Timber by EMSIEN-3 LTD
Authors Posts by Juan D.

Juan D.

30 POSTS 0 COMMENTS

RoundCube es un fantastico cliente IMAP basado en web (webmail) de nueva generación escrito en PHP con una interfaz muchisimo más rica (XHTML/CSS) que su más directa competencia como Horde/Squirrelmail.

Todas las versiones inferiores a la 0.2b son susceptibles a la ejecución remota de código por parte de un atacante al tratar de manera insegura la función prog_replace en PHP.

Advisory

La versión 0.2 stable ya esta disponible para su descarga aquí

Podemos comprobar si nuestro sistema esta afectado con el siguiente PoC (Proof of Concept):

wget -q -header=”Content-Type: ”” \
-O – -post-data=’$phpinfo()‘ \
-no-check-certificate \
http://ipdenuestroservidor /roundcubemail-0.2-alpha/bin/html2text.php

Actualización en Directadmin

Roundcube trae un shell script y un instalador PHP para realizar la actualización propiamente dicha, por lo cual voy a basarme en la forma de hacerlo en Directadmin (directamente afectado por el problema al exponer los webmail por defecto sin un método de autenticación) y porque además la gente de Directadmin no lo añadio oficialmente” al versions.txt.

Editamos options.conf para desactivar el autover y activar clean_old_webapps

perl -pi -e ‘s|autover=yes|autover=no|’ /usr/local/directadmin/custombuild/options.conf
perl -pi -e ‘s|clean_old_webapps=no|clean_old_webapps=yes|’ /usr/local/directadmin/custombuild/options.conf

cd /usr/local/directadmin/custombuild
/build update
wget -O roundcubemail-0.2-stable.tar.gz http://switch.dl.sourceforge.net/sourceforge/roundcubemail/roundcubemail-0.2-stable.tar.gz
perl -pi -e ‘s|roundcubemail:0.1.1:a2bf665acd7f8a6b2b63c92aedefb23f|roundcubemail:0.2-stable:a029f57239fe32ea133357f4208f753f|’ versions.txt
/build roundcube

Después de esto podemos realizar el proceso con el options.conf a la inversa para reactivar esas opciones.

Floodmon es una interesante herramienta creada en Perl. Consiste en un pequeño demonio que ayuda a monitorizar y mitigar ataques SYN al servidor, permitiendo que el trafico legitimo sea permitido.

A diferencia de DDoS Deflate que esta basado en Netfilter/Iptables, Floodmon realiza el filtrado a nivel de tabla de enrutamiento. Es muy eficiente contra floods HTTP, por ejemplo, donde se intenta saturar el uplink basado en la respuesta. A pesar de todo, aunque se null routea el ataque, el servidor va a ser alcanzado por multitud de paquetes, lo que complica el asunto ante un ataque de gran calado.

Os dejo la url del proyecto:

Link del proyecto en Sourceforge

Medialayer sufria ataques de denegación de servicio. Para atajar ese problema, uno de los chicos de Medialayer pensó en crear una solución Open Source para mitigar estos ataques. Ese día nació DDoS Deflate, un script en Bash bastante efectivo para mitigar ataques de denegación de servicio.

Instalando DDoS Deflate

DDoS Deflate requiere que APF 0.96 este instalado si queremos usar que las IP´s sean baneadas a traves de APF.
La instalación de APF va mas allá del objetivo de esta guia.

wget http://www.inetbase.com/scripts/ddos/install.sh
chmod 0700 install.sh
/install.sh

Configurando DDoS Deflate

Abrimos el fichero ddos.conf localizado en /usr/local/ddos

Editamos las rutas para que encajen con la estructura de nuestro sistema:

PROGDIR=”/usr/local/ddos”
PROG=”/usr/local/ddos/ddos.sh”
IGNORE_IP_LIST=”/usr/local/ddos/ignore.ip.list”
CRON=”/etc/cron.d/ddos.cron”
APF=”/etc/apf/apf”
IPT=”/sbin/iptables”

Posteriormente, tendremos que adecuar las opciones restantes según la naturaleza de la situación en la que estemos inmersos:

FREQ=1
# Frecuencia en minutos en la que el script sera ejecutado

NO_OF_CONNECTIONS=150
# Número de conexiones para proceder a banear una supuesta IP atacante

APF_BAN=1
# 1 indica que DDoS Deflate usara APF para banear, 0 llama directamente a Iptables

Es necesario APF 0.96 como minimo si queremos activar el baneo por APF

BAN_PERIOD=600

# Tiempo durante el cual el atacante estará baneado. En segundos

EMAIL_TO=”root”

# Dirección a la cual se enviara un correo cuando alguien sea baneado

KILL=1

# Con la opción en 0, los atacantes no seran baneados. 1 esta activo por defecto

Hace tiempo que vengo usando Password.es, un servicio muy útil de Color Vivo para generar contraseñas seguras con un número determinado de caracteres, mayúsculas/minúsculas, simbolos especiales, evaluación de seguridad de la contraseña…

ICANN anuncia planes para añadir seis nuevos representantes en África

El pasado lunes, la ICANN ha confirmado sus planes para contar son seis representantes más en el continente africano. Este movimiento forma parte de una nueva iniciativa que pretende aumentar el número de registrantes de dominios autorizados en África. La idea es que esto pueda completarse en un período máximo de 2 años.

Hoy en día, solamente hay 5 registrantes de dominios autorizados en África, lo cual sin dudas es un gran contraste si se compara con los miles que hay en el resto del mundo. Fadi Chehadé, el presidente de la ICANN, dijo que espera que el número de registrantes africanos pueda al menos duplicarse en los próximos 2 años.

Usualmente, si alguien quería vender dominios, era necesario ir hacia la ICANN ha solicitarlo, pero esta vez la cosa es distinta, es la ICANN quien se dirige hacia los futuros registrantes, según anunció el presidente Chehadé.

El anuncio fue realizado en Adís Abeba, Etiopía, en el marco de la cumbre Internet Governance.

Más información | The Whir

Otros artículos interesantes:

0 1364

Blacknight lanza dominiosUS

Blacknight es la principal compañía irlandesa de la industria del hosting sin lugar a dudas. La firma también se dedica al registro de dominios, y de ahora en más también ofrecen registro de dominiosUS.

Blacknight quiere recordar a sus clientes que, si bien Internet es una red global, en algunos casos puede ser usada para darle una referencia geográfica nuestro negocio online, y por supuesto que una manera de hacer esto es contando con cierto tipo de dominios.

Obviamente que la gran mayoría de las personas suelen optar por los dominioscom y lo harían si tuviera que elegir entre uno de estos y unus por ejemplo, pero en estos meses estarán siendo introducidos nuevos gTLDs que dan la sensación de ser bastante prometedores, aunque no traerán cambios grandes al mercado de dominios de forma inmediata.

Más información | The Hosting News

Otros artículos interesantes:

En alguna ocasion podemos encontrarnos con algun tipo de ataque de una determinada IP o red (rezando para que no sean multiples) hacia nuestra red/sistema.

En Linux (y BSD/Solaris/Unix Flavours) podemos mandar los paquetes de una determinada IP o red a ninguna parte (blackhole route o null route) añadiendo una entrada en nuestra tabla de rutas.

USANDO EL COMANDO ROUTE PARA NULL ROUTE

route add 192.168.1.5 gw 127.0.0.1 lo

En este comando especificariamos que la IP atacante es 192.168.1.5 y queremos enviar los paquetes que nos envie a la interfaz de loopback.

Verificar que se ha null routeado” la IP en nuestra tabla de rutas

route -n

O bien usando Netstat

netstat -nr

Tambien podemos hacer un reject:

route add -host 192.168.1.5 reject

Mandar a Null route una red entera

Imaginaros que queremos filtrar el sistema autónomo completo de McColo (si algún ISP anunciara sus prefijos, claro).

route add -net 208.66.192.0/24 gw 127.0.0.1 lo

Borrar entradas de la tabla de rutas

Probablemente haya un tiempo en el que ya no nos interese bloquear a determinada IP o bloque. Para borrar una entrada haremos lo siguiente:

route delete 192.168.1.5

La gente está comprando dominios con nombres de huracanes

En Estados Unidos, la temporada de huracanes y tormentas comienza en el mes de junio y termina en noviembre aproximadamente. Tal parece que muchas personas esperan que al menos una de todas las tormentas previstas sea memorable, razón por la cual están comprando nombres de dominios que incorporan el nombre de alguna de las esperadas tormentas.

La primer tormenta en llegar será Andrea, a la cual le seguirán Barry y Chantal. Los nombres de las tormentas son reciclados cada 6 años y las esperadas para este año pueden ser vistas aquí.

Actualmente, ya sea han registrado los 21 dominios con el formato hurricane+nombre”.com

No es malo el querer especulas las noticias y poder hacer unos dólares rápidos registrando dominios (como en el caso de la elección del Papa Francisco), pero en este caso hablamos de personas que prácticamente quieren que lleguen las tormentas para generar dinero, tormentas que anualmente matan y dejan sin hogar a miles de personas.

Más información | DNExpert

Otros artículos interesantes:

RedHat ha lanzado una actualización para corregir 15 fallas de seguridad en el núcleo de Linux.
Algunas de ellas, tienen un impacto critico:

Una vulnerabilidad fue encontrada en la implementación splice del Linux Kernel. Este fallo podría causar una denegación de servicio local cuando se provoque un determinado fallo en la función add_to_page_cache_lru() (CVE-2008-4302, Importante).

Las funciones do_truncate() y generic_file_splice_write() no limpian los bits Setuid y Setgid. Esto podría provocar que un usuario local sin privilegios pueda obtener acceso a información privilegiada. (CVE-2008-4210, CVE-2008-3833, Importante)

La implementación de XEN no previene que aplicaciones corriendo en un invitado para-virtualizado modifiquen el CR4 TSC. Esto podría provocar una condición de denegación de servicio local (CVE-2007-5907, Importante)

Para actualizar, los usuarios de RedHat o CentOS pueden hacerlo usando el comando yum update.

¿CÓMO ACTUALIZO EL KERNEL?

# yum update -y
# reboot

0 1106

Los planes de la ICANN para los nuevos TLDs

Nuevos TLDs serán introducidos en los próximos meses, pero ya hay preocupaciones sobre las potenciales ciberocupaciones que podría presentarse. Para solucionar este inconveniente, la ICANN ya cuenta con un plan.

Según reporta la BBC, la organización estará lanzado pronto algo conocido como la Trade Mark Clearing House, o TMCH. Esta plataforma permitirá a las compañías pre-registrar dominios antes que los nuevos TLDs estén oficialmente disponibles.

Generalmente, quienes se dedican a la ciberocupación simplemente registran dominios y no hacen nada con ellos, pero piden precios exageradamente altos cuando alguien solicita la compra.

Se espera que cientos de nuevos TLDs sean lanzados, incluyendoABC,NEWS,PIZZA, entre muchos otros. Cabe destacar que algunos son bastante curiosos.

Más información | The Hosting News

Otros artículos interesantes:

ARTÍCULOS ALEATORIOS

0 1105
RoundCube es un fantastico cliente IMAP basado en web (webmail) de nueva generación escrito en PHP con una interfaz muchisimo más rica (XHTML/CSS) que...