AuthForce no funciona cuando se usa un metodo digest o cuando el acceso es mediante un certificado SSL autofirmado, configuracion bastante comun en estos dias.

Con este parche se incluyen dos nuevos argumentos (--no_ssl_fail, --auth_digest) que solucionan el problema.

Podeis ver como funciona usando esta url de victima:

https://adictolinux.org.org/dummy

El usuario es 'dummy' y la contraseña 'dummypass'.

Basicamente vereis esto en la pantalla:

$ ./authforce --no_ssl_fail --auth_digest https://arrase.no-ip.org/dummy
match [dummy:dummypass]                                    
Congratulations: 1 password found.

Hace tiempo que busco unas reglas de iptables adecuadas para que bloqueen los ataques al puerto 22, ahora estoy usando este set de reglas:

iptables -A INPUT -p tcp -m state --state ESTABLISHED --tcp-flags FIN,ACK FIN,ACK \
                                                      --dport 22 \
                                                      -m recent \
                                                      --name sshattack \
                                                      --set

iptables -A INPUT -p tcp -m state --state ESTABLISHED --tcp-flags RST RST \
                                                      --dport 22 \
                                                      -m recent \
                                                      --name sshattack \
                                                      --set

iptables -A INPUT -m recent --name sshattack --rcheck --seconds 60 \
                                                      --hitcount 4 \
                                                      -m limit \
                                                      --limit 4/minute \
                                                      -j LOG \
                                                      --log-prefix 'SSH attack: '

iptables -A INPUT -m recent --name sshattack --rcheck --seconds 60 \
                                                      --hitcount 4 \
                                                      -j DROP

La cuestion es que no son efectivas al 100% (si al 95%),¿alguien tiene alguna sugerencia para mejorar esto?.

Hui se m'ha ocurrit per un nmap -v localhost
i quina ha sigut la meua sorpresa al veure el següent:

Interesting ports on localhost (127.0.0.1):
(The 1671 ports scanned but not shown below are in state: closed)
PORT    STATE SERVICE
22/tcp  open  ssh
25/tcp  open  smtp
969/tcp open  unknown

I quina a sigut la meua sorpresa al veure el port 969 obert.
Algú li sona aquest port per a que s'utilitza jo per si de cas el filtraré.
He estat investigant per Internet i no he trobat cap servici conegut que l'utilitze.
Be, ja puc anar pensant en compiracions ......, pot ser estic teclejant ja sobre una màquina zombie d'algun black hat oriental

Este año los miembros de Gulcas Paul (deuteron), Dani (danisfe) y Jacobo (jack) organizaron el concurso de seguridad de la iParty 8 de aditel.

Para quién no lo acabo en la iParty o quién quiera empezarlo tranquilamente desde su casa, podéis descargarlo aquí, es un tar comprimido en gz, al descomprimirlo encontraréis los siguientes directorios:

• www/: Toda la infraestructura para inscripción de participantes, status y pruebas web/php.
• etc/: Todo el /etc del concurso (usuarios, grupos del concurso...)
  

Como ya sabéis este año el concurso de seguridad para la iParty8 corre a cargo de Dani (danisfe), Paul (deuteron) y Jacobo (jack).
El concurso es de tipo wargame, esto es, te inscribes y se te dan los datos de una máquina.
En total hay 22 niveles, como es de pensar, primero estás en el nivel0 :) si te lo pasas vas al nivel1...así hasta el final. En los primeros niveles no tienes acceso SSH a la máquina (has de ganartelo ;) superados los primeros niveles, se te da un login y un password de una máquina en la que has de entrar por SSH y pasar el resto de las pruebas allí. Para pasar los primeros niveles deberás tener conocimientos generales de HTML, Javascript o SQL.

Un Saludo a todos

Se acaba de publicar la primera release del software Clauer Linux, para todo aquel que no lo conozca, el clauer es una memoria flash USB con una partición especial en la que se gestionan certificados de usuarios, llaves privadas y demás datos de forma transparente para el usuario, además los datos sensibles se protegen cifrándolos con una contraseña global del Clauer. Este sistema se utiliza en la UJI para acceder al portal e-ujier, la Mediateca y en un futuro quizás para acceder a los ordenadores en las aulas, quien sabe...
Quien no lo conozca y sienta curiosidad, puede documentarse en http://clauer.nisu.org/