segunda-feira, 29 de outubro de 2012
Projeto Destruição Pedofilia! #Op Anti-Pedofilia
Olá irmãos e irmãs Anonymous.
Este é um grupo anti pedofilia anonymous no qual peço a todos que divulguem este grupo aos quatro ventos, para encher de anonymous e dentro desse grupo criaremos varias #Op Anti-Pedofilia para atacar massivamente estes sites vergonhosos, usando informações conquistadas na Deep web.
A exposição dos nomes destes sites levantados pelos usuários será para fazer dentro do grupo varias #Op Anti-Pedofilia, para ataque simultâneo de vários sites ao mesmo tempo, a idéia é criar pânico entre esse porcos, pois saibam que eles fazem muita comunicação entre eles.
A ideia é fazer com que muitos que se atrevirão passar esse tipo de conteudo penssasem trilhoes de vezes antes de espalhar essas porcarias, tenho certeza que muitos correriam disso e não farião o que fazem hoje, como se eles nem tivesse medo.
Quem tiver interesse em ajudar seja na divulgação do grupo ou em ataques contra determinados sites entre em nosso grupo.
Grupo no Facebook: https://www.facebook.com/groups/172154799589413/
quinta-feira, 25 de outubro de 2012
Crime cibernético preocupa o Brasil
Uma única pessoa é capaz de causar apagões, falta de água e rombos financeiros utilizando apenas um computador. Os chamados crimes cibernéticos são uma preocupação do Ministério da Defesa, principalmente com a proximidade de grandes eventos no país. No Seminário de Defesa Cibernética, o ministro da Defesa, Celso Amorim destacou o investimento em tecnologia, pesquisa e inovação e a capacitação de profissionais para atuação na área como prioridades para a segurança do país.
De acordo com a assessoria do Ministério da Defesa, o setor cibernético é um dos três eixos estruturantes da Estratégia Nacional de Defesa e deverá receber, num período de quatro anos, investimentos de R$ 400 milhões.
Dos recursos previstos para o Centro de Defesa Cibernética, 27,9% serão destinados à capacitação dos profissionais e 41,33% ao planejamento de segurança. Somente em 2012 estão previstos R$ 83,6 milhões. Para o próximo ano, devem ser investidos R$ 110 milhões. Cerca de R$ 100 milhões deverão ser investido em 2014 e mais R$ 81,7 milhões em 2015.
“O Brasil é a sexta economia do mundo, não pode se privar de meios de defesa modernos, inclusive com relação a possíveis ataques também modernos”, disse o ministro. “Temos que desenvolver essa estratégia de defesa. Já fizemos, na prática, na Rio + 20 e faremos em outros eventos. Vamos evoluir.”
Em setembro deste ano foi inaugurado, oficialmente, o Centro de Defesa Cibernética (CDC) sob comando do Exército, com o objetivo de centralizar conhecimentos e tecnologias já utilizadas por entidades e órgãos como Agência Brasileira de Inteligência (Abin), Comitê Gestor da Internet (CGI), Serviço Federal de Processamento de Dados (Serpro) e organizações militares.
Segundo o chefe do CDC, general José Carlos, o Brasil se equipara a países avançados no que diz respeito ao setor. “Dentro dos nossos projetos, estamos preocupados com a capacitação de tropas. Cada vez mais tropas e operações são controlados por redes. E tudo o que depende de redes tem essa ameaça, temos que nos preocupar em defender esse sistema bélico.”
A Defesa Nacional se preocupa também com a produção brasileira de softwares e equipamentos. A primeira operação inteiramente nacional foi realizada na Rio+20. Para a Copa das Confederações, Copa do Mundo e Olimpíadas já estão sendo desenvolvidas novas tecnologias. O destaque, segundo o major Alexandre Lara, integrante do CDC, é para a ferramenta de correlação de eventos, com inteligência artificial para identificar uma invasão no sistema de rede.
Apesar de não ter sofrido nenhum grande atentado virtual, o Brasil é um dos países com maior ocorrência de crimes cibernéticos. Em pesquisa realizada pela empresa americana Norton, especializada em antivírus, em 2011, o Brasil estava em quarto lugar numa lista de 24 países com maior quantidade de crimes cibernéticos, abaixo da China, África do Sul e México.
Segundo a pesquisa, 80% dos adultos brasileiros já foram vítimas desse tipo de crime. No total, é registrado uma nova vítima de crime cibernético a cada 11 dias e perdeu-se, no ano, o equivalente a US$ 15 bilhões.
Edição: Fábio Massalli// matéria atualizada às 18h28 para inclusão dos dados de investimentos do Ministério da Defesa no setor cibernético e de informações sobre crimes virtuais no Brasil.
Fonte: EBC
domingo, 14 de outubro de 2012
Inurl-Poliglota Dork busca gerenciador de upload em domínio japonês.
Chamo essa técnica "Inurl-Poliglota"
Dorks busca gerenciador de upload em domínio japonês,
A grande maioria das dorks é basiada na linguagem inglês se mudarmos um pouco vamos extrair uma rica quantidade de informação.
incluindo a palavra chave upload em japonês já conseguimos um grande números de servers com os paramestros desejados no caso "inurl:/cgi-bin/upload/upload.cgi".
Podemos ter um resultado parecido com site:jp mais o google sua grande força é palavras chaves então um modo eficas é traduzir a palavra chave.
DORK: アップロード* inurl:/cgi-bin/upload/upload.cgi
Da mesmo forma pode ser feito com Russo,Germânico e outras linguás :)
Dork busca backup mysql
Dessa vez estou postando uma dork que vai explore desde erros de SQL á Backup SQL dentro de servidores.
Devido a sintax inurl "intext:(insert|set)" o google vai procurar dentro do arquivo .mysql esses termos um ou outro, Assim expondo arquivos de bk dando um conhecimento da estrutura do site alvo.
Dork: intext:(insert|set) ext:mysql
Mais dorks mais dorks.
Dorks vai aé algumas..
"admin account info" filetype:log !Host=*.* intext:enc_UserPassword=* ext:pcf "# -FrontPage-" ext:pwd inurl:(service | authors | administrators | users) "# -FrontPage-" inurl:service.pwd "AutoCreate=TRUE password=*" "http://*:*@www" domainname "index of/" "ws_ftp.ini" "parent directory" "liveice configuration file" ext:cfg -site:sourceforge.net "parent directory" +proftpdpasswd "powered by ducalendar" -site:duware.com "Powered by Duclassified" -site:duware.com "Powered by Duclassified" -site:duware.com "DUware All Rights reserved" "powered by duclassmate" -site:duware.com "Powered by Dudirectory" -site:duware.com "powered by dudownload" -site:duware.com "Powered By Elite Forum Version *.*" "Powered by Link Department" "sets mode: +k" "your password is" filetype:log "Powered by DUpaypal" -site:duware.com allinurl: admin mdb auth_user_file.txt config.php eggdrop filetype:user user enable password | secret "current configuration" -intext:the etc (index.of) ext:asa | ext:bak intext:uid intext:pwd -"uid..pwd" database | server | dsn ext:inc "pwd=" "UID=" ext:ini eudora.ini ext:ini Version=4.0.0.4 password ext:passwd -intext:the -sample -example ext:txt inurl:unattend.txt ext:yml database inurl:config filetype:bak createobject sa filetype:bak inurl:"htaccess|passwd|shadow|htusers" filetype:cfg mrtg "target[*]" -sample -cvs -example filetype:cfm "cfapplication name" password filetype:conf oekakibbs filetype:conf slapd.conf filetype:config config intext:appSettings "User ID" filetype:dat "password.dat" filetype:dat inurl:Sites.dat filetype:dat wand.dat filetype:inc dbconn filetype:inc intext:mysql_connect filetype:inc mysql_connect OR mysql_pconnect filetype:inf sysprep filetype:ini inurl:"serv-u.ini" filetype:ini inurl:flashFXP.ini filetype:ini ServUDaemon filetype:ini wcx_ftp filetype:ini ws_ftp pwd filetype:ldb admin filetype:log "See `ipsec --copyright" filetype:log inurl:"password.log" filetype:mdb inurl:users.mdb filetype:mdb wwforum filetype:netrc password filetype:pass pass intext:userid filetype:pem intext:private filetype:properties inurl:db intext:password filetype:pwd service filetype:pwl pwl filetype:reg reg +intext:"defaultusername" +intext:"defaultpassword" filetype:reg reg +intext:”WINVNC3” filetype:reg reg HKEY_CURRENT_USER SSHHOSTKEYS filetype:sql "insert into" (pass|passwd|password) filetype:sql ("values * MD5" | "values * password" | "values * encrypt";) filetype:sql ("passwd values" | "password values" | "pass values" ) filetype:sql +"IDENTIFIED BY" -cvs filetype:sql password filetype:url +inurl:"ftp://" +inurl:";@" filetypels username password email htpasswd htpasswd / htgroup htpasswd / htpasswd.bak intext:"enable password 7" intext:"enable secret 5 {:content:}quot; intext:"powered by EZGuestbook" intext:"powered by Web Wiz Journal" intitle:"index of" intext:connect.inc intitle:"index of" intext:globals.inc intitle:"Index of" passwords modified intitle:"Index of" sc_serv.conf sc_serv content intitle:"phpinfo()" +"mysql.default_password" +"Zend Scripting Language Engine" intitle:dupics inurl:(add.asp | default.asp | view.asp | voting.asp) -site:duware.com intitle:index.of administrators.pwd intitle:Index.of etc shadow intitle:index.of intext:"secring.skr"|"secring.pgp"|"secring.bak" intitle:rapidshare intext:login inurl:"calendarscript/users.txt" inurl:"editor/list.asp" | inurl:"database_editor.asp" | inurl:"login.asa" "are set" inurl:"GRC.DAT" intext:"password" inurl:"Sites.dat"+"PASS=" inurl:"slapd.conf" intext:"credentials" -manpage -"Manual Page" -man: -sample inurl:"slapd.conf" intext:"rootpw" -manpage -"Manual Page" -man: -sample inurl:"wvdial.conf" intext:"password" inurl:/db/main.mdb inurl:/wwwboard inurl:/yabb/Members/Admin.dat inurl:ccbill filetype:log inurl:cgi-bin inurl:calendar.cfg inurl:chap-secrets -cvs inurl:config.php dbuname dbpass inurl:filezilla.xml -cvs inurl:lilo.conf filetype:conf password -tatercounter2000 -bootpwd -man inurl:nuke filetype:sql inurl:ospfd.conf intext:password -sample -test -tutorial -download inurl:pap-secrets -cvs inurl:pass.dat inurl:perform filetype:ini inurl:perform.ini filetype:ini inurl:secring ext:skr | ext:pgp | ext:bak inurl:server.cfg rcon password inurl:ventrilo_srv.ini adminpassword inurl:vtund.conf intext:pass -cvs inurl:zebra.conf intext:password -sample -test -tutorial -download LeapFTP intitle:"index.of./" sites.ini modified master.passwd mysql history files NickServ registration passwords passlist passlist.txt (a better way) passwd passwd / etc (reliable) people.lst psyBNC config files pwd.db server-dbs "intitle:index of" signin filetype:url spwd.db / passwd trillian.ini wwwboard WebAdmin inurl:passwd.txt wwwboard|webadmin [WFClient] Password= filetype:ica
sábado, 13 de outubro de 2012
Dork explorando PhpMysqlAdmin
Dork explorando PhpMysqlAdmin
Vamos procurar por paginas que contenham o titulo phpmyadmin que de comum é gerenciamento ou tutoriais, Hoje como essa dork ou variantes dela é pouco conhecida então vamos ter um resultado mais limpo.
Procurado pelo termo na url "server_processlist.php"
Acesso gerenciamento de processo do painel,
Ex:
ID | User | Host | Database | Command | Time | Status | SQL query | |
---|---|---|---|---|---|---|---|---|
Kill | 5699193 | rewppupr1 | localhost:45324 | None | Query | 0 | --- | SHOW FULL PROCESSLIST |
Agora muito perguntam que eu faço com isso pode criar paginas HTML dentro, pode criar uma nova noticia com link de sua escolha, vai da sua técnica.
De inicio algums servers não mostraram seus bancos ou tabelas então procure pela aba SQL = Executar comandos sql aé ja sabe o leque de possibilidades abre muito mais ainda.
Dork: intitle:phpmyadmin inurl:server_processlist.php
Variante para limpar domínios
Add o site:domínio
Dork: site:br intitle:phpmyadmin inurl:server_processlist.php
domingo, 7 de outubro de 2012
Dork buscando arquivo confg do wordpress
Aé vai um dork simples que busca vulnerabilidades alias ele busca arquvios de configuração do banco de dados, o que criei e uma variante da dork que encontrei na net que seria esse : "inurl:wp-config.txt" ela é muito fechada pois o Google fica sem opção referente a variantes do arquivo wp-config adicionei o * para capturar outros tipos de wp-config e o comando ext pra determinar a extensão do arquivo.
O arquivo de nome: wp-config.txt
Dork: inurl:wp-config* ext:txt
Como Evitar uma Infecção por Botnet?
A equipe de pesquisa do provedor de segurança Eleven, publicou dia 26 de setembro, cinco dicas muito importantes com a intenção de ajudar os usuários a evitar uma infecção por botnet em seus computadores. Como a maioria sabe, botnets são grupos de computadores particulares e empresariais que são sequestrados, passando a ser controlados remotamente e que são usados, dentre outras coisas, para enviar spam, geralmente sem que haja o conhecimento do usuário. Passando sem percepção, o malware instalado muitas vezes só é executado em segundo plano, tornando mais difícil para que os usuários possam identificar o risco e reagir de acordo com ele. Estima-se, atualmente, que mais de 90% de todos os e-mails de spam em todo o mundo, são distribuídos através de botnets.
E-mail com Malware Anexado
A infecção ocorre através de Trojans, que são criados especificamente para essa finalidade maliciosa. A via de infecção “clássica” é através de anexos de email. O usuário é levado a acreditar que o anexo contém informações essenciais ou um documento importante, como uma fatura, uma forma de impostos, ou uma notificação de entrega de pacotes. Ao invés disso, o anexo contém malware que é ativado assim que o usuário tenta abri-lo.
Anexos de arquivos desconhecidos nunca deveriam ser abertos. A opção “Ocultar as extensões dos tipos de arquivo conhecidos” também devem ser desmarcadas nas configurações do sistema, pois isso garante a detecção de um arquivo PDF com a falsa extensão de arquivo pdf.exe.
Drive-by Malware
Um caminho para causar infecção que recentemente se tornou mais popular, é o drive-by malware. O malware está localizado em um site manipulado. Quando esse site for aberto em um navegador, o Trojan será instalado no computador do usuário (drive-by). O malware é comumente divulgado através de e-mails de spam que contêm links para os sites infectados. Se o usuário clicar no link, o malware será instalado no background. E as “iscas” particularmente mais populares incluem sites como o da rede social Facebook, o serviço de micro-blog Twitter ou o canal de vídeos YouTube.
Além disso, existe uma mensagem que finge ser importante, podendo também estar disfarçada como mensagens de amigos, ou um vídeo recém-carregado é enviado para o usuário, na esperança de que ele clique no link em anexo. Os usuários nunca devem clicar em links de e-mails, a menos que eles tenham cem por cento de certeza de que a mensagem seja real.
Plug-ins e Aplicações de Risco
Os trojans, frequentemente, atacam em específico, vulnerabilidades de segurança atuais e tiram proveito delas. Os navegadores de Internet padrão e plug-ins, como o Adobe Flash Player ou o Acrobat Reader, são particularmente bastante populares. As versões desatualizadas aumentam significativamente o risco de um potencial ataque. Dessa forma, os usuários devem se certificar de que estas aplicações são sempre atualizadas e se as atualizações solicitadas pelo sistema estão instaladas. A Eleven também recomenda desativar o Acrobat JavaScript.
O Perigo dos Dispositivos de Armazenamento de Dados
Um outro risco que podem levar à infecção via botnet é a utilização de dispositivos externos de armazenamento de dados como pen drives ou cartões SD. Isso porque a grande maioria das pessoas não é capaz de reconhecer o que está acontecendo realmente; portanto, a regra é que dispositivos desconhecidos de armazenamento de dados devem sempre ser verificados por um scanner de vírus atualizado, antes de sua utilização. Os usuários também devem evitar o uso de dispositivos de armazenamento de dados que não são seus próprios sempre que possível. Além disso, a opção de Windowes automaticamente sempre tratar um certo tipo de dispositivo, tal como um dispositivo USB, da mesma forma, quando inserido, deve ser desactivado.
Proteção Contra Spam e Vírus
Apesar de todas as medidas cautelares quando se trata de evitar infecções de botnet, o elemento mais importante é a proteção de alta confiabilidade em relação a spam e contra propagação de vírus. Os usuários devem verificar quais são as opções de proteção contra vírus, que são oferecidas pelo seu provedor de e-mail, por exemplo, seu provedor de Internet ou serviço de webmail. Um scanner de vírus também deve ser instalado. E o mais importante: mantenha sempre a sua solução antivírus atualizada.
Fonte: UnderLinux
Leis que podem ser enquadrados os supostos "hackers'
Para o Hackudos de plantão, quando roubam informações na Internet através de atack phinsing,KL entre outros,muito usam um argumento mais no Brasil não tem lei contra hacker ... Hacker né... ser ladrão é ser hacker ???... me chamem de Lammer então.
Leis que podem ser enquadrados.
LEI Nº 9.296, DE 24 DE JULHO DE 1996.
“Art. 1º A interceptação de comunicações telefônicas, de qualquer natureza, para prova em investigação criminal e em instrução processual penal, observará o disposto nesta Lei e dependerá de ordem do juiz competente da ação principal, sob segredo de justiça.”
“Art. 10. Constitui crime realizar interceptação de comunicações telefônicas, de informática ou telemática, ou quebrar segredo da Justiça, sem autorização judicial ou com objetivos não autorizados em lei.”
Pena: reclusão, de dois a quatro anos, e multa.
LEI Nº 7.716, DE 5 DE JANEIRO DE 1989.
“Art. 1º Serão punidos, na forma desta Lei, os crimes resultantes de discriminação ou preconceito de raça, cor, etnia, religião ou procedência nacional.”
Pena: reclusão de dois a cinco anos.
LEI Nº 9.610, DE 19 DE FEVEREIRO DE 1998.
“Art. 1º Esta Lei regula os direitos autorais, entendendo-se sob esta denominação os direitos de autor e os que lhes são conexos.”
“Art. 65. Esgotada a edição, e o editor, com direito a outra, não a publicar, poderá o autor notificá-lo a que o faça em certo prazo, sob pena de perder aquele direito, além de responder por danos.”
DECRETO-LEI No 2.848, DE 7 DE DEZEMBRO DE 1940. (Aqui é onde muitos Bankers e Carders rodam)
“Art. 171 – Obter, para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou qualquer outro meio fraudulento:”
Pena – reclusão, de um a cinco anos, e multa, de quinhentos mil réis a dez contos de réis.
Lei sobre Crimes virtuais - http://www.camara.gov.br/proposicoesWeb/fichadetramitacao?idProposicao=529011 (Aguardando Aprovação)
Leis que podem ser enquadrados.
LEI Nº 9.296, DE 24 DE JULHO DE 1996.
“Art. 1º A interceptação de comunicações telefônicas, de qualquer natureza, para prova em investigação criminal e em instrução processual penal, observará o disposto nesta Lei e dependerá de ordem do juiz competente da ação principal, sob segredo de justiça.”
“Art. 10. Constitui crime realizar interceptação de comunicações telefônicas, de informática ou telemática, ou quebrar segredo da Justiça, sem autorização judicial ou com objetivos não autorizados em lei.”
Pena: reclusão, de dois a quatro anos, e multa.
LEI Nº 7.716, DE 5 DE JANEIRO DE 1989.
“Art. 1º Serão punidos, na forma desta Lei, os crimes resultantes de discriminação ou preconceito de raça, cor, etnia, religião ou procedência nacional.”
Pena: reclusão de dois a cinco anos.
LEI Nº 9.610, DE 19 DE FEVEREIRO DE 1998.
“Art. 1º Esta Lei regula os direitos autorais, entendendo-se sob esta denominação os direitos de autor e os que lhes são conexos.”
“Art. 65. Esgotada a edição, e o editor, com direito a outra, não a publicar, poderá o autor notificá-lo a que o faça em certo prazo, sob pena de perder aquele direito, além de responder por danos.”
DECRETO-LEI No 2.848, DE 7 DE DEZEMBRO DE 1940. (Aqui é onde muitos Bankers e Carders rodam)
“Art. 171 – Obter, para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou qualquer outro meio fraudulento:”
Pena – reclusão, de um a cinco anos, e multa, de quinhentos mil réis a dez contos de réis.
Leis a serem aprovadas
Lei sobre Spam - http://www2.camara.gov.br/documentos-e-pesquisa/publicacoes/estnottec/tema4/pdf/305590.pdfLei sobre Crimes virtuais - http://www.camara.gov.br/proposicoesWeb/fichadetramitacao?idProposicao=529011 (Aguardando Aprovação)
quinta-feira, 4 de outubro de 2012
Julian Assange - O Mundo Amanhã Legendado
"Você lutou contra a hegemonia dos Estados Unidos. Alá ou a noção de Deus não é o máximo superpoder?", pergunta Julian Assange ao secretário-geral do Hezbollah. A pergunta, que soa ainda mais provocativa em tempos de protestos no Oriente Médio contra o vídeo que satirizava o profeta Maomé, resume a postura do criador do WikiLeaks na primeira -- e polêmica -- entrevista da série "O Mundo Amanhã".
Nela, Assange entrevista pensadores, ativistas e líderes políticos em busca de ideias que podem mudar o mundo. O partido Hezbollah é membro do governo libanês, mas seu braço militar foi descrito como "a guerrilha mais proficiente do mundo". Sob a liderança de Nasrallah, o Hezbollah administrou a retirada das tropas israelenses do sul do Líbano no ano 2000 e a vitória tática sobre Israel na guerra de 2006. Sayyed Nasrallah foi nomeado uma das pessoas mais influentes do mundo pelas revistas americanas Time e Newsweek. A sua reputação alcança diferentes divisões sectárias e países, e ele é reverenciado ou vilipendiado por milhões de pessoas no Oriente Médio e no mundo todo.
Esta é a primeira entrevista de Nasrallah feita em inglês em uma década. Enquanto os conflitos se acirram no Oriente Médio, Assange aborda temas espinhosos como a posição de Hezbollah -- visto como grande aliado do regime de Assad -- no conflito da Síria. "Somos amigos da Síria, mas não agentes da Síria", responde o libanês, antes de revelar que o Hezbollah procurou setores da oposição síria para pedir que dialogassem com Assad, sem sucesso.
Impossibilitado de deixar a Inglaterra, onde estava em prisão domiciliar, Assange entrevista Nasrallah através de um videolink na casa onde esteve por mais de 500 dias. Por sua vez, Hassan Nasrallah participa da entrevista na sede do Hezbollah no Líbano, cuja localização exata é mantida em segredo por segurança. É lá que ele trabalha sob constante medo de ser assassinado por diferentes grupos e Estados.
Fonte:http://anonopsbrazil.blogspot.com.br/2012/10/julian-assange-o-mundo-amanha-legendado.html
quarta-feira, 3 de outubro de 2012
A maior mentira cometida por empresas de SEO
Nós prometemos colocar o seu site em primeiro no Google em X dias…A nossa empresa possui uma parceria direta com o Google, garantimos a primeira página…Promessas falsas de SEO, apenas para arrancar dinheiro de donos de sites mal informados são muito comuns pela internet. Saiba aqui como identificar as falsas empresas de SEO, que prometem mundos e fundos, e não cumprem.Em primeiro lugar, não existe ainda um curso/graduação específico/a de SEO, então todos aqueles que trabalham com otimização de sites para o Google (incluindo eu), aprenderam por experiências vividas em seus próprios sites.
Muitas são as empresas ou profissionais de SEO, que prometem mundos e fundos, prometem o primeiro lugar no Google, dão inclusive um prazo para isto acontecer. Esse é a maior mentira cometida por empresas de SEO, prometerem algo que não está ao seu alcance. Quem decide colocar os sites em primeiro ou em último é o Google, e unicamente o Google. Todo o trabalho de SEO, é para tentar mostrar a ele, que o seu site é relevante e possui um bom conteúdo.
Prometemos o 1º lugar do Google:
Isto não existe, quem decide acerca disto é o Google. O que podemos fazer como profissionais, e melhorar o teu site, e mostrar ao Google que ele é bom o suficiente para estar em primeiro.
Acontece que, algumas empresas inserem o teu site nos resultados pagos do Google, que são aqueles “links patrocinados” (Google Adwords – SEM) que aparecem acima e ao lado dos resultados orgânicos. Como estes links são pagos, você até irá conseguir estar em primeiro no Google, mas pagará um valor elevado. E o maior problema é…parou de pagar, parou de aparecer.
Já os resultados orgânicos (naturais) do Google, são oscilantes e extremamente dinâmicos…hoje, um site pode estar em primeiro, amanha pode perder algumas posições. O Google, sempre procura trazer o melhor para o usuário, então se ele considerar que um site é melhor que outro, ele troca as suas posições. E isto, acontece com todos os termos de pesquisa.
Temos uma parceria com o Google, garantimos o seu site
Está é particularmente a que eu mais acho engraçado..rsrsrs. Qual vantagem o Google tem numa parceria desta? É só pensar..! Novamente, quando uma empresa promete isto, está se referindo ao Google Adwords, que é um serviço aberto do Google.Considerações Finais:
Enfim, quer realmente ganhar visitas do Google? Fuja de empresas falsas, e procure sempre produzir conteúdo relevante em seu site….
- O Google em nenhum momento vende posições, um site só aparece bem por lá se ele merecer…não existe corrupção nisto.
- Ninguém pode garantir as primeiras posições, pois não depende exclusivamente do seu trabalho, mas depende também do conteúdo do site, da procura do usuário e principalmente do Google.
- Para divulgar instantaneamente o seu site no Google, algumas empresas usam como estratégia o Google Adwords (os links patrocinados). Tenham em mente, que você não precisa pagar a ninguém para fazer este serviço, entretanto, um profissional de marketing digital sabe como usar esta ferramenta da melhor forma possível…
Fonte:http://www.lucaspeperaio.com.br/
Melhor criptografia para segurança de rede. Criptografar ou descriptografar dados sensíveis usando AES / DES / RCA codificadores (ferramentas de segurança).
Ferramentas online grátis para criptografar texto usando 128-bit AES / DES / RCA criptografia. Criptografar ou descriptografar o texto on-line com uma senha de sua escolha utilizando esta ferramenta mão. Este é o serviço para garantir suas mensagens de uma maneira fácil. CRYPO sistema irá criptografar a mensagem usando o algoritmo de criptografia forte, e vai ser seguro para o envio. Web baseada serviço online para texto fácil e criptografia de mensagens e proteção. CRYPO - Melhor criptografia para segurança de rede.
Um site muito bom recomendo vários tipos de cripts.
Site: http://www.crypo.org/tools/index.php
terça-feira, 2 de outubro de 2012
Mais segurança na sua aplicação web feita em php
Configurar o PHP.ini
Primeiramente, devemos atentar para as configurações oferecidas pelo PHP para tornar nosso aplicativo mais seguro. Não vou falar sobre a diretiva safe_mode e nem das que derivam desta pois esta está obsoleta.- disable_functions=string Com essa diretiva, você pode desabilita funções especificas do php que podem gerar problemas de segurança, como por exemplo o fopen(),popen() e file(). Dessa forma: disable_functions=fopen,popen,file;
- disable_errors=On|Off Deixe essa função habilitada só se estiver em ambiente de desenvolvimento, já que é indispensável saber detalhes sobres os erros de sua aplicação, mas quando for passar sua aplicação para ambiente de produção deve desabilitar essa diretiva, e usar métodos alternativos para saber de erros gerados pela aplicação (salvar os erros em um arquivo de log);
- doc_root=string Essa diretiva pode ser configurada com um caminho que especifica o diretório raiz a partir do qual os arquivos PHP serão servidos. Se a diretiva doc_root estiver configurada com nada (vazia), ela será ignorada, e os scripts PHP serão executados exatamente conforme especifica a URL;
- open_basedir=string A diretiva open_basedir do PHP pode estabelecer um diretório base ao qual todas as operações com arquivos estarão restritas. Suponha que seu site esteja localizado na pasta home/www , para impedir que pessoas má intencionadas manipulem arquivos , tais como /etc/passwd por meio de alguns comandos simples do proprio PHP, você deve configurar essa diretiva da seguinte forma: open_basedir = “/home/www/”.
- expose_php=On|Off É conveniente desabilitar essa opção, pois ela exibe detalhes sobre o PHP na assinatura do servidor.
Configurando o Apache
- ServerSignature Esta diretiva é responsavel por gerar a assinatura do servidor, mostrando a versão do servidor Apache, o nome do servidor, à porta e aos módulos compilados. É aconselhável mantê-la desabilitada.
- ServerToken Se a ServerSignature estiver habilitada, essa irá configurar o grau de detalhes sobre o servidor que será fornecido, estão disponiveis seis opções: Full, Major, Minimal, Minor, OS e Prod.
phpinfo()
Frequentemente programadores inexperientes deixam que alguma arquivo php com referencia a essa função vá ao modo de produção do site, o que é muito perigoso, pois como sabemos o phpinfo() exibe detalhes de como seu php está configurado e isso é muito interessante para hackers. Portanto, sempre que for colocar a sua aplicação web em modo de produção certifique-se que não há nenhuma chamada esta função.Se você duvida do quanto esse erro é comum, coloque o seguinte texto na busca do google: inurl:phpinfo.php . Tenho certeza que haverão muitos resultados.
Mude a extensão do documento
Isso mesmo, pouca gente sabe, mas é possivel facilmente alterar a extensão de um arquivo PHP (.php), basta mudar a linha do httpd.conf (arquivo de configuração do apache) onde se lê: addType application/x-httpd-php .php para por exemplo addtype application/x-httpd-php .aspImpedindo o acesso a determinadas extensões de arquivos
Existem extensões de arquivos bastante procuradas por hackers, .inc é um exemplo dessas, é conveniente impedir que seja possivel o acesso a arquivos com esta extensões. Para isso o apache tem uma diretiva de configuração (httpd.conf) chamada Files, como mostra Listagem 1.Listagem 1: Modificando a diretiva Files do arquivo httpd.conf
Cross-Site Scripting (XSS)
Cross-site scripting (XSS) é um tipo de vulnerabilidade do sistema de segurança de um computador, encontrado normalmente em aplicações web que activam ataques maliciosos ao injectarem client-side script dentro das páginas web vistas por outros usuários. Um script de exploração de vulnerabilidade cross-site pode ser usado pelos atacantes para escapar aos controlos de acesso que usam a mesma política de origem. [definição da Wikipedia].Para evitar esse tipo de ataque no sistema web em PHP, você tratar os dados que usuario oferece como entrada com as seguintes funções:
- string htmlentities(string input [,int quote_style [, string charset ] ]) Esta função converte caracteres que possuem significado especial em HTML para strings um browser pode mostrar como sendo fornecidos, em vez de executá-las como HTML.
- string strip_tags(string str [, string allowed_tags]) Esta função permite escolhar que tags html serão permitidas na string.
SQL Injection
A Injeção de SQL, mais conhecida através do termo americano SQL Injection, é um tipo de ameaça de segurança que se aproveita de falhas em sistemas que interagem com bases de dados via SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entrada de dados de uma aplicação. [Definição da Wikipedia]Precauções a se tomar para evitar ataques via SQL injection:
- Nunca conecte ao banco de dados como um super-usuario (root), sempre utilize usuarios personalizados, sem que tenha acesso a tudo do banco.
- O PHP oferece diversas funções para evitar ataques por SQL injection: mysql_real_escape_string(), sqlite_escape_string(), addslashes() e str_replace().
segunda-feira, 1 de outubro de 2012
Identificados computadores que já vêm com vírus de fábrica
Cerca de 20% dos computadores comprados em diferentes cidades chinesas estão infectados com programas maliciosos ainda na fábrica, segundo a Microsoft.
Na última quinta-feira, um tribunal da Virgínia, nos Estados Unidos, deu à empresa permissão para desativar uma rede de mais de 500 vírus que davam acesso aos computadores das vítimas.
A decisão foi tomada após um relatório da própria Microsoft, que dizia que cibercriminosos passaram a se infiltrar em cadeias de produção de computadores para colocar vírus nos computadores.
Vírus Nitol
Investigadores da Unidade de Crimes Digitais da companhia americana compraram 20 computadores em diversas lojas na China e descobriram que pelo menos quatro deles já estavam infectados com um vírus chamado "Nitol".
Este e outros programas maliciosos, chamados de malware, permitem realizar ataques a partir de computadores remotos, roubar senhas de banco e até ligar remotamente a webcam e o microfone da máquina.
Nos últimos anos, a Microsoft conseguiu permissões similares para combater vírus e redes que controlam programas maliciosos.
Neste caso, a empresa disse ao tribunal que a maioria dos servidores de internet usados para controlar os computadores estava na China, e alguns em estados norte-americanos como Califórnia, Nova Iorque e Pensilvânia.
Tolerância zero
A maior parte dos computadores infectados com vírus Nitol se conectavam a um centro de controle no domínio 3322.org, registrado em nome de uma empresa de tecnologia chinesa.
Segundo a Microsoft, o domínio chinês abriga, sozinho, 500 tipos de softwares maliciosos.
O domínio 3322.org também vem sendo associado a ataques e ações de espionagem vindos da China contra empresas americanas e europeias.
O proprietário da empresa registrada no endereço, Peng Yong, disse à agência de notícias Associated Press que não tinha conhecimento da decisão americana e que sua empresa tem uma política de "tolerância zero" para atividades ilegais no domínio.
No entanto, ele afirmou que "não pode negar o fato de que usuários podem estar usando seus domínios para propósitos escusos."
Fonte:http://www.inovacaotecnologica.com.br/noticias/noticia.php?artigo=computadores-vem-virus-fabrica&id=010175120916&ebol=sim
Pesquisador explicar como 4,5 milhões modems DSL foram cortados no Brasil no ano passado
No final do ano passado, Mais de 4,5 milhões de roteadores domésticos DSL no Brasil hackeado e roteador está configurado de tal forma que ele aponte para DNS maliciosos. O hack foi relatado por Fabio Assolini, pesquisador de segurança da Kaspersky.
Como o resultado do hack, quando um usuário tentar visitar google, facebook, youtube ou quaisquer outros sites, uma mensagem pop aconselhados a instalar o Google Defesa aplicativo para acessar sites. Naquele momento, não está claro qual é a razão por trás do ataque.
Na recente conferência Virus Bulletin, Assolini fez uma apresentação fascinante, descrevendo como milhões de roteadores DSL foram encontrados para ter sido silenciosamente hackeado por criminosos cibernéticos.
Segundo o relatório, a vulnerabilidade nos modems permitiu atacantes para acessar remotamente através da rede. Normalmente, se você acessar um roteador via rede, você será solicitado para credenciais de login.
Uma falha de segurança no chip Broadcom incluída em alguns roteadores, permite a um invasor executar um Cross Site Request Forgery (CSRF) no painel de administração do modem ADSL para capturar a senha.
Uma vez obtida a senha, os hackers modificado configurações de DNS de tal forma que quando o usuário tentar visitar sites legítimos, seriam redirecionados para sites maliciosos.
Em uma apresentação, Assolini apresentou um bate-papo IRC entre alguns dos hackers envolvidos no alcaparra DNS. Um deles descreveu como um outro hacker ganhou mais de 100 mil reais (cerca de US $ 50.000) e iria passar seus ganhos ilícitos em viagens para o Rio de Janeiro na companhia de prostitutas.
quarta-feira, 26 de setembro de 2012
Um bug no Vbulletin (blog_plugin_useradmin) v4.1.12 que aquele velhoooo sql injection.
Um bug no Vbulletin (blog_plugin_useradmin) v4.1.12 que aquele velhoooo sql injection.
Aé vai o dork né!
Dork: site:domínio intext:"Powered By Vbulletin 4.1.12"
Ex:
site:ar intext:"Powered By Vbulletin 4.1.12"
site:br intext:"Powered By Vbulletin 4.1.12"
site:gov intext:"Powered By Vbulletin 4.1.12"
O domínio fica a sua preferencia.
Uso do exploit
http://site/includes/blog_plugin_useradmin.php?do=usercss&u="SQL INJECTION"
Joomla 2.5.6 Múltiplas vulnerabilidades Cross-site scripting
Bug Joomla 2.5.6
Aviso: Joomla 2.5.6 Múltiplas vulnerabilidades Cross-site scripting
Autor: Stefan Schurtz
Software afetado: testado com sucesso em Joomla 2.5.6
URL Vendedor: http://www.joomla.org/
/*
==========================
Descrição vulnerabilidade
==========================
Com ativado "módulo de linguagem Switcher posição-4." (Extensões -> Módulos -> Gerenciador de Módulo: Módulo de Língua Switcher), XSS são possíveis.
==================
PoC-Exploit
==================*/
//Com o conteúdo de amostra padrão
*/
Dork de busca: inurl:/joomla/index.php/image-gallery/
http://[site]/joomla/index.php/image-gallery/">/25-koala
http://[site]/joomla/index.php/image-gallery/">
http://[site]/joomla/index.php/image-gallery/animals/25-">
=========
solução
=========
FAÇA Upgrade para a versão 2.5.7
Mais simples que comer xoxota nova hashahsa!
quinta-feira, 20 de setembro de 2012
Casa Rui Barbosa.gov vulnerável
Mais uma vez a equipe do INURL fazendo o seu trabalho.
Foi constatado como vulnerável o site http://www.casaruibarbosa.gov.br a falha é simples Sqli, já entramos em contato com os responsáveis pelo site para alerta-los.
domingo, 16 de setembro de 2012
Tchê Linux
Neste Final de Semana (Sábado -15/09) rolou o Tchê Linux na cidade de Caxias do Sul, na Ftec (Faculdade de Tecnologia).
O Tche Linux,é basicamente Grupo de Usuários de Software Livre do Rio Grande do Sul, ou seja é um grupo de voluntários que preza pela ação social constante, trazendo o ideal participativo do desenvolvimento de Software Livre para o dia-a-dia dos profissionais, estudantes e interessados em tecnologias livres do estado, ao buscar continuamente a organização de eventos gratuitos e encontros informais para a discussão técnica e troca de experiências entre seus membros.
Fica aqui a dica do Google inurl team, Neste Link você poderá ter acesso as datas dos próximos eventos assim como em qual cidade, ocorrerá.
sábado, 15 de setembro de 2012
Falha de segurança no site da Eletropaulo expõe dados dos seus clientes
Uma falha de segurança descoberta nesta quarta-feira (5) no site da Eletropaulo, companhia energética que atende a região metropolitana de São Paulo, deixou os dados cadastrais dos mais de 6,4 milhões de usuários expostos. O problema foi encontrado pelo estudante de sistemas da informação Carlos Eduardo Santiago.
A falha permitia que qualquer pessoa tivesse acesso e conseguisse alterar os dados cadastrais e de pagamento dos clientes da companhia. Além disso, era possível acessar as últimas 13 faturas dos clientes e solicitar a suspensão do fornecimento de energia elétrica.
A empresa informou que irá lançar um novo site em novembroSantiago descobriu que para ter acesso aos dados dos clientes, bastava fazer uma simples modificação no endereço do site. Outro problema de segurança identificado é o fato de que para acessar os serviços da empresa pelo site, o usuários precisam apenas fornecer CPF ou CNPJ do cliente, dados estes que se encontram em qualquer conta.
E nesta quinta-feira (6), a Eletropaulo se pronunciou por meio de sua assessoria de imprensa afirmando que os problemas no site já foram resolvidos e, que até novembro, a empresa irá lançar uma nova página na internet. Esta foi a primeira vez que o site da empresa passou por problemas.
A falha permitia que qualquer pessoa tivesse acesso e conseguisse alterar os dados cadastrais e de pagamento dos clientes da companhia. Além disso, era possível acessar as últimas 13 faturas dos clientes e solicitar a suspensão do fornecimento de energia elétrica.
A empresa informou que irá lançar um novo site em novembro
E nesta quinta-feira (6), a Eletropaulo se pronunciou por meio de sua assessoria de imprensa afirmando que os problemas no site já foram resolvidos e, que até novembro, a empresa irá lançar uma nova página na internet. Esta foi a primeira vez que o site da empresa passou por problemas.
Fonte: http://canaltech.com.br/noticia/seguranca/Falha-de-seguranca-no-site-da-Eletropaulo-expoe-dados-dos-seus-clientes/#ixzz26ZgeWsZR
O conteúdo do Canaltech é protegido sob a licença Creative Commons (CC BY-NC-ND). Você pode reproduzi-lo, desde que insira créditos COM O LINK para o conteúdo original e não faça uso comercial de nossa produção.
O conteúdo do Canaltech é protegido sob a licença Creative Commons (CC BY-NC-ND). Você pode reproduzi-lo, desde que insira créditos COM O LINK para o conteúdo original e não faça uso comercial de nossa produção.
Que tal um possivel novo milworm ?
OBS do site:
O arquivo final de explorações e de software vulnerável e um grande recurso para pesquisadores de vulnerabilidades e profissionais de segurança.O nosso objectivo é recolher façanhas de apresentar tals e listas de discussão diversas e concentrá-las em um, fácil de navegar banco de dados.Este foi escrito para fins educacionais. Use por sua conta e risco. Autor não será responsável por qualquer dano. / / R0073r
Site:http://www.1337day.com/
O arquivo final de explorações e de software vulnerável e um grande recurso para pesquisadores de vulnerabilidades e profissionais de segurança.O nosso objectivo é recolher façanhas de apresentar tals e listas de discussão diversas e concentrá-las em um, fácil de navegar banco de dados.Este foi escrito para fins educacionais. Use por sua conta e risco. Autor não será responsável por qualquer dano. / / R0073r
Site:http://www.1337day.com/
Ferramentas online para pentest.
Abaixo, você pode encontrar algumas ferramentas de teste on-line Penetração deitos por Subhash Dasyam:
Online Port Scanner
http://scan.subhashdasyam.com/port-scanner.php
Online VNC Scanner
http://scan.subhashdasyam.com/dumper-with-login.php
Online SSH Scanner
http://scan.subhashdasyam.com/ssh-scanner.php
Online Admin Page Bruter
http://scan.subhashdasyam.com/admin-page-finder.php
Online WordPress Admin/Password Bruter
http://scan.subhashdasyam.com/wordpress-bruter.php
Online LFI Scanner
http://scan.subhashdasyam.com/lfi-scanner.php
Online RDP Scanner
http://scan.subhashdasyam.com/remote-desktop-scanner.php
Fastest Online SQL Injection Values Dumper
http://scan.subhashdasyam.com/dumper.php
Fastest Online SQL Injection Values Dumper(Supports Login)
http://scan.subhashdasyam.com/dumper-with-login.php
quinta-feira, 13 de setembro de 2012
Site: www.consorciopirai.sp.gov.br com vulnerabilidade.
Host IP: 186.202.156.2
Web Server: Apache
DB: consorciopirai
Falha: SQLI
Obs: A equip da GoogleInurl, já informo a falha ao admin do site.
"Procure aprender algo que você ainda não domina, caso o contrario você nunca crescerá"
terça-feira, 11 de setembro de 2012
Manual básico do NMAP
=======================================================================================
Manual básico do NMAP
=======================================================================================1-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=0
EBR Web Hacking - Sux w-rm - Darkside Group.
Brazilian underground groups :]
1-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=0
Author: Samuz1n Colz1n
Contact: samuzin[at]hotmail.com.br
Thank`s: shadow vds e kernel
Greetz: ebr web hacking
-=[Descrição]=-
O Nmap fornece, de uma maneira geral, a relação de computadores e serviços
ativos. Este paper irá explicar como instalar e utilizar algumas funções do Nmap.
-=[Alguns métodos de Varredura]=-
-sP : (Ping Scan) Para saber se um determinado host ou rede está no ar. O nmap pode enviar pacotes ICMP (echo request) para verificar se determinado host ou rede está ativa. Hoje em dia, existem muitos filtros que rejeitam os pacotes ICMP, então ele retorna com um pacote de flag contendo TCP ACK para a porta 80(padrão) e caso receba um RST o alvo está ativo. A terceira técnica envia um pacote SYN ( Pedido de conexão) e espera um RST(resposta) ou um SYN-ACK.
Comentário : Podemos também usar o nmap para um ataque de negaça, usar o nmap para um "SYN FLOOD".
-sR : RCP Scan ! Ele considera todas as portas TCP e UDP abertas e envia comando NULL, para determinar se realmente são portas RPC. É como se o comando "rpcinfo -p" estivesse sendo utilizado, mesmo através de um firewall.
-sS : TCP SYN scan: Técnica também conhecida por "half-open" (no inglês, half é como se fosse meio ou meia.) pois não abre uma conexão TCP completa. É enviado um pacote SYN, como se ele fosse uma conexão real e aguarda uma resposta. Caso o pacote SYN-ACK seja recebido, a porta está aberta, enquanto um como resposta indica que a porta está fechada. A vantagem dessa abortagem é que poucos irão detectar esse scanning.
-sT : TCP connect scan: Técnica básica. É utilizada a chamada de sistema "connect" que envia um sinal de portas ativas. É um dos scans mais rápidos, porém fácil de ser detectado.
-sU :UDP scan: Scan para portas UDP, para saber qual está aberta. A técnica consiste em enviar um pacote UDP de 0 byte para cada porta do host. Se for recebido uma mensagem ICMP "port unreachable" então a porta está fechada, senão a porta PODE estar aberta.
-sV: Version detection, muito utilizada. Após as portas TCP e/ou UDP serem descobertas por algum dos métodos, o nmap irá determinar qual o serviço está rodando atualmente. O arquivo nmap-service-probes é utilizado para determinar tipos de protocolos, nome da aplicação, número da versão, etc.
-sF, -sX, -sN
Stealth FIN, Xmas Tree ou Null: Também técnica utilizada para flood. Alguns firewalls e filtros de pacotes detectam pacotes SYN's em portas restritas, então é necessário utilizar métodos avançados para atravessar esse firewall.
FIN : Portas fechadas enviam um pacote RST como resposta a pacotes FIN, enquanto portas abertas ignoram esses pacotes.
Xmas Tree : Portas fechadas enviam um pacote RST como resposta a pacotes FIN, enquanto portas abertas ignoram esse pacote FIN. O pacote contendo as flags FIN, URG e PUSH são utilizados no pacotes FIN que é enviado ao alvo.
Null : Portas fechadas enviam um pacote RST como resposta a pacotes FIN, enquanto portas abertas IGNORAM esses pacotes. Nenhuma flag é ligada no pacote FIN.
-=[Opções Gerais]=-
******************************************
OBS : Em alguns casos ignorar o "<>"
******************************************
-D :
Durante uma varredura, utiliza uma séria de endereços falsificados, simulando que o scanning tenha originado desses vários hosts, sendo praticamente impossível indentificar a verdadeira origem da varreduta.
Ex.: nmap -D IP1,IP2,IP3,IP4,IP6,127.1.1.1
-F : Procura pelas portas que estão no /etc/services. Método mais rápido, porém não procurar todas as portas.
Ex.: nmap -F
-I : Se o host estiver utilizando o ident, é possível identificar o dono dos serviços que estão sendo executados no servidor(trablha com a opção -sT )
Ex.: nmap --sT -i
-O: Ativa a identificação do host remoto via TCP/IP. Irá apresentar versão do Sistema Operacional e tempo ativo.
Ex.: nmap -O
-P : : Específica quas portas devem ser verificados na varredura>
Ex.: nmap -p 22,80,3306,21,8080,134
-T
Esse parâmetro seta a prioridade de varredura do Nmap:
-=[Alguns exemplos]=-
Ex.: nmap -v alvo
Esta opção faz a varredura de todas as portas TCP reservadas.
Ex.: nmap -sS -O alvo/24
Lança uma varredura TCP Syn contra cada máquina que está ativa, abrangendo todas as 255 máquinas de classe “C” onde alvo faz parte. Além disso determina o sistema operacional de cada host.
Ex.: nmap -sX -p 22,53,110,143 alvo
Envia uma varredura Xmas Tree para o alvo, além de varrer somente os serviços
de sshd, Dns, pop3d e imapd.
--=| FIM! |=--
sábado, 8 de setembro de 2012
Engenharia Reversa de Malware
Banker ou “banqueiro” representa uma nova modalidade de crime. Os Bankers utilizam meios para roubo de informações bancárias programando trojans e utilizando de quadrilhas para aplicar seus atos ilícitos, como saques, compras e transferências indevidas de conta bancária das vítimas. O aumento de ataques utilizando trojans que rouba dados está crescendo assustadoramente, logo devemos ficar a atentos aos mecanismos de defesas, como firewals, bem configurados, anti-virus e políticas de programação de software adequadas.
A linguagem de programação mais usada para o trojan criado pelos Bankers Brasileiros, conhecida como Keyllogers Bankers é a Borland Delphi e Microsoft Visual Basic. Estes trojans são espalhados geralmente em redes sociais, e-mails e downloads de arquivos. Segundo pesquisas o Brasil é líder em desenvolvimento deste tipo de trojans e existe um latente comercio da venda dos trojans com preços variados que passam de R$ 1.000,00. Portanto, todo tipo de informações relevantes capturadas na internet , como contas de usuários são comercializada pelas quadrilhas. Várias técnicas são aplicadas, como redirecionamento de sites, defacer, etc. Uma das maiores operações ao combate, desta modalidade de crime foi a famosa operação Cavalo de Tróia executada pela Polícia Federal,que prendeu mais de 50 Crackers em todo o Brasil.
Devido, ao constante desenvolvimento dos trojans, nada melhor que aplicarmos engenharia reversa, afim de entendermos a estrutura do trojan e seus modos operantes. Creio que só poderemos aplicar as melhores otimizações dissecando a estrutura binária do sistema malfeitor, de forma a compreender os pormenores da ferramenta analisada em amplitude.
Seque alguns vídeos que encontrei sobre engenharia reversa com trojan-banker apresentado no Hack’n Rio 2011, muito bem detalhado e vale a pena conferir.
Abraços a todos.
Assista os vídeos: Engenharia Reversa de Trojan-Banker
By: Gerson Raymond
Técnico em Contabilidade, Técnico em Eletrônica, Técnico em Telecomunicações, Bacharel em Ciência da Computação, Administrador de Redes Linux (CentOS, XEN, Zabbix, Asterisk/Elastix) e Pós-Graduando em Segurança em Tecnologia da Informação – UNIVERSIDADE MACKENZIE – SP.
Homepage: http://www.grsecurity.com.br
Os cibercriminosos usam a engenharia social para estender ciclo de vida de malware
Usuários de smartphones Android continuam a ser um alvo lucrativo como a plataforma tem actualmente 59 por cento do mercado global e está a caminho de ficar o sistema operacional mais enviados móvel até 2016, de acordo com a AVG.
Grande parte deste novo malware também foi identificado como originário da China e direcionada aos usuários de lá e em mercados vizinhos, refletindo o fato de que este é agora o mercado mais importante do mundo para smartphones, com mais de um milhão de usuários da web móvel.
A conexão China
Este quarto viu a introdução do bootkit primeiro Android, "DKFbootkit ', que se disfarça como uma versão falsa de uma aplicação legítima e danos código do smartphone kernel do Linux, substituindo-o com código malicioso. Os usuários são induzidos a clicar em 'OK' para as notificações que o malware oferece, dando-lhe permissão para adicionar-se a seqüência de inicialização e primavera na vida uma vez que o dispositivo é ativado.
No enraizamento do dispositivo, este ataque transforma o smartphone em um zumbi que está totalmente sob o cibercriminoso de controle, o que torna uma séria ameaça para os usuários do Android. Este ataque é espalhado sobre o terceiro mercado de aplicações partido - e não o jogo oficial do Google - na China.
Os autores de malware também spam China, Japão, Coréia do Sul, Taiwan e Estados Unidos, com mensagens de Trojan-infectados e-mail relacionados a questões políticas em torno do Tibete. Estes foram liberados na parte de trás de segurança do Microsoft 'Patch Tuesday' bulletin4 com os autores correndo para aproveitar a "janela de oportunidade" lapso de tempo entre o lançamento do patch e quando os usuários foram capazes de implementá-lo. O anexo de e-mail contém um arquivo executável, incorporado criptografado que recolhe informações sobre o usuário sensíveis, tais como senhas, e é capaz de baixar malware adicional para instalação de key logger ou para obter uma configuração de novo trojan.
Yuval Ben-Itzhak, CTO da AVG, disse: "Em nossa experiência, um sistema operacional atrai a atenção de criminosos, uma vez que assegura cinco partes por cento do mercado, uma vez que atinge 10 por cento, vai ser activamente atacado. Não é surpresa, portanto, que nossas investigações descobriram um aumento ainda mais no malware visando smartphones Android dada a sua popularidade sustentado, com novos ataques focados no enraizamento os dispositivos para dar cibercriminosos controle total. O que há de novo neste trimestre é o aumento significativo destas ameaças provenientes da China. "
O fim do antivírus?
Para todo o sensacionalismo em torno da descoberta do Stuxnet em 2010 e 2012 seu equivalente, Chama, o consumidor médio nunca foi realmente um alvo para qualquer malware. Enquanto rumores de ataques cibernéticos circularam sobre ambos, Chama não era realmente um patch da sofisticação do Stuxnet em termos de criação de malware e, em particular, as técnicas utilizadas na carga não foram muito impressionante. A indústria de segurança já está adaptado à natureza inesperada de ameaças com detecção de assinatura tradicional que é apenas uma camada dentro de uma solução de segurança multi-facetado.
Golpes de consumo
A versão mais recente da massa ataque de injeção de SQL LizaMoon neste trimestre engana os usuários a baixar um cavalo de tróia ou algum software não autorizado através da exploração de interesse humano e se escondendo dentro inexistentes vídeos de celebridades do sexo ou sites de antivírus falsos. Injetar código malicioso em sites legítimos, mas vulnerável, este ataque teve como alvo o Mozilla Firefox ® e navegador Internet Explorer da Microsoft com dois vetores de ataque.
No Firefox, os usuários são atraídos por vídeos picantes de socialite Paris Hilton e Emma Watson atriz e pediu para atualizar sua instalação do Flash, a fim de exibi-los. Os usuários nunca chegar a ver o vídeo como o malware instalado um Trojan disfarçado de atualização do Flash.
No Internet Explorer, os usuários recebem uma solicitação aparentemente de um site de antivírus que afirmam ter encontrado malware em seu computador. Eles são incentivados a fazer o download do malware e, uma vez instalado, para "comprá-lo", que seria, então, simplesmente remover o malware em troca de pagamento.
Caso a vítima decidir não comprar, nag telas que aparecer até o ladino foi removido da máquina. Na versão mais recente, o malware foi atualizado para permitir 'drive-by downloads ", onde as vítimas precisam apenas de visitar o site para ser infectado e ele não é mais o suficiente para fechar a página da web para ser seguro.
Rovio aplicação do "Espaço Angry Birds 'também foi linha de frente para golpes de consumo neste trimestre. Usando os mesmos gráficos que a versão de legítima, uma versão totalmente funcional Trojan-infectado foi carregado para lojas de aplicativos não oficiais Android. Ele usa o GingerBreak explorar a raiz do dispositivo, ganhando funcionalidade de Comando e Controle para comunicar com o servidor remoto para baixar e instalar malware adicional, funcionalidade botnet, e para permitir a modificação de arquivos e lançamento de URLs.
Fonte: http://www.net-security.org/malware_news.php?id=2199
segunda-feira, 3 de setembro de 2012
Shell em Imagens
Bom galera esse tuto visa mostrar como nós podemos burlar um upload de um site para hospedar uma Shell. Mas antes alguns pontos
Oque é uma Shell?
É o componente que faz a ligação entre o kernel e o usuário. Toda vez que o usuário digita um comando e pressiona |Enter|, a Shell interpreta os
comandos e manda para o Kernel.
Mais informações Clique Aqui para ver sobre exploit,shell,root e outros
Oque farei com uma Shell hospedada?
Bom depende do tipo de Shell que você upar no site. Existem Shell’s que upam outras Shell( Você: lol p/ q isso. Eu: Calma eu já falo), existem Shell que te dão o controle do site inteiro, alguns para ler arquivos, outras para usar a máquina como zumbi enfim...
Lembrando que as Shells, podem ser em php,c...
E essas Shells são upadas naquele famoso link mais ou menos assim.
Problemas:
Ai que surge um problema. Porque muitos desses “uploads”, geralmente verificam a extensão do arquivo. Alguns não verificam então você pode upar uma página Shell.php e virar admin na página.Mas essa verificação por extensão é boa e ruim ao mesmo tempo, boa porque fornece uma falsa segurando pro web máster que fez, e ruim porque ele verifica o TIPO DE EXTENSÃO, e não o arquivo em Si.
Como assim?
Posso upar uma Shell Php, porém com a extensão . JPG que ele aceitará, depois é só mudar de volta para .php e você tem o acesso.
Como Vencer essas barreiras então:
Simples, para saber o tipo de validação do campo, infelizmente é só testando mas por exemplo você pode ter uma Shell assim
- CÓDIGO:
C99.jpg.php
Porque? Porque se ele aceitar, significa que o campo verifica apenas a primeira extensão depois de um “ . “ (ponto)
Assim mesmo ele sendo upado como uma jpeg, ele vai ser reconhecido pelo sistema como um Php assim você terá o acesso ao sistema, basta ir no site da vitima e no final por essa extensão upada ou seja.
- CÓDIGO:
www.sitedavitima.com.br/c99.jpeg.php
Outros casos é ao contrário primeiro tem que vir a extensão, do pho e depois do jpeg por ele verifica até o final da informação depois do ponto.
Ai ficaria assim
- CÓDIGO:
C99.php.jpeg
Ai você tem que depois dar um jeito de mudar essa extensão usando um exploit por exemplo.
Um outro tipo é usando um é o que se pode anular a última extensão através de um comando null.
O arquivo renomeado ficaria assim:
- CÓDIGO:
C99.php.jpg OU minhashell.jpg. php
O filtro iria aceitar o arquivo por ele ser uma extensão .jpg, porém como à um comando anulando a última extensão, então ele reconheceria o arquivo como .php e isso novamente te daria acesso adminsitrativo.
Dúvidas,perguntas e chorumelas estamos ae... Abraços
Assinar:
Postagens (Atom)