios (al estilo Tripwire) en comandos esenciales en el sistema, configuración de algunos servicios y versiones, en este caso rkhunter, además de otra aplicación muy potente como chkrootkit.

También puse algún ejemplo de cómo controlar el estado de las conexiones viendo tanto puertos abiertos como qué servicios se ejecutan en dichos puertos con herramientas como;

iptraf, lsof o netstat o nmap pudiéndose añadir alguno más, varios ejemplos;

netstat -an
lsof -i
ps ax | grep apache | wc -l (Procesos que origina Apache)
netstat -n -p | grep SYN_REC | awk ‘{print $5}’ | awk -F: ‘{print $1}’ | sort | uniq -c | sort -n (Tráfico SYN).

También hablé de la importancia de controlar el tráfico que enviamos o recibimos y además del uso de Munin (que se vio en la parte de Oreixa), puede ser una buena opción el comando vnstat, ejemplos;

vnstat -m (mes)

vnstat -d (dia)

vnstat -h (hora)

Parte 3, diferenciando el tráfico legítimo del no deseado y bloqueo con Mod Evasive.

En esta parte además de hablar de algún ejemplo de picos de tráfico supuestamente legítimos que al final no lo eran tanto (Robots de Yahoo, algún ataque de una Botnet, etc), recomendé para monitorizar en tiempo real el tráfico que llega a nuestras webs, el uso del módulo para Apache Server Status (ahí se puede ver en el sitio web de Apache a Mod Status en acción).

Luego, para los casos en los que sea necesario bloquear picos de tráfico puntuales (más que parar un ataque DoS como se lee mucho por ahí), otro módulo para Apache como Mod Evasive puede ayudarnos, hice una demo del script en Perl que viene con él, (test.pl) para ver cómo bloqueaba un intento masivo de 200 conexiónes a la vez.

Parte 4, acceso al servidor vía SSH, FTP, riesgos y medidas de seguridad.

Hablé de algún consejo para usar con mayor seguridad estos servicios, realizando una demo con Medusa de un ataque de fuerza bruta contra una cuenta FTP y el mejor consejo que pude dar es que no se use como nombre de usuario del FTP, el mismo que tiene la web, para que un ataque de fuerza bruta no sea tan fácil de realizar.

Recalqué lo importante también que es además de cambiar el puerto por defecto del SSH (el 22) y de no usar la cuenta de “root” para conectar vía SSH, revisar los logs del sistema con regularidad ya que este tipo de ataques dejan un rastro fácil de seguir a poco que se observen con atención esos logs (authlog, secure.log, etc).

Para proteger los intentos no deseados de conexión vía SSH, recomendé el uso de DenyHosts (también puede servir Fail2ban) que bloquea tras el número de intentos que definamos una conexión añadiendo la IP a “hosts.dey” y enviando un mail con la IP del bloqueo. También BFD os puede ayudar hablando de ataques de fuerza bruta.

Parte 5, APF Firewall trabajando junto a Iptables.

Para usuarios que no estén familiarizados con el uso de iptables, el firewall por excelencia en sistemas GNU/Linux, recomendé el uso de APF Firewall, puede trabajar junto a paneles como Plesk, CPanel, DA, etc, contando con un fichero de configuración (/etc/apf/conf.apf) muy faćil de interpretar, pudiendo cambiar valores del sistema a nivel de Kernel para paliar ataques DoS (sysctl, etc), descargar listas de IPs maliciosas de lugares como Dshield, etc, recargar la configuración pasado un tiempo (muy válido para DNS dinámicas) o al estilo de “Porsentry” detectar y bloquear un escaneo u otros ataques definiendo los valores deseados TOS o proteger ciertos rangos de puertos previamente definidos.

Hice una demo de ataque (DoS Flood Syn) y detección-bloqueo con una gran herramienta como es Pentbox creada por Alberto Ortega, por cierto, esa demo fue sólo una parte de lo mucho que puede hacer Pentbox.

Parte 6, Mod Security para Apache.

Aquí expliqué algo acerca de las bondades del módulo para Apache Mod Security, potente firewall de aplicaciones y del por qué de su uso en hostings compartidos donde el admin no puede controlar todo lo que instalan o no actualizan sus “inquilinos”. Pero ojo con matar moscas a cañonazos…

Repasé a grosso modo las opciones de detección y bloqueo que se pueden definir en sus extensas reglas (CRS) de ataques XSS, inyección SQL, robots maliciosos, peticiones malformadas HTTP, etc.

Hice una demo de un ataque XSS con bloqueo incluido con la “Hackbar” para Firefox.

Parte 7, control del tráfico y servicios con Logcheck y Monit.

Aquí ya el tiempo apremiaba, como os digo esto fue en 30 min aprox y hablé de Logcheck para estar al tanto cada hora en tu e-mail de todos los avisos relevantes del sistema que rastrea buscando en los logs de un modo tan efectivo Logcheck.

Para monitorizar servicios como SSH, FTP, MySQL, etc, recomendé el uso de Monit que avisa caso de que algún servicio esencial caiga, pudiendo levantarlo o ejecutar un comando previamente definido.

Espero que os pueda ser de utilidad, se podría hablar mucho más sobre todo esto y seguro que mucho mejor, pero creo que puede ser un punto de partida para quienes estén interesados en estos temas.

Tags: , , , , , , , , , , , , ,

jun 24 2010

Fernando De La Cuadra (ESET) se une a nuestra mesa en el EFIMP de Gijón -;). #FIMP

Category: Dabo | Personal,Eventos | Prensa,Hacking | Redes,Mi Opinióndabo @ 11:30 pm

Algunos ya estaréis al tanto de que ESET, uno de los grandes hablando de seguridad, ha apostado tan fuerte por el Foro Internet Meeting Point que ahora lleva un “ESET” por delante -;).

Pues bien, tengo el placer de comunicaros que compartirá mesa junto a Oscar Reixa y yo en nuestro; “Cómo sobrevivir a tu tráfico web sin arruinarte o morir en el intento” del que ya os hablé en el blog hace unos días a modo de presentación.

Hablar de Fernando De La Cuadra es hablar de seguridad con mayúsculas, cuenta con una trayectoria impecable primero en Panda y ahora en ESET como director de comunicación y formación de Ontinet, distribuidor exclusivo de ESET en España (NOD32 antivirus, Outpost Firewall, etc). Pero sobre todo y por encima de todo, alguien que disfruta con lo que hace y que estará con nosotros en Gijón como uno más.

Ese “cómo uno más” es un matiz importante ya que, no se trata de ninguna imposición por parte del patrocinador, nada más lejos de la realidad, es el complemento ideal a nuestra charla y después de una conversación que he tenido con Carlos Urioste, alma mater del evento, Fernando y yo hemos contactado o más bien debería decir “conectado” porque estamos en la misma onda, quedando en que sería él quien “abra fuego” el Sábado a las 18,45 h, (Aquí el programa) para darnos paso después a Oscar y a mi.

Por último, os informo que él expondrá varios conceptos-consejos sobre seguridad informática y luego será Oreixa quien recoja el testigo hablando de optimización a nivel de server y seguridad en WordPress, la parte final me toca a mi y con ello, las cuestiones de seguridad y filtrado de tráfico legítimo e indeseado que afectan a nuestros servidores dedicados-privados con varios ejemplos reales de ataques web.

Bueno amigos, ya queda menos, nos veremos en Gijón y aprovecharé para poner cara a gente a la que sigo desde hace tiempo y ver a otros colegas que se pasarán por allí. Como podéis suponer, tanto Oscar como yo estamos encantados de compartir espacio y temática con Fernando -;).

Tags: , , , , , ,

jun 14 2010

Sobre mi participación junto a Oreixa en el FIMP 2010.(Foro Internet Meeting Point). #FIMP

Category: Dabo | Personal,Debian,Eventos | Prensa,Hacking | Redes,Mi Opinión,Otras Webs | Blogs,Seguridad Informatica,Sobre DaboBlog,Webmasterdabo @ 6:58 pm

Edito y añadoResumen de mi charla

A raíz de una distendida y enriquecedora charla que mantuve con Carlos Urioste (Blog > “Voolive“), gerente de El Comercio Digital y gran conocedor de un medio tan “desconocido a veces por los medios” (tradicionales) como es Internet, me he embarcado de lleno (hasta la piscina diría yo-;) en la tercera edición del Foro Internet Meeting Point, Fimp) que se celebrará en Gijón entre los días 1 y 3 de Julio.

En reunión estuvo también Ana Fernández Ordíz (Blog > “Con Alegría e Ilusión“), ella forma parte del equipo que se encarga de promoción y participación online en El Comercio Digital y se nota cuando la gente hace su trabajo llevando el título de su blog a la práctica “con alegría e ilusión”.

Insistieron en que tenía que estar en el FIMP de este año y a pesar de que les dije que hay gente más preparada que yo para estar en un evento de tal calibre, quise estar a la altura de la confianza que depositaron en mi y acepté encantado, consciente de la responsabilidad que supone.

No hay más que darle un vistazo al plantel de ponentes o participantes de este Fimp 2010 (PDF) en las diferentes charlas o mesas redondas para darse cuenta de lo que hablo cuando digo “responsabilidad”…Podéis también ponerles cara a algunos de los organizadores y participantes (no pude estar) que vía Twitter lo presentaron.

Carlos me dio libertad total para prepararlo, imagino que buscaba también la experiencia personal de alguien que como yo, se ha tenido que ir buscando la vida para ir canalizando el tráfico que le llegaba a sus webs.

Un incremento de tráfico que tuve que lidiar primero con un Daboweb que, cuando empezamos (año 2002) ya era un foro con bastante tráfico y sobre todo, hablando de incremento de tráfico, la prueba definitiva para mi llegó a partir del 2005 con Caborian que, al mover tantas imágenes y con unas dos millones de páginas vistas al mes, además de muchas consultas a la base de datos, también es un buen “potro” que domar, además de otras webs que ya conocéis.

Por otro lado, los más asiduos al podcast o el blog, ya sabéis de mi relación tan estrecha con los temas relacionados con la seguridad. El eterno aprendiz, así me podría catalogar en un campo tan vivo como este. Al final, después de darte de leches noches y más noches con el sistema (ya lo digo en mi ficha de participante en el FIMP, no he tenido la suerte de poder estudiar nada relacionado con la informática dentro de un aula) te das cuenta de la gran relación con la seguridad que hay entre un sistema bien optimizado y uno que no lo esté.

Corría el año 2005 cuando contraté mi primer servidor dedicado en Interdominios, (a los que les doy las gracias por el apoyo continuado desde que empecé), un Pentium III con 512 mb de Ram y 40 Gb de disco duro que se portó siempre como un campeón, estaba cansado de sufrir caídas del foro dentro del alojamiento compartido en el que estaba y gracias a Raúl Naveiras, gran amigo y mejor sysadmin, programador y un largo etc, comencé a ser mi propio ISP y de paso, a verle las orejas al lobo y darme cuenta de lo poco que sabía acerca de estas temáticas.

Gracias a Raúl, también aprendí a vivir sin esos paneles gráficos como Plesk, Cpanel, DA, etc que tanto te facilitan la vida cuando no sabes pero que a su vez, tanto limitan tus conocimientos sobre el sistema (GNU/Linux en mi caso), además de tomar un protagonismo excesivo sobre el mismo. Ya les dediqué una entrada en el blog a estos sistemas y la falta de una administración adicional en la máquina.

Luego, cuando fui aprendiendo a base de prueba-error, pasé a meterle mano a servidores dedicados más potentes y a administrar otros de terceros. En estos 5 años, he ido pasando por diferentes fases hasta llegar a comprender más o menos como se mueve todo esto.

También a ser consciente de los problemas que se encuentra cualquiera que inicia un blog u otro proyecto web y empiezan a subir sus visitas, y con ello sus problemas a la hora de elegir su plan de alojamiento adecuado, o ser consciente de lo que deberían pedir cuando contraten un nuevo hosting.

No deja de ser menos cierto que el compartir experiencias en nuestros foros de Daboweb, te ayuda hacerte una idea de los problemas de los demás y cómo intentar paliarlos llegado el caso. Y relacionado con todo esto y la charla-demostración práctica del FIMP, pensé que el compañero de viaje ideal para llevarla a buen puerto era Oscar Reixa (Oreixa).

Alguien que de blogs, ahí están todos sus planetas dentro de Galaxia Blog, ( Recién renovados; Reixa, Mac, iOS, iPhone), de tráfico y de cómo buscarse la vida también sabe mucho. El mismo día en que se confirmó mi asistencia al FIMP, me tomé una cerveza con otro que de este medio podría hablar largo y tendido, desde el punto de vista del blogger, formador, usuario o sufridor de los picos de tráfico de su éxito -;). Hablo de mi amigo Juan García, “Kids” de Blogoff, quien por cierto ha escrito una recomendable entrada sobre “Por qué ir al Fimp sin conocer el Fimp“.

Juan me dio algún consejo para la charla, o más bien me contó cómo le gustaría que fuese según su percepción de las cosas o cómo le afectan las cuestiones de optimización y seguridad en el día a día de la publicación y la forma de afrontarlas. Además darme un montón de ánimos para el día 3, como muchos de vosotros -;).

También estos días, hablando con grandes amigos y gente que lleva adelante proyectos con peso y solera en Internet como pueden ser Destroyer y Danae, Forat, AJ, Rafa Espada o Diego, (juntos llevamos adelante DebianHackers) en este caso me refiero a personas que llevan adelante blogs regularmente pero que también administran sus servidores Privados/Dedicados (o co-administramos, ahí estamos ayudándonos unos a otros desde hace años-;), también voy cogiendo ideas (Liamngls, me faltas tú-;).

Pero para no perder la perspectiva, las sugerencias de otros que van “más tranquilos” en La Red como David Busto o Karbonato, nos vienen muy bien para preparar la charla. En este caso hablo de usuarios a los que no les preocupa tanto el sistema, sino el resultado final de la publicación aunque se interesan por el sistema y Karbonato por ejemplo, tiene un VPS bajo Debian.

¿El resultado?, más o menos la descripción que Oscar y yo a modo de resumen, hemos hecho para dar unas pinceladas de lo que compartiremos con el resto de compañeros que asistirán al evento. Tal y como se indica en el programa definitivo del Fimp; También está al completo con los participantes en PDF.

Título;

“Sobrevive a tu tráfico web sin morir o arruinarte en el intento”.

Descripción;

“Soñamos con aumentar el tráfico de nuestros blogs, pero ¿estamos preparados para un incremento súbito en las visitas sin perder el “sueño”? Repasaremos técnicas básicas de guerrilla para tener a punto tu WordPress, optimizar y preparar el servidor web para absorber ese tráfico.

También veremos con ejemplos y demostraciones prácticas, lo complejo que resulta a veces diferenciar entre el tráfico legítimo y el indeseado que llega hacia tu sitio web. Todo ello apoyado con escenarios reales de ataques web de diversos tipos, dando desde nuestra propia experiencia, algunas pautas para paliarlos y una visión global de lo que deberías saber antes de pasar por caja y contratar una nueva máquina”.

Quizás lo más complejo haya sido darle forma a todo o más bien resumir lo más importante. Esa fase ya está superada (más o menos-;) y ahora queda preparar cada uno nuestra parte. Dispondremos de 60 min y lo haremos en dos bloques, estamos controlando ahora mismo el tiempo para cada uno de ellos. En ambos casos, apoyaremos lo comentado con ejemplos realizados en riguroso (esperemos que no falle-;) directo.

Mi compañero de viaje en el Fimp, Oreixa, se centrará en temas relativos a lo importante que es la elección de un hosting y los puntos a tener en cuenta para contratar un nuevo plan de alojamiento, hablará de optimización desde lo más básico en WordPress (usado por la gran mayoría de asistentes a la charla, también dará pautas y herramientas para asegurarlo), hasta temas de más complejidad en el lado del servidor, válido para un VPS o dedicado, (cachés de disco, memoria, PHP, MySQL, etc), monitorización de servicios y el sistema, etc.

Por mi parte me centraré en temas que afectan a la seguridad y en lo complejo que resulta a veces diferenciar el tráfico legítimo del indeseado. También haré alguna demostración práctica de cómo se llevan a cabo ataques de fuerza bruta como los que realizan servidores o hosts troyanizados (típica Botnet) contra protocolos tan delicados como SSH, FTP, etc, ataques DoS bajo peticiones HTTP o Syn.

También se verán ejemplos de cómo un buscador puede tumbarte un servidor, ataques XSS, vulnerabilidades en PHP y otros servicios, seguridad por oscuridad con varios ejemplos y sus correspondientes test de intrusión externos, ver un firewall en acción y algún consejo para usarlos, búsqueda de Rootkits, control de puertos y servicios a la escucha, etc.

A su vez, iremos viendo alguna medida para poder paliar (en parte, ya que la seguridad “total” es una utopía y más en un servidor web). Como todo esto se va realizar usando 4 o 5 servidores reales en producción, sólo espero que no nos fallen las comunicaciones aunque intentaremos tener un plan B o C. Si os pasáis por el Fimp esos días, puede ser un buen punto de encuentro para ponernos cara delante de unas birras -;).

Edito y añado;

Resumen de mi participación y los temas que traté

Muchas gracias a todos por los ánimos y por vuestras entradas que voy leyendo ;)

Oscar en Planeta Reixa

Fernando en SInLaVeniA

David en Ennegativo

Forat en Forat Dot Info

Diego en DebianHackers.

Caborian Caborians en el FIMP

Además de todos los apoyos que llegan desde Twitter, mails, etc. En “Fimp” que sois la leche ;)

Tags: , , , , , , , , , , , , , , , ,

abr 28 2010

Y Forat acabó -;). Servidor web 2010 con Ubuntu Server, índice paso a paso

Category: GNU/Linux,Otras Webs | Blogs,Tutoriales | Guías,Webmasterdabo @ 12:07 am

Bueno amigos, Forat ha cumplido como un campeón, además de ser un “súper papá”, ha demostrado que cuando decía que cerraba los comentarios para poder seguir creando contenidos, no lo decía por decir.

Ahí está el gran trabajo que ha hecho con su último proyecto, “Servidor Web 2010 con Ubuntu GNU/Linux”, una gran ayuda en el camino de cualquiera que quiera montarse su servidor web en casa con todos los servicios necesarios para echarlo a andar “con fundamento” -;).

A continuación os traigo aquí el índice del tutorial entrega por entrega;

Introducción

- Vol 1 ( Como instalar Linux Ubuntu Server 9.10 )
- Vol 2 ( Configuración de Red y manejo remoto vía OpenSSH con SSH y SFTP
- Vol 3 ( Como instalar LAMP + PhpMyAdmin )
- Vol 4 ( Abrir y redirigir puertos desde nuestro Router )
- Vol 5 ( Encontrando nuestro servidor desde Internet con No-Ip )
- Vol 6 ( Servidor web Apache y su VirtualHost con NoIp )
- Vol 7 ( Dominios comerciales + VirtuaHost en Apachee )
- Vol 8 ( Estadísticas web Open Source con Piwik )
- Vol 9 ( Estadísticas sobre nuestro Hardware con PhpSysInfo

Enhorabuena bro, otro aporte más para la comunidad, a ver con que nos sorprendes ahora -;).

Tags: , , , , , , , , , , ,

mar 11 2010

En 4 líneas (GNU/Linux)

Category: En 4 líneas,GNU/Linux,Hacking | Redes,Software | CMS,Webmasterdabo @ 12:58 am

En 4 líneas…

gnu_linux

1-Nueva versión de un imprescindible, OpenSSH (la 5.4). Novedad;  “netcat mode”, corrige bugs leves (ENG).

2-Importante release, Servidor web Apache versión 2.2.15 (ENG). Corrige bug en SSL y otros de importancia.

3-Forat sigue con su proyecto de servidor web, en la última entrega (usando el servicio de DNS “no-ip).

4-Las 10 apps Open Source más descargadas de la historia (lo de alguna de ellas ni me lo imaginaba). (ENG).

Tags: , , , , , , , ,

Página siguiente »