Eu apelido como o dia D, ou como a SANS prefere dizer, a terça-feira negra. Hoje Terça-Feira (09-02-10), 13 Vulnerabilidades em produtos Microsoft lançadas e maioria de estado CRÍTICO, algumas para clients outras para servers. Não deixe de LER!! e Patchear! Ahh sem contar do 0day em BD Oracle que a mesma pediu que retirasse do ar o vídeo que saiu na BlackHat.
Category: Security
As vezes na correria do dia a dia tem a necessidade de quebrar uma hash md5, dai vc corre em um site, em outro, e nada de quebrar o hash, agora os seus problemas acabaram!! Para isso tem o MD5 Cracker!! Ele faz uma consulta em diversos sites automaticamente a procura do hash no qual vc quer quebrar, é uma economia de tempo gigante!!
E ainda mais!! é possivel add uma lista de hashes e ele faz todo o papel sujo para vc!! Show!
Download: MD5Cracker
[]‘s Sergito
Pesquisando na net alguns parâmetros de kernel do linux para evitar/contornar um ataque de syn flood, achei algumas modificações interessantes a ser realizadas no seu firewall linux. São parâmetros que alteram o tamanho da fila syn, diminuir o tempo de manutenção da fila entre outros, segue abaixo os comentários:
echo 3 > /proc/sys/net/ipv4/tcp_synack_retries
Para abrir o outro lado da conexão, o kernel envia um SYN com ACK agregado a ele, para
reconhecer o SYN recebido anteriormente. Essa é a parte 2 do handshake de três vias.
Esse parâmetro determina o número de pacotes SYN+ACK enviados antes de o kernel liberar a conexão.
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 4096 > /proc/sys/net/core/netdev_max_backlog
echo 4096 > /proc/sys/net/core/netdev_max_backlog
echo 4096 > /proc/sys/net/ipv4/tcp_max_syn_backlog
Número máximo de requisições de conexões lembradas, que ainda não recebeu um ACKnowledgment de clientes conectando. O valor padrão é 1024 para sistemas com mais de 128MB de memória, e 128 para maquinas com baixa memória. Se o servidor sofrer de sobrecarga, tente aumentar esse número. Aviso! Se você torná-lo maior que 1024, seria melhor alterar TCP_SYNQ_HSIZE em include/net/tcp.h para manter TCP_SYNQ_HSIZE*16 <= tcp_max_syn_backlog e recompilar o kernel.
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
O tempo para manter o soquete no estado FIN-WAIT-2, se ele foi fechado pelo nosso lado. O par pode estar quebrado e nunca fechar de seu lado, ou mesmo morrido inesperadamente. O valor padrão é 60 segundos. Valor normal usado no kernel 2.2 era 180 segundos, você pode restaurá-lo, mas lembre-se que se sua maquina estiver o servidor WEB sob carga, você corre o riso de estouro de memória com kilotons de soquetes mortos, os soquetes FIN-WAIT-2 são menos perigosos que os soquetes FIN-WAIT-1, porque eles comem 1,5K de memória máxima, mas eles tendem a viver mais tempo.
echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time
Quão freqüente o TCP envia mensagens keepalive quando o keepalive é habilitado. O padrão é 2 horas.
Se a situação for grave mesmo, vale a pena alterar para as configurações abaixo:
echo 1 > /proc/sys/net/ipv4/tcp_synack_retries
echo 1 > /proc/sys/net/ipv4/tcp_syn_retries
Números de pacotes SYN que o kernel enviará antes de liberar nova conexão.
echo 8192 > /proc/sys/net/ipv4/tcp_max_syn_backlog
Mesmo depois de tudo isso, não foi o suficiente para barrar o C4. =/
[]‘s Sergito
Será uma possível 0day para mysql? A intevydis publicou um video com o PoC onde era possível executar códigos remotamente em algum sistema que estiver rodando o MySQL 5.x. O video demonstra a exploração na versão 5.0.51a-24, o que resta agora é atualizar e aguardar maiores informações, ou se vc escreve xploits, tem um caminho a seguir!!
Ahh!! quem possui o CANVAS pode realizar o teste, ja esta incluso no VulnDisco exploit pack.
Após mais de um ano, os sites de bancos agora já possuem domínios associados ao DNSSEC, de acordo com a NIC.BR “Algumas da fraudes costumeiras e que preocupam os usuários ficarão impossibilitadas no b.br. Por exemplo, um sítio que tenha nome terminado em b.br será, certamente, um banco” “…a adoção obrigatória do protocolo DNSSEC, que adiciona segurança ao DNS, por meio da assinatura das respostas. Dessa forma, a possibilidade de fraude no acesso ao DNS será eliminada”
No site da NIC.br ja esta disponível todas as instituições financeiras que já aderiram ao novo domínio