Quarta-feira, 24 de Junho de 2009
VMware Virtualization Forum 2009
Terça-feira, 31 de Março de 2009
Conficker - 01 de Abril - Como Identificar quem está infectado na sua rede?
Será apenas uma mentira de 01 de Abril?
Em todo o caso devemos nos prevenir, foi descoberta uma falha no Conficker que faz com que ele seja descoberto através de requisições nas portas 139 e 445, com isso utilizando o software nMap(a última versão BETA) é possível identificar quais micros em sua rede estão com o Conficker hibernando e aguardando as tão "assustadoras" instruções que ele vai receber no dia 01 de Abril.
Usei a versão do nMap para Linux, pelo que vi a versão lançada para o Windows também atende, mas não testei muito e nem estudei maneiras de verificar o log automaticamente.
- Fazendo Download do nMap:
wget http://download.insecure.org/nmap-dist/nmap-4.85BETA5.tar.b
2. Extraindo:
bzip2 -cd nmap-4.85BETA5.tar.bz2 tar -xv
3. Instalando:
cd nmap-4.85BETA5
./configure
make
make install
Prontinho o nMap está instalado.
Agora vamos verificar um micro em específico:
nmap -PN -T4 -p139,445 -v --script=smb-check-vulns --script-args safe=1 172.X.0.0/32
ou
nmap --script=smb-check-vulns --script-args=safe=1 -p445 -d 172.0.0.0
Vai aparecer a Seguinte Mensagem:
Host script results:
smb-check-vulns:
MS08-067: NOT RUN
Conficker: Likely CLEAN
_ regsvc DoS: NOT RUN (add --script-args=unsafe=1 to run)
Problemas:
MS08-067: VULNERABLE (Está sem a atualização da MS)
Conficker: INFECTED (Está infectado)
Agora vamos otimizar isso e verificar melhor o log que vocês vão perceber que retorna diversas informações:
nmap -PN -T4 -p139,445 -v --script=smb-check-vulns --script-args safe=1 172.X.X.X/16 egrep "(portsConficker)" grep -B1 "Conficker" > /root/VerificaConficker
Criei um Shell Script que fica verificando de tempo em tempo e me envia via e-mail:
#!/bin/bash### Elifas F. G. Fariasnmap -PN -T4 -p139,445 -v --script=smb-check-vulns --script-args safe=1 172.31.0.0/16 egrep "(portsConficker)" grep -B1 "Conficker" > /root/VerificaConficker
cat /root/VerificaConficker grep -B1 "INFECTED" > /root/Infectados
/usr/bin/mutt -s "Micros Infectados com o Conficker" elifas@gmail.com \ < /root/Infectados
Prontinho você vai receber por e-mail os micros hospedeiros do Conficker.
Quarta-feira, 26 de Novembro de 2008
VBS para finalizar processo
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colProcessList = objWMIService.ExecQuery _
("Select * from Win32_Process Where Name = 'NomeDoProcesso.exe'")
For Each objProcess in colProcessList
objProcess.Terminate()
Next
Prontinho, salve como FechaProcessoX.vbs e execute.
Abraço!!!
Captive Portal
// This is the name of your hotspot. It is what will be displayed in
// the browser title and messages such as "Logged in to _My HotSpot_".
define('HOTSPOT_NAME', 'Título do seu HotSpot');
// With which language shall I talk to you?
// available: 'en', 'de'
// Definição do seu idioma
$lg = 'pt-br';
// Set the UAM IP and UAM Port to point to the chillispot server.
define('UAMIP', '192.168.10.1');
define('UAMPORT', '3990');
// Leave this the way it is. It's just for convenience.
define('UAM_URL', 'http://' . UAMIP . ':' . UAMPORT);
// Set this to the base url of your login website.
// for example: "https://wireless_login.mysite.com/"
// Site do Captive Portal
define('BASE_URL', 'http://192.168.50.1:8080/sitedelogin/');
// Set this to the url where you find the login script (index.php).
// for example: 'BASE_URL' or 'BASE_URL . "hotspotlogin/"'
define('LOGINPATH', BASE_URL);
// Set to true to enable login cookie to store username and password.
define('ENABLE_LOGIN_COOKIE', true);
// Set this to "true" to enable debugging output.
define('DEBUG_MODE', false);
// Shared secret used to encrypt challenge with. Prevents dictionary
// attacks. You should change this to your own shared secret.
// NOTE: This should match chilli.conf's 'uamsecret'.
// Senha do UAMSECRET que fica no roteador
define('UAMSECRET', 'senha');
// Best to leave the following line alone if you want to use ordinary
// user-password for radius authentication. Must be used together with
// UAMSECRET (above).
define('USERPASSWORD', true);
?>
Abraço!!!
Segunda-feira, 10 de Novembro de 2008
Vídeos do GTER
http://www.youtube.com/watch?v=tFO91BFPeOk
http://www.youtube.com/watch?v=_gCIsfs-MeU
Script BAT para fechar arquivos abertos pela rede
Uma vez encontrei um script na Internet que pegava as informações dos arquivos compartilhados abertos através do comando netfiles e os fechava, infelizmente não encontrei o site para referenciar aqui, peguei esse script e fiz pequenos ajustes, ele ficou ideal para ser utilizado no seu servidor minutos antes da janela de backup:
####Script .BAT
@echo off
net files > ArquivosAbertos.txt
for /F "delims= " %%a in ('type ArquivosAbertos.txt ^findstr "*.*"') do (
Net Files %%a /close
)
###
Ele gera uma lista TXT de arquivos abertos e a usa para fechá-los.
Também já utilizei um outro script, esse peguei do site da Microsoft, mas não tive muito sucesso com ele:
### Script .BAT
for /f "skip=4 tokens=1" %a in ('net files') do net files %a /close
###
Abraço!!!
VBS que renomeia pasta e mantem compartilhamento.
Sendo assim, a pasta C:\Pasta que estava compartilhada como Pasta$ com permissão para o grupo g_marketingcontinuará exatamente com as mesmas configurações, e seus arquivos estarão na pasta renomeada.Esse script só funciona 100% com as duas pastas ficando no mesmo diretório.
Exemplo do Arquivo MovePasta.VBS
########################
'Elifas - Junho de 2008
dNow = Now
yy = Right(Year(dNow), 2)
mt = Right("00" &Month(dNow), 2)
dd = Right("00" &Day(dNow), 2)
NovoNome = "Pasta_" & dd &mt &yy
Set objFSO = CreateObject("Scripting.FileSystemObject")
Set oFile = ObjFso.getFolder("C:\pasta")
oFile.Name = NovoNome
Set objFolder = objFSO.CreateFolder("C:\pasta")
#####################
Prontinho, basta agendar a tarefa do Windows.
