DaboBlog

Lo primero que os recomiendo antes de empezar a leer esta entrada, es dar un vistazo (los asiduos a DaboBlog ya lo conoceréis) a este post sobre el resumen de mi participación junto a Oreixa en el pasado EFIMP (Eset Foro Internet Meeting Point) de Gijón en el que hablo de diferentes tipos de ataques web y control del tráfico en nuestro servidor GNU/Linux con herramientas como Mod Evasive, Apache Status, Mod Security, Medusa, Whatweb, Pentbox, APF Firewall, etc.

Más que nada lo digo porque cuando hablamos de ataques de fuerza bruta, solemos dar prioridad (obviamente) a servicios como ssh con soluciones como fail2ban o DenyHosts tal y como reseño en esa entrada pero ¿qué pasa por ejemplo con el FTP u otros tan sensibles como el correo?

Ahí es donde entra en escena BFD, una herramienta más de los creadores de APF Firewall (que por cierto, su trabajo es impresionante, mirad la lista, tengo que probar LSM, Linux Socket Monitor)

¿Qué es y cómo actúa BFD?

BFD es una aplicación creada por Ryan MacDonald con licencia GPL que una vez instalada, se ejecuta por defecto cada 3 minutos en el cron, buscando en logs relevantes del sistema (/var/log/secure, /var/log/auth.log, /var/log/messages, esto puede variar según la distro) rastros de posibles huellas de ataques de fuerza bruta (fallos de autenticación) en servicios como courier, cpanel, exim, proftpd , pure-ftpd, sshd, etc.

¿Cómo actúa? una vez que localiza el ataque (por defecto el valor que viene en su configuración es “TRIG=”15″, 15 intentos) ejecuta un comando del sistema para bloquear el host que lo ha provocado (por defecto usa el bloqueo de APF Firewall, asumiento, erróneamente a mi modo de ver, que se tiene instalado APF, este es el comando (BAN_COMMAND=”/etc/apf/apf -d $ATTACK_HOST {bfd.$MOD}”)

Aspectos a tener en cuenta. (Probado en Debian Lenny)

Pero en ese valor, (BAN_COMMAND=) podéis usar comandos de iptables, Shorewall, etc, u otro del tipo BAN_COMMAND=”route add -host $ATTACK_HOST reject”. Eso queda a vuestra elección y depende de qué tengáis instalado en el servidor web.

En el fichero de configuración principal que está en; /usr/local/bfd/conf.bfd también se puede definir además de los intentos de bloqueo, comando para rechazar el host atacante y el resto de opciones, que se envíe un e-mail (EMAIL_ADDRESS=”aquí el mail”) avisando del ataque y posterior bloqueo.

Su instalación es muy sencilla, una vez descargado con tipear un ./install.sh es suficiente pero en mi caso, me daba este error en el cron; Error: bad minute; while reading /etc/cron.d/bfd . No era el tiempo de ejecución sino que ahí también va un valor referido al email que hay que rellenar al igual que en /usr/local/bfd/conf.bfd;

MAILTO=aquí el mail, por defecto vacío
SHELL=/bin/bash
*/3 * * * * root /usr/local/sbin/bfd -q

Por lo que además de incluir el mail en la configuración principal; /usr/local/bfd/conf.bfd, también deberéis tener en cuenta este campo a rellenar en el cron; /etc/cron.d/bfd.

Para ver que funciona correctamente, hablando del cron, os recomiendo tener una consola con el siguiente comando;

tail -f /var/log/syslog | grep -i bfd

Y si todo va bien y no os sale el error de “bad minute”, se debería ver cada 3 minutos esto;

Oct 16 21:24:01 server /USR/SBIN/CRON[5017]: (root) CMD (/usr/local/sbin/bfd -q)

Oct 16 21:27:01 server /USR/SBIN/CRON[5468]: (root) CMD (/usr/local/sbin/bfd -q)

Oct 16 21:30:01 server /USR/SBIN/CRON[5468]: (root) CMD (/usr/local/sbin/bfd -q)

También en /var/log hay un fichero que se crea referido a BFD (/var/log/bfd_log).

Lo último que os recomiendo, es que miréis bien tanto la documentación sobre BFD (Brute Force Detection) y como estamos viendo, leer tranquilamente los valores incluidos en el fichero de configuración principal (/usr/local/bfd/conf.bfd).

Este concretamente “syslog auth log path” puede variar, ya que por defecto incluye /var/log/secure y en Debian por ejemplo es /var/log/auth.log. A este tipo de detalles me refiero con mirar bien cada valor.

Además de todo esto, no paséis por alto comprobar las reglas (en /usr/local/bfd/rules) que incluye por defecto para las aplicaciones a proteger, borrando las que no tengáis en el sistema, o cambiando el valor “TRIG” para el bloqueo independiente deseado para cada servicio.

Si se escribe sin ningún parametro bfd en el prompt del sistema, veréis esto;

-s|–standard …….. run standard with output

-q|–quiet ……….. run quiet with output hidden

-a|–attackpool …… list all addresses that have attacked this host

Por defecto si os fijáis en la entrada del cron, se ejecuta con la opción “-q”, para ver la lista de IPs que han sido bloqueadas se usa el parámetro “-a”. Para comprobar su funcionamiento podéis usar Medusa con este comando para atacar una cuenta FTP;

medusa -h ip-host-a-atacar -u usuario_ftp -P passwords.txt -e ns -M ftp

Asumiendo que desde el directorio que estáis tipeando el comando, tenéis una lista de passwords llamada passwords.txt. (Podéis usar esta del proyecto Openwall aunque hay muchas y muy variadas).

Suerte con la instalación y espero que esta entrada os sea de ayuda para que deis menos vueltas que las que he dado yo para configurarlo, ciertamente no es que sea complicado, pero sí un poco farragoso por las conf que trae por defecto.

Compartir

Tags: APF, Ataques, Bash, BFD, Cpanel, Debian, e-mail, EFIMP, Firewall, FTP, GNU/Linux, iptables, Password, Proftpd, Server, Servidor Web, SSH

Hoy os quería hablar sobre los “Spamcops”, las “blacklist” (listas negras de spammers), etc.

Aproximadamente, entre un 80 y un 90% de los correos que llegan a nuestros buzones son basura electrónica de todo tipo, hay un gran negocio montado detrás de ello y aunque os pueda parecer mentira, el negocio funciona y es lucrativo.

En la parte inferior del post podréis acceder a un recurso online para saber si tu IP, la de tu web o e-mail está incluido en alguna “blacklist” o considerada como “spammer”

Quizás penséis que a nadie se le ocurriría comprar Viagra a través del típico mensaje de turno que quiere solucionarte tus problemas de erección ;D pero es así, aquí uno por ejemplo que está la carpeta correo basura de mi Thunderbird;

We Present you a US Licensed Online Pharm4cy St0re.
Huge Disc0unts for next five days!!!

Phenterm1ne – as low as $6.30
Cial1s S0ft Tabs – as low as $7.30
Amb1en – as low as $3.60
V1agra S0ft Tabs – as low as $4.10
Val1um – as low as $3.30
Cial1s – as low as $6.00
V1agra 100mg – as low as $4.00
Xan4x – as low as $3.80
Mer1dia – as low as $4.40
Prov1gil/Modaf1nil – as low as $5.30
Zol0ft – as low as $1.70

(lo tacho para que Google no se “coma” las palabritas y llegue basura vía web al blog…)

Os podéis fijar en que, para poner Viagra y saltarse los filtros de spam, ponen V1agra cambiando la “i” por un “1″, es sólo un ejemplo. También fijaros en Pharm4cy St0re o “Disc0unts”…(puede que el cambio del cero por la letra “o” no sea visible según el tipo de navegador o fuentes que tengáis por defecto)

Pues si, hay gente que compra y “pica”, de ahí que como el negocio funciona, se sigue enviando spam y más spam.

Da igual que quienes entren en el juego sean pocos, a más mensajes basura enviados, más posibilides de negocio ¿Qué pican poco? se manda un número mayor…

También dentro del término “basura electrónica” podemos incluir un mensaje de phising, pharming, o virus que, hablando de spam, una vez sean ejecutados, intentarán abrirte un puerto de tu sistema (muy posible que sea UDP y de los de arriba-;) recopilando información sobre tus hábitos de navegación, lugares que visitas etc etc, para, a través de ese “sigiloso” puerto (no tanto si te pones a buscar un poco o si tu firewall está bien configurado) enviar todos esos datos a auténticos centros de recopilación de información. Este tipo de ataques suele ser más usado y efectivo en sistemas Windows.

¿Cuál es el siguiente paso? enviarte correo basura muy segmentado y si da la casualidad de que eres aficionado al juego y te mandan algo del “Casino online” de turno o si estás enganchado a algún medicamento que no puedes comprar por las vías legales de tu país, es posible que caigas en la trampa electrónica. Podemos hablar del porno, el típico “trabaje desde casa”, tarots, etc, etc.

Esa es una manera más de recopilar destinatarios para luego bombardear al buzón de tu correo, pero hay muchas formas de hacerlo, robots que buscan mails en webs o foros, extraidos del mensaje en cadena de turno con insensatos que no ponen el campo “CCO” o “BCC” (con copia oculta), ataques a bases de datos de servidores webs buscando correos electrónicos y un largo etc.

Si eso es como digo un gran negocio, luego esta el otro, los que nos “protegen” del spam. llamados policías del spam o “Spamcops” y las famosas listas negras “blacklist“. En muchos casos empresas que venden sus servicios a terceros y que se alimentan día a día de nuevas Ips o direcciones de e-mail calificadas como spam con las que nutrir a sus filtros o soluciones para servidores, empresas, etc.

También podemos hablar del conocido SpamAssassin, el más popular y efectivo producto Open Source para combatir la basura electrónica y que es usado en cientos de miles de sistemas en todo el mundo dando igual que sean impulsados por GNU/Linux, BSD, Windows, Mac OS X, etc.

Más o menos intento, para quienes no conozcáis el tema, poneros en escena para explicar la otra parte de la que os quería hablar, como digo, el asunto daría para mucho y este post sería eterno, pero creo que con esta introducción os hacéis una idea de como funciona más o menos todo este submundo.

Quería hacer una reflexión sobre la injusticia que conlleva en ocasiones recibir una catalogación como “spammer” a veces de un modo “cuasi automático”. Está claro que tiene que haber sistemas o métodos de control sobre esta lacra que día a día llena nuestras redes de porquería electrónica, pero hay veces en las que sin comerlo ni beberlo, acabas en una “blacklist” (tu ip o la de tu servidor) y entrar es relativamente fácil, salir no tanto.

Por poneros un ejemplo, imaginad el caso de una web que está alojada en un servidor compartido, el admin del server no tiene bien configurado el servicio de correo y es un “Open Relay” (permitiendo el envío de correo masivo a través de ese servidor sin autentificación), al final puede resultar que esa cantidad de spam vaya desde tu host o IP y acabas dentro de una lista negra donde por ejemplo, puedes ver como todo el mail que envías viene devuelto por los filtros anti-spam de los destinatarios…

Puede servir como ejemplo el anterior caso, pero no os podéis hacer una idea de los miles de servidores que ahora mismo actúan como “zombies” , auténticas redes de máquinas troyanizadas que se pasan las 24 h al día enviando cantidades ingentes de spam por todo el planeta. Si te toca estar compartiendo alojamiento en una de esas máquinas, estás arreglado -;).

Lo más grave del asunto, es que se sabe cuales son muchas de esos servers, hay decenas de lugares en la red que se encargan de recopilar estos datos y públicamente se pueden consultar las listas.

Pero la problemática de las diferentes leyes internacionales, tratamiento de estos casos y una política no unificada a este respecto, hacen difícil que se pueda poner freno un tema molesto, peligroso y que además genera unos costes en forma de consumo de ancho de banda, medidas paliativas, etc, que como casi siempre, repercuten directamente en el usuario final.

Al final todo es un negocio como dije antes y se mueven muchos intereses del lado de los spammers y del de los “caza spammers”, siendo actividades más lícitas lógicamente las de los segundos pero…¿podría subsistir toda esta industria sin los primeros?

No quiero caer en la demagogia ni en comparaciones con los virus y las compañías de productos antivirus y a quien le puede interesar todo esto, porque no se ajustaría a la realidad, únicamente quería poner el contrapunto y hacer un poco de “abogado del diablo” buscando otro enfoque menos evidente a simple vista sobre el tema.

Sobra decir que todos nosotros podemos ayudar en parte a que el correo basura vea reducida su magnitud, pero mientras no haya leyes más estrictas para combatirlo y se tome realmente en serio, por mucho que nosotros queramos ayudar a mitigarlo, será muy difícil acabar con ello.

Leyes tan incompletas e injustas como la LSSI en España tienen en consideración los envíos de correo no deseado, pero el spam es un problema global y en mi caso, de donde menos me llega es de España, además, como dice el refran “Quien hizo la ley, hizo la trampa”.

Si quieres comprobar que tu IP, la de tu servidor o tu dirección de correo electrónico está incluida en alguna lista negra o como dicen en el enunciado “comprobar tu reputación electrónica“, puedes hacerlo desde este enlace o pinchando en la imagen de arriba.

Como veis, lo de la “reputación” lo pongo entre comillas porque habría mucho que decir sobre el tema pero igual alguno se lleva una sorpresa…
Lleva al sitio web de “Senderbase”, alguna vez os he hablado de este recurso y allí podréis comprobar también como va la escena spammer mundial en mapas o un lamentable ranking de “los más Spammers”

Por daros un dato, mi mail sale como “Web Reputation Score: Neutral” así que ya veis, yo ni bueno ni malo, siempre por el medio -;)

¿Será que en otra vida electrónica he sido un spammer?

Desde aquí, enlazo a un post de la semana pasada en el que comentaba como vaciar la cola de qmail ante una inyección de spam.

Saludos, Dabo -;)

Compartir

Tags: e-mail, Hacking, IP, Spam, Spamcops, Webmaster

Es una pequeña tontería y lo cierto es que no sé porqué no lo había mirado antes, pero os aseguro que con la cantidad de correo en forma de basura electrónica que nos llega se hace necesario.

Con más razón si tenéis varias cuentas gestionadas con Thunderbird (potente cliente de correo para GNU/Linux, Mac OS X y Windows, libre y gratuito de Mozilla), lo vais a agradecer.

Ojo, que igual lo estoy posteando y soy el único pardillo que no lo tenía activado -;) pero dentro de las preferencias de PRIVACIDAD-CORREO BASURA, dejando estas casillas activadas;

Os evitaréis el molesto aviso de llegada de nuevo correo en mensajes marcados como spam y además no quedan como “no leídos”.

No os digo nada si tenéis activada la opción “comprobar correo nuevo cada 1 min” como vi el otro día en el ordenador de un colega, con tanto spam como llega, puede ser para volverse loco ;D.

También quería recomendaros la extensión “Purge“, os será de mucha utilidad para borrar a golpe de click (delete Junk) los mails marcados como spam en lugar de tener que ir al menú HERRAMIENTAS y darle a “BORRAR MENSAJES MARCADOS COMO BASURA…”

A su vez, con la opción “Purge” podéis a golpe de click compactar una carpeta.

Estos iconos se pueden añadir a la barra de herramientas de Thunderbird desde el menú VER, BARRA DE HERRAMIENTAS, PERSONALIZAR.

Por cierto, después de unos años “enseñándole” a Thunderbird lo que es spam, os puedo decir que los filtros fallan muy muy poco.

Así que nada, si a alguien le viene bien, alegrandome.com -;)

Compartir

Tags: e-mail, sofware libre, Thunderbird, Trucos, Tutoriales

Creo que algún colega mío adicto al reenvio masivo y enfermizo de “PPS” se llevará un disgusto -;).

Han multado con 601 € por un reenvío en cadena a 42 destinatarios sin usar la opción “CCO” (copia carbón oculta) y (pull) desvelar direcciones de correo (/pull) de terceros.

A ver, no soy de esos que aplauden sanciones de este tipo, máxime con sentencias que si bien son “ejemplarizantes” hacen que paguen justos por pecadores, pero no es una mala llamada de atención para quienes por no usar el “CCO” (que yo lo hago aún con 2 destinatarios), le facilitan la labor a otros spammers, los profesionales…

Fuente y más información.

Compartir

Tags: Cibercultura, e-mail, Legal, Spam

Un tema a tener en cuenta para disfrutar de una mayor privacidad en vuestras comunicaciones electrónicas, es el cifrado de correo.

La información la he visto en la web de mi colega Paco, ABCTutoriales.

En este caso trata del (pull) cifrado del correo (/pull) y como hacerlo usando GPG, su autor habla de como hacerlo en GNU / Linux o Windows aunque para OS X el procedimiento es similar, también propone una solución alternativa a través de Thunderbird y la extensión Enigmail.

En palabras de su autor;

“Este CÓMO trata todos los puntos necesarios para entender porqué hay que usar cifrado en el correo y cómo usarlo.

Lo cierto es que ahora que he reunido y estructurado toda la información quizá es un poco largo, para tranquilidad de todos tengo que decir que el tutorial es para todos los públicos pues no me meto en la parte dura matemática (ya que a mí también se me haría muy costosa), sólo nos quedamos con la idea y el cómo usarlo de un modo sencillo. Vamos a tratar los siguientes puntos:

1. ¿Por qué usar cifrado en el correo electrónico?
2. En qué consiste y cómo lo usamos.
3. Diceware, generación de contraseñas completamente aleatorias.”

Acceso al tutorial sobre cómo y por qué usar el cifrado de correo.

Sólo un apunte, realmente a mi el programa o software a utilizar no me parece tan importante como entender el funcionamiento del cifrado y las ventajas que conlleva, digo esto porque hay más formas de hacerlo pero en el enlace que os propongo lo explican de una forma clara y para todos los públicos -;)

Compartir

Tags: Cibercultura, e-mail, GPG, Seguridad Informatica, Tutoriales