VMware Virtualization Forum 2009

Olá Pessoal!!!

No último dia 03/06 participei do " VMware Virtualization Forum 2009", vi diversas coisas interessantes, dentre elas vale destacar que atualmente é possível virtualizar máquinas com o Exchange 2007 e a interação do novo Arcserve com o VMware facilitando demais o backup das máquinas virtuais.

Abraço!!!

Conficker - 01 de Abril - Como Identificar quem está infectado na sua rede?

O que será que o Conficker vai aprontar amanhã?
Será apenas uma mentira de 01 de Abril?

Em todo o caso devemos nos prevenir, foi descoberta uma falha no Conficker que faz com que ele seja descoberto através de requisições nas portas 139 e 445, com isso utilizando o software nMap(a última versão BETA) é possível identificar quais micros em sua rede estão com o Conficker hibernando e aguardando as tão "assustadoras" instruções que ele vai receber no dia 01 de Abril.

Usei a versão do nMap para Linux, pelo que vi a versão lançada para o Windows também atende, mas não testei muito e nem estudei maneiras de verificar o log automaticamente.

1. Fazendo Download do nMap:

wget http://download.insecure.org/nmap-dist/nmap-4.85BETA5.tar.b

2. Extraindo:

bzip2 -cd nmap-4.85BETA5.tar.bz2 tar -xv

3. Instalando:

cd nmap-4.85BETA5

./configure

make

make install

Prontinho o nMap está instalado.

Agora vamos verificar um micro em específico:

nmap -PN -T4 -p139,445 -v --script=smb-check-vulns --script-args safe=1 172.X.0.0/32
ou
nmap --script=smb-check-vulns --script-args=safe=1 -p445 -d 172.0.0.0

Vai aparecer a Seguinte Mensagem:

Host script results:
smb-check-vulns:
MS08-067: NOT RUN
Conficker: Likely CLEAN
_ regsvc DoS: NOT RUN (add --script-args=unsafe=1 to run)

Problemas:

MS08-067: VULNERABLE (Está sem a atualização da MS)

Conficker: INFECTED (Está infectado)

Agora vamos otimizar isso e verificar melhor o log que vocês vão perceber que retorna diversas informações:

nmap -PN -T4 -p139,445 -v --script=smb-check-vulns --script-args safe=1 172.X.X.X/16 egrep "(portsConficker)" grep -B1 "Conficker" > /root/VerificaConficker

Criei um Shell Script que fica verificando de tempo em tempo e me envia via e-mail:

#!/bin/bash### Elifas F. G. Fariasnmap -PN -T4 -p139,445 -v --script=smb-check-vulns --script-args safe=1 172.31.0.0/16 egrep "(portsConficker)" grep -B1 "Conficker" > /root/VerificaConficker

cat /root/VerificaConficker grep -B1 "INFECTED" > /root/Infectados

/usr/bin/mutt -s "Micros Infectados com o Conficker" elifas@gmail.com \ < /root/Infectados

Prontinho você vai receber por e-mail os micros hospedeiros do Conficker.

VBS para finalizar processo

Como vocês já devem estar percebendo adoro VBS, essa abaixo serve para você que tem problema com alguma tarefa "chata" que abre vários processos no seu Servidor e muitas vezes você tem que finaliza-la na raça:



strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")

Set colProcessList = objWMIService.ExecQuery _
("Select * from Win32_Process Where Name = 'NomeDoProcesso.exe'")

For Each objProcess in colProcessList
objProcess.Terminate()
Next


Prontinho, salve como FechaProcessoX.vbs e execute.
Abraço!!!

Captive Portal

Olá Pessoal, estou disponibilizando o arquivo PHP de exemplo do Captive Portal:


// This is the name of your hotspot. It is what will be displayed in
// the browser title and messages such as "Logged in to _My HotSpot_".
define('HOTSPOT_NAME', 'Título do seu HotSpot');

// With which language shall I talk to you?
// available: 'en', 'de'
// Definição do seu idioma
$lg = 'pt-br';

// Set the UAM IP and UAM Port to point to the chillispot server.
define('UAMIP', '192.168.10.1');
define('UAMPORT', '3990');

// Leave this the way it is. It's just for convenience.
define('UAM_URL', 'http://' . UAMIP . ':' . UAMPORT);

// Set this to the base url of your login website.
// for example: "https://wireless_login.mysite.com/"
// Site do Captive Portal
define('BASE_URL', 'http://192.168.50.1:8080/sitedelogin/');

// Set this to the url where you find the login script (index.php).
// for example: 'BASE_URL' or 'BASE_URL . "hotspotlogin/"'
define('LOGINPATH', BASE_URL);

// Set to true to enable login cookie to store username and password.
define('ENABLE_LOGIN_COOKIE', true);

// Set this to "true" to enable debugging output.
define('DEBUG_MODE', false);

// Shared secret used to encrypt challenge with. Prevents dictionary
// attacks. You should change this to your own shared secret.
// NOTE: This should match chilli.conf's 'uamsecret'.
// Senha do UAMSECRET que fica no roteador
define('UAMSECRET', 'senha');

// Best to leave the following line alone if you want to use ordinary
// user-password for radius authentication. Must be used together with
// UAMSECRET (above).
define('USERPASSWORD', true);

?>


Abraço!!!

Vídeos do GTER

Pessoal, já se encontram no Youtube os vídeos do GTER:

http://www.youtube.com/watch?v=tFO91BFPeOk

http://www.youtube.com/watch?v=_gCIsfs-MeU

http://www.youtube.com/watch?v=FU_TNmk3zQU

Script BAT para fechar arquivos abertos pela rede

Geralmente o NTBACKUP enfrenta problemas para salvar arquivos que estejam abertos pela rede, basta um usuário esquecer um desses arquivos abertos e pronto, o mesmo não é gravado na fita.
Uma vez encontrei um script na Internet que pegava as informações dos arquivos compartilhados abertos através do comando netfiles e os fechava, infelizmente não encontrei o site para referenciar aqui, peguei esse script e fiz pequenos ajustes, ele ficou ideal para ser utilizado no seu servidor minutos antes da janela de backup:

####Script .BAT

@echo off

net files > ArquivosAbertos.txt

for /F "delims= " %%a in ('type ArquivosAbertos.txt ^findstr "*.*"') do (

Net Files %%a /close

)

###


Ele gera uma lista TXT de arquivos abertos e a usa para fechá-los.


Também já utilizei um outro script, esse peguei do site da Microsoft, mas não tive muito sucesso com ele:

### Script .BAT

for /f "skip=4 tokens=1" %a in ('net files') do net files %a /close

###



Abraço!!!

VBS que renomeia pasta e mantem compartilhamento.

Supomos que você tem uma pasta pública que é esvaziada todo final mês, sabemos que você provavelmentenão da deleta logo de cara e deixa um backup pelo menos por alguns dias, então como fazer isso de maneiraautomática? Como não precisar refazer o compartilhamento?Criei uma VBS que renomeia a pasta para o nome dela e data, exemplo de hoje seria Pasta_091108, é criada uma nova pasta com o nome que estava e essa pasta fica com os mesmos compartilhamentos.
Sendo assim, a pasta C:\Pasta que estava compartilhada como Pasta$ com permissão para o grupo g_marketingcontinuará exatamente com as mesmas configurações, e seus arquivos estarão na pasta renomeada.Esse script só funciona 100% com as duas pastas ficando no mesmo diretório.
Exemplo do Arquivo MovePasta.VBS

########################
'Elifas - Junho de 2008
dNow = Now
yy = Right(Year(dNow), 2)
mt = Right("00" &Month(dNow), 2)
dd = Right("00" &Day(dNow), 2)
NovoNome = "Pasta_" & dd &mt &yy

Set objFSO = CreateObject("Scripting.FileSystemObject")
Set oFile = ObjFso.getFolder("C:\pasta")

oFile.Name = NovoNome

Set objFolder = objFSO.CreateFolder("C:\pasta")
#####################



Prontinho, basta agendar a tarefa do Windows.