tag:blogger.com,1999:blog-9209418809884208532024-02-20T22:10:43.631-03:00Sp0oKeR LabsHere I will post some security tips, articles / paper mine or from other blogs that I think interested . I Iove computer subjects related in special:
- Penetration Tests
- Network Intrusion Detection and Prevention
- Network Behaviour
- SIEM
- Network Security Monitoring (NSM)
- Incident Response
- Firewall,
- Host Intrusion Detection System
- The Open Web Application Security Project (OWASP) - Capitulo Brasil
- fuzzing
- Vulnerability
- Packet Analisys
- Log Analysis
- Beer =)Unknownnoreply@blogger.comBlogger134125tag:blogger.com,1999:blog-920941880988420853.post-1705993198600189932018-03-10T12:36:00.002-03:002018-03-10T13:12:10.531-03:00[OFF] Evento DDB Neoway - Data Driven Business<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgbjgkKa6FOOAbtOOVVp3pBHvb5ebyHoutHTW7YPVtL1iryLD6jknNJFLTUsjJtN9NPXfjIVw5jw6r00KFscfPboMY4fk6NTzj9z5K2MLoiTL6ViGJ1XTgr5SfY4doyTiTatWYuzEKcoFQQ/s1600/equipenwDDB.jpeg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="650" data-original-width="1280" height="201" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgbjgkKa6FOOAbtOOVVp3pBHvb5ebyHoutHTW7YPVtL1iryLD6jknNJFLTUsjJtN9NPXfjIVw5jw6r00KFscfPboMY4fk6NTzj9z5K2MLoiTL6ViGJ1XTgr5SfY4doyTiTatWYuzEKcoFQQ/s400/equipenwDDB.jpeg" width="400" /></a></div>
<br />
Como muitos sabem, desde Setembro trabalho na <a href="http://www.neoway.com.br/" target="_blank">Neoway</a>, uma empresa que literalmente transforma dados em inteligência, porém nada relacionado a eventos de segurança e sim Vendas, Fraudes, Due Intelligence. Nela atuo como membro e responsável pela Equipe de Segurança.<br />
<br />
A empresa organiza uma vez por ano um senhor evento com clientes e possíveis futuros clientes, chamada de <a href="http://datadrivenbusiness.com.br/" target="_blank">DDB (Data Driven Business)</a>, onde uma gama de palestrantes "pica das galáxia" em seus negócios compartilham informações e experiência relacionadas com esse mundo cheio de informações desconexas e como as conectam, trabalham e tiram proveito delas.<br />
<br />
Eu que adoro eventos, mesmo não sendo relacionados diretamente com Segurança da Informação pois acredito que os melhores insights vem quando você aprende e escuta assuntos/pessoas fora da sua área direta, fui escalado para ir ao evento e participar (nem gostei =P).<br />
<br />
O evento contou com nomes como Guga Kuerten (agora "parte" da Neoway), Deltan Dallagnol (Lava Jato), <span style="background-color: white; color: #1d2129; font-family: "sf optimized" , , , , ".sfnstext-regular" , sans-serif; font-size: 14px; letter-spacing: -0.12px;">Paula Bellizia (Presidente Microsoft Brasil) , Rodrigo Barcia (Head Produtos e Sócio Neoway) entre outros.</span><br />
<span style="background-color: white; color: #1d2129; font-family: "sf optimized" , , , , ".sfnstext-regular" , sans-serif; font-size: 14px; letter-spacing: -0.12px;"><br /></span>
<span style="background-color: white; color: #1d2129; font-family: "sf optimized" , , , , ".sfnstext-regular" , sans-serif; font-size: 14px; letter-spacing: -0.12px;">Após uma rápida abertura com o <a href="https://www.linkedin.com/in/jaimedepaula/" target="_blank">CEO Jaime de Paula</a>, que fez uma apresentação sucinta mas que acredito que tenha deixado quem não conhece os produtos da Neoway já de "boca aberta", simplesmente veio Gustavo Kuerten.</span><br />
<span style="background-color: white; color: #1d2129; font-family: "sf optimized" , , , , ".sfnstext-regular" , sans-serif; font-size: 14px; letter-spacing: -0.12px;"><br /></span>
<span style="background-color: white; color: #1d2129; font-family: "sf optimized" , , , , ".sfnstext-regular" , sans-serif; font-size: 14px; letter-spacing: -0.12px;">O <a href="https://www.instagram.com/gugakuerten/" target="_blank">Guga </a>dispensa comentários, mas falou um pouco da sua história, confrontando com a da Neoway, sempre carismático e como orador excelente (tem parte da palestra nas redes sociais listadas abaixo).</span><br />
<span style="background-color: white; color: #1d2129; font-family: "sf optimized" , , , , ".sfnstext-regular" , sans-serif; font-size: 14px; letter-spacing: -0.12px;"><br /></span>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiDJclBsRyK4UvOHNyKAh90DmvY9ZLsB05eZelRBw6pWk4JX_uxOgCCtoGPhoYAadbcJLBiDuHEINVAqu9ktTrnWnZfYokm_0diq3usTVVYBHuvWcg2pkIy-QBnlZqoqSaH8y42_hFpHa5H/s1600/guga.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1067" data-original-width="1600" height="266" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiDJclBsRyK4UvOHNyKAh90DmvY9ZLsB05eZelRBw6pWk4JX_uxOgCCtoGPhoYAadbcJLBiDuHEINVAqu9ktTrnWnZfYokm_0diq3usTVVYBHuvWcg2pkIy-QBnlZqoqSaH8y42_hFpHa5H/s400/guga.jpg" width="400" /></a></div>
<br />
<br />
<span style="background-color: white; color: #1d2129; font-family: "sf optimized" , , , , ".sfnstext-regular" , sans-serif; font-size: 14px; letter-spacing: -0.12px;">Paula Bellizia falou sobre </span><span style="background-color: white; color: #1d2129; font-family: "sf optimized" , , , , ".sfnstext-regular" , sans-serif; font-size: 14px; letter-spacing: -0.12px;">Dados, Inteligência e Transformação Digital. Realmente gostei bastante da palestra dela, embora não técnica, a oratória dela e modo que ela interage com o público é algo que me da inveja e coragem para procurar um curso de oratória para melhorar o lado nerds. Ela falou muito de Inteligência Artificial, sai de lá querendo virar programador e ser bem nisso de tanto que ela cativou e mostrou histórias sensacionais como ajudaram nesse projeto (entraram alguns ciscos nos olhos das pessoas nessa hora certamente):</span><br />
<span style="background-color: white; color: #1d2129; font-family: "sf optimized" , , , , ".sfnstext-regular" , sans-serif; font-size: 14px; letter-spacing: -0.12px;"><br /></span>
<span style="background-color: white; font-size: 14px; letter-spacing: -0.12px;"><span style="color: #1d2129; font-family: "sf optimized" , , , , , sans-serif;"><iframe allow="autoplay; encrypted-media" allowfullscreen="" frameborder="0" height="315" src="https://www.youtube.com/embed/lox-Xli2GnE" width="560"></iframe></span></span><br />
<span style="background-color: white; color: #1d2129; font-family: "sf optimized" , , , , ".sfnstext-regular" , sans-serif; font-size: 14px; letter-spacing: -0.12px;"><br /></span>
<span style="background-color: white; color: #1d2129; font-family: "sf optimized" , , , , ".sfnstext-regular" , sans-serif; font-size: 14px; letter-spacing: -0.12px;"><a href="https://www.linkedin.com/in/rodbarcia/" target="_blank">Rodrigo Barcia</a> deu uma aula rápida de <i><a href="https://pt.wikipedia.org/wiki/Dilig%C3%AAncia_pr%C3%A9via" target="_blank">Due Diligence</a> </i> e mostrou como o novo produto para análise de Risco e Fraude no portifólio da Neoway pode fazer sua empresa economizar dias e semanas, além da maior efetividade e assertividade nesses processos. Certamente será algo que irá bombar em 2018 nas vendas da empresa.</span><br />
<span style="background-color: white; color: #1d2129; font-family: "sf optimized" , , , , ".sfnstext-regular" , sans-serif; font-size: 14px; letter-spacing: -0.12px;"><br /></span>
<span style="background-color: white; color: #1d2129; font-family: "sf optimized" , , , , ".sfnstext-regular" , sans-serif; font-size: 14px; letter-spacing: -0.12px;">A palestra do Deltan Dallagnol foi bem legal também, porém sem poder ser gravada ou tirado fotos. Além de explicar boa parte da história Lava Jato, ele sempre otimista da uma boa injeção de animo para esperar que o Brasil mude e deixa claro: "Não se faça de vítima, você tem o poder da decisão. Sempre referindo ao poder do VOTO". Um ponto que eu não sabia era que ele tinha escrito um livro, que até encomendei agora =)!</span><br />
<span style="background-color: white; color: #1d2129; font-family: "sf optimized" , , , , ".sfnstext-regular" , sans-serif; font-size: 14px; letter-spacing: -0.12px;"><br /></span>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjkaGh7rT-jhD2Y81lCKxMuZvtzZgW-S008QHCq6FHm0SwnNAlDLb81G5T4OQrOl5YxmK0YcdT_ZY29KqyBOyf2qeDzACSEfWsnRu0k306yOxfkANYcQS-lA71y21SKAccqOOjUACrmhRo0/s1600/deltan.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1122" data-original-width="768" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjkaGh7rT-jhD2Y81lCKxMuZvtzZgW-S008QHCq6FHm0SwnNAlDLb81G5T4OQrOl5YxmK0YcdT_ZY29KqyBOyf2qeDzACSEfWsnRu0k306yOxfkANYcQS-lA71y21SKAccqOOjUACrmhRo0/s320/deltan.jpg" width="219" /></a></div>
<span style="background-color: white; color: #1d2129; font-family: "sf optimized" , , , , ".sfnstext-regular" , sans-serif; font-size: 14px; letter-spacing: -0.12px;"><br /></span>
<span style="background-color: white; color: #1d2129; font-family: "sf optimized" , , , , ".sfnstext-regular" , sans-serif; font-size: 14px; letter-spacing: -0.12px;">O evento realmente superou minhas expectativas, mesmo sendo funcionário e acompanhando indiretamente todo o esforço que era dedicado a ele no dia a dia, a realização foi feita com maestria em especial pessoal de Marketing.</span><br />
<span style="background-color: white; color: #1d2129; font-family: "sf optimized" , , , , ".sfnstext-regular" , sans-serif; font-size: 14px; letter-spacing: -0.12px;"><br /></span>
<span style="background-color: white; color: #1d2129; font-family: "sf optimized" , , , , ".sfnstext-regular" , sans-serif; font-size: 14px; letter-spacing: -0.12px;">Certamente tenho notas aqui e insights para melhorar meu trabalho com dados de segurança e porque não num futuro usar a Plataforma de "dentro de casa" para me dar a inteligência que preciso na área de Segurança. Além disso como citei, como é legal ver pessoas com oratórias fantásticas que te cativam mais ainda e isso me fez querer aprimorar meu lado nerds "orador" =)</span><br />
<span style="background-color: white; color: #1d2129; font-family: "sf optimized" , , , , ".sfnstext-regular" , sans-serif; font-size: 14px; letter-spacing: -0.12px;"><br /></span>
<span style="background-color: white; color: #1d2129; font-family: "sf optimized" , , , , ".sfnstext-regular" , sans-serif; font-size: 14px; letter-spacing: -0.12px;">Um ponto extra foi a </span><span style="background-color: white; color: #1d2129; font-family: "sf optimized" , , , , ".sfnstext-regular" , sans-serif; font-size: 14px; letter-spacing: -0.12px;">Participação especial de um grande empreendedor do bem: Pe Vilson Groh, fundador do IVG (Instituto Vilson Groh), projeto qual a Neoway apoia. Ele faz um trabalho SENSACIONAL.</span><br />
<span style="background-color: white; color: #1d2129; font-family: "sf optimized" , , , , ".sfnstext-regular" , sans-serif; font-size: 14px; letter-spacing: -0.12px;"><br /></span>
<span style="background-color: white; color: #1d2129; font-family: "sf optimized" , , , , ".sfnstext-regular" , sans-serif; font-size: 14px; letter-spacing: -0.12px;">Se quiser ver mais infos e outras palestras que tiveram no evento, siga a Neoway nas redes sociais:</span><br />
<span style="background-color: white; color: #1d2129; font-family: "sf optimized" , , , , ".sfnstext-regular" , sans-serif; font-size: 14px; letter-spacing: -0.12px;"><br /></span>
<span style="background-color: white; letter-spacing: -0.12px;"><span style="color: blue; font-family: "sf optimized" , , , , , sans-serif;"><a href="https://www.facebook.com/neoway.nw/">https://www.facebook.com/neoway.nw/</a></span></span><br />
<span style="background-color: white; letter-spacing: -0.12px;"><a href="https://www.instagram.com/neowaybrasil/"><span style="color: blue;">https://www.instagram.com/neowaybrasil/</span></a></span><br />
<span style="color: blue;"><a href="https://www.linkedin.com/company/1235825/life/">https://www.linkedin.com/company/1235825/life/</a></span><br />
<br />
Além do mais teve uma matéria ontem mesmo na Info Exame <a href="https://exame.abril.com.br/tecnologia/as-informacoes-que-voce-pode-obter-com-analise-de-big-data/">https://exame.abril.com.br/tecnologia/as-informacoes-que-voce-pode-obter-com-analise-de-big-data/</a><br />
<span style="background-color: white; font-size: 14px; letter-spacing: -0.12px;"><span style="color: #1d2129; font-family: "sf optimized" , , , , , sans-serif;"><br /></span></span>
<span style="background-color: white; color: #1d2129; font-family: "sf optimized" , , , , ".sfnstext-regular" , sans-serif; font-size: 14px; letter-spacing: -0.12px;">Espero que possa participar novamente em 2019!</span><br />
<span style="background-color: white; color: #1d2129; font-family: "sf optimized" , , , , ".sfnstext-regular" , sans-serif; font-size: 14px; letter-spacing: -0.12px;"><br /></span>
<span style="background-color: white; color: #1d2129; font-family: "sf optimized" , , , , ".sfnstext-regular" , sans-serif; font-size: 14px; letter-spacing: -0.12px;">Abs!</span><br />
<span style="background-color: white; color: #1d2129; font-family: "sf optimized" , , , , ".sfnstext-regular" , sans-serif; font-size: 14px; letter-spacing: -0.12px;"><br /></span><div class="blogger-post-footer">Sp0oKeR Labs</div>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-920941880988420853.post-26324533373858742592016-05-17T12:13:00.002-03:002016-05-17T12:16:41.851-03:00Deu a louca no instrutor: Combo gravações cursos OSSEC + Snort por R$250,00.Caros,<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjMKFz4RrQ19t74wCWdWMuVjh_TiSP51EARhOxeMxvxIg4v0EtwXLulezKfv_nub1ZSReX9RgZ3mfr-AdvYq-9HxFinqhc5DRMvUUgAeHui2LMcYgmTu48uvniRTiqNp792KNi8kAyo1F7h/s1600/einstein-louco.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="200" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjMKFz4RrQ19t74wCWdWMuVjh_TiSP51EARhOxeMxvxIg4v0EtwXLulezKfv_nub1ZSReX9RgZ3mfr-AdvYq-9HxFinqhc5DRMvUUgAeHui2LMcYgmTu48uvniRTiqNp792KNi8kAyo1F7h/s200/einstein-louco.jpg" width="153" /></a></div>
<br />
<br />
Deu a louca no instrutor!!! Visando a nova geração dos curso com novos conteúdos e aventuras, estamos liquidando a venda do combo das gravações <b>OSSEC + SNORT </b>por <i><b><u>APENAS R$250,00</u></b></i>. São praticamente 65h de curso gravado.<br />
<br />
A promoção é válida com pagamento via DOC/TED e compras/pagamento até domingo dia 22/05.<br />
<br />
Oportunidade única antes dos novos cursos no segundo semestre com a <a href="http://www.clavis.com.br/">Clavis</a>.<br />
<br />
<u><b>Curso OSSEC</b></u><br />
<br />
<span style="font-size: x-small;"><span style="font-family: inherit;">1. Entendo funcionamento <span class="il">OSSEC</span> HIDS x NIDS<br />
1.1. Funcionalidades <span class="il">OSSEC</span><br />
1.2. Modos instalação<br />
1.3. Sistemas suportados<br /> </span></span><br />
<span style="font-size: x-small;"><span style="font-family: inherit;">2. Instalando o <span class="il">OSSEC</span><br />
2.1. Requisitos<br />
2.2. Modos instalação Local / Agente / Servidor<br />
2.3. Replicando instalação<br /> </span></span><br />
<span style="font-size: x-small;"><span style="font-family: inherit;">3. Configurações <span class="il">OSSEC</span><br />
3.1. Cliente e Servidor<br />
3.2. Alertas<br />
3.3. Regras<br /> </span></span><br />
<span style="font-size: x-small;"><span style="font-family: inherit;">4. Decoders/Regras<br />
4.1. Entendendo os Decoders<br />
4.2. Entendendo as Regras<br />
4.3. Linkando decoders e regras<br /> </span></span><br />
<span style="font-size: x-small;"><span style="font-family: inherit;">5. Sistema de Integridade e detecção de rootkits<br />
5.1. O que é um rootkit?<br />
5.2. Como funciona a detecção de rootkit do <span class="il">ossec</span><br />
5.3. Monitorando a integridade de seu sistema (HIMS)</span></span><br />
<br />
<span style="font-size: x-small;"><span style="font-family: inherit;">6. Active Response<br />
6.1. Active Response disponíveis<br />
6.2. Configuração de Active Response<br />
6.3. Ferramentas Active Response<br /> </span></span><br />
<span style="font-size: x-small;"><span style="font-family: inherit;">7.Usando interface web<br />
7.1. Instalando a interface web<br />
7.2. Analisando e pesquisando eventos</span></span>
<span style="font-size: x-small;"><span style="font-family: inherit;"> </span></span><br />
<span style="font-size: x-small;"><span style="font-family: inherit;">8. Integração básica Elastic Search / Kibana </span></span><br />
<span style="font-size: x-small;"><span style="font-family: inherit;"><br /></span></span>
<u><b><span style="font-size: small;"><span style="font-family: inherit;">Curso Snort</span></span></b></u><br />
<span style="font-size: x-small;"><span style="font-family: inherit;"><br /></span></span>
<br />
<div class="MsoNormal">
<span style="font-size: x-small;"><span style="font-family: inherit;">1-) Introdução a protocolos <br />
2-) Mundo IDS ( NDIS, HIDS , WIDS , KIDS)<br />
3-) Atacantes<br />
4-) Como funciona o Snort<br />
5-) Entendendo a aquisição de dados (DAQ)<br />
6-) Posicionamento dos sensores<br />
7-) Decoders<br />
8-) Preprocessadores (teoria e prática)</span></span></div>
<span style="font-size: x-small;"><span style="font-family: inherit;">
</span></span>
<br />
<div class="MsoNormal">
<span style="font-size: x-small;"><span style="font-family: inherit;">
- Frag3<br />
- Stream5<br />
- sfPortScan<br /> - SMTP/POP/IMAP<br />
- Arp Spoof<br />
- HTTP Inspect<br />
- DCE/RPC2<br /> - Sensitive Data<br />
- IP Reputation<br />
<br />9-) Analise de performance
<br /> - Performance das regras<br />
- Performance dos preprocessadores<br />
- Performance pacotes</span></span></div>
<span style="font-size: x-small;"><span style="font-family: inherit;">
</span></span>
<br />
<div class="MsoNormal">
<span style="font-size: x-small;"><span style="font-family: inherit;"><br />
10-) Output<br />
- Syslog<br /> - Unified 2<br />
<br />
11-) Host Attribute Table<br />
12-) Configurações Múltiplas<br />
13-) Escrevendo e lendo regras para o Snort<br /> - Básico<br />
- Cabeçalho<br />
- Opções de Regra<br />
- Genericas<br />
- Payload<br />
- Non-Payload<br />
- Após detecção / Resposta Ativa<br />
<br />
14-) Regras Shared Object<br />
15-) PulledPork – Atualização de Regas<br />
16-) Interface de Gerenciamento de Alertas / Dicas de analise de incidentes –
Snorby<br />
17-) Dicas finais</span></span></div>
<span style="font-size: x-small;"><span style="font-family: inherit;"><br /></span></span>
<span style="font-size: small;"><span style="font-family: inherit;">Total de praticamente <span style="font-family: inherit;">6<span style="font-family: inherit;">5</span></span>h de gravaç<span style="font-family: inherit;">ões</span> bem práticas, com teoria e laborat<span style="font-family: inherit;">ó</span>rios.</span></span><br />
<span style="font-size: x-small;"><span style="font-family: inherit;"><br /></span></span>
Interessado entrar em contato <b>spooker@gmail.com</b><br />
<br />
<br />
Happy Detection!<br />
<br />
Rodrigo Montoro!<div class="blogger-post-footer">Sp0oKeR Labs</div>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-920941880988420853.post-57177842007208216922016-03-17T14:04:00.004-03:002016-03-17T15:38:37.291-03:00Windows EventID 4688 (Process Creation) - Adicionando comando todo no evento<span style="background-color: red;"></span>Como muitos sabem, temos investido bastante tempo e pesquisa nos eventos do Windows (EventIDs) aqui na <a href="http://www.clavis.com.br/">Clavis</a>. No caso, um que chama atenção por fornecer bastante informação é o eventid <a href="https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=4688">4688</a>, que se refere a criação de novos processos, o qual muito utilizado por um atacante com acesso a máquina.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgJycGNs8dO68gUiDyi7OdVuO33E3LhaucUqbItOkziOeyG0RUVHoSqp27iL3WHvHThGyVTaBbPBkpsgxvGKVLG8hyYNM0aQFnI0ODGoaC7oPQsNyfLEA3wqd45fzLjd2q-6lBCaFORJZa7/s1600/4688_semtemplate.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgJycGNs8dO68gUiDyi7OdVuO33E3LhaucUqbItOkziOeyG0RUVHoSqp27iL3WHvHThGyVTaBbPBkpsgxvGKVLG8hyYNM0aQFnI0ODGoaC7oPQsNyfLEA3wqd45fzLjd2q-6lBCaFORJZa7/s1600/4688_semtemplate.png" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<br />
Se repararmos nesse evento, notaremos que a parte do Command Line está vazia, pois essa opção não sei por qual motivo não vem habilitada por padrão e ela que realmente faz todo o diferencial para um analista de segurança diferenciar comandos maliciosos ou não (logicamente exemplo bem simplista aqui).<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEisSbV-MloVjWEbt_m8C-b5FJTbZD0Z9GZnFkfJfJgoa1_LSEumd1PXtYz3eJ6OZOiSrmDzjsiDUYR6mNtC4wXEZqyvIWcNBa9UQUdk_MwBIWKttt3_awyowUi7L-pkvud_wlopqsxDvCsw/s1600/4688_comtemplate.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEisSbV-MloVjWEbt_m8C-b5FJTbZD0Z9GZnFkfJfJgoa1_LSEumd1PXtYz3eJ6OZOiSrmDzjsiDUYR6mNtC4wXEZqyvIWcNBa9UQUdk_MwBIWKttt3_awyowUi7L-pkvud_wlopqsxDvCsw/s1600/4688_comtemplate.png" /></a></div>
Abaixo duas tabelas baseados apenas no NewProcess e no CommandLine completo para os mesmos eventos, isso em uma máquina laboratório com minimo acesso no momento, porém máquina de testes. Da pra se notar como a quantidade de informação é BEM diferentes com e sem o KB, lembrando que as infos se completam, pois no New Process Name tem o Path completo do caminho, o que pode ser o indicador do processo malicioso também.<br />
<br />
<br />
Mapeando somente Novo Processo<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi_4Vz0MKpHJCHsSHpvA7R8kDAhb6BDCUJjFDRVELOYz4ZzRajYtQYN4gdtUsi7dSrJleIoxKkP383l8gxBIiVwxUhuHmvTVVLTbXP8EQvQOSPWTk9JWVUWbKAJCd2eV8NfD_z4ZC9ASFPU/s1600/processname_shell.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="383" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi_4Vz0MKpHJCHsSHpvA7R8kDAhb6BDCUJjFDRVELOYz4ZzRajYtQYN4gdtUsi7dSrJleIoxKkP383l8gxBIiVwxUhuHmvTVVLTbXP8EQvQOSPWTk9JWVUWbKAJCd2eV8NfD_z4ZC9ASFPU/s400/processname_shell.png" width="400" /></a></div>
<br />
<br />
Mapeando o Command Line<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhqMSWUTeFLMQUqyPpsaFUhD6C2iOyQ0DOO_Q1fW4DvjIVuLnRgtF0Kew3VwhvyPY0VYafO4VRfVKhKzKbGqXyVYEZdDuXdaS3XkiGexPZ0gPh55YnmFLEj4zv6FeK6Ej7HD1Tk7TtDr2wh/s1600/commandline_shell.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img alt="" border="0" height="432" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhqMSWUTeFLMQUqyPpsaFUhD6C2iOyQ0DOO_Q1fW4DvjIVuLnRgtF0Kew3VwhvyPY0VYafO4VRfVKhKzKbGqXyVYEZdDuXdaS3XkiGexPZ0gPh55YnmFLEj4zv6FeK6Ej7HD1Tk7TtDr2wh/s640/commandline_shell.png" title="" width="640" /></a></div>
<br />
<br />
Para ter essa opção, precisa instalar um kb e habilitar após isso no template para envio do comando completo. Abaixo os links possuem isso muito bem explicado.<br />
<br />
<div style="-webkit-text-stroke-width: 0px; background-color: white; color: #222222; font-family: arial, sans-serif; font-size: 12.8px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px;">
<a href="https://support.microsoft.com/pt-br/kb/3004375" style="color: #1155cc;" target="_blank">https://support.microsoft.com/<wbr></wbr>pt-br/kb/3004375</a></div>
<div style="-webkit-text-stroke-width: 0px; background-color: white; color: #222222; font-family: arial, sans-serif; font-size: 12.8px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px;">
<a href="https://dirteam.com/sander/2015/02/17/security-thoughts-include-command-line-in-process-creation-events/" style="color: #1155cc;" target="_blank">https://dirteam.com/sander/<wbr></wbr>2015/02/17/security-thoughts-<wbr></wbr>include-<span class="il">command</span>-<span class="il">line</span>-in-<wbr></wbr><span class="il">process</span>-creation-events/</a></div>
<div style="-webkit-text-stroke-width: 0px; background-color: white; color: #222222; font-family: arial, sans-serif; font-size: 12.8px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px;">
</div>
Caso faça monitoramento dos novos processos, certamente aplicar esse KB é bem interessante e se não faz o uso de monitorar esse evento, realmente recomendo. Nós utilizamos para armazenar o Elastic Stack no caso.<br />
<br />
<br />
E para finalizar, não sei porque esse kb e templates não vem habilatidos por padrão, será consumo de recursos ? ** Atualizado - Bem lembrado pelo <a href="https://twitter.com/AlexandreSieira">Sieira</a>, algumas aplicações infelizmente chamam o command line com usuario/senha e vem desabilitado por padrão.<br />
<br />
<br />
<br />
Happy Detection!<br />
<br />
Rodrigo "Sp0oKeR" Montoro<div class="blogger-post-footer">Sp0oKeR Labs</div>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-920941880988420853.post-76958411103277199282016-03-08T08:54:00.000-03:002016-03-08T11:29:07.438-03:00Utilizando Malware Patrol MD5 list com o Suricata IDS <div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhBzH66pxHgh7PMq8VS-MT7osHQBV7YA3WVHgAmaShc11YtF4rUIefoGcATNCyDatT_zXncm3GGcPxIXJps3u5SVqOkUqUjc8V3elQUY6URKZhE7d9ulMV1ifM26w5mj1oLpD8fRdG_-ZoZ/s1600/suricata.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="200" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhBzH66pxHgh7PMq8VS-MT7osHQBV7YA3WVHgAmaShc11YtF4rUIefoGcATNCyDatT_zXncm3GGcPxIXJps3u5SVqOkUqUjc8V3elQUY6URKZhE7d9ulMV1ifM26w5mj1oLpD8fRdG_-ZoZ/s200/suricata.png" width="200" /></a></div>
O <a href="http://suricata-ids.org/">Suricata</a> dentro vários vetores de detecção, possui uma função bem interessante, onde ele calcula o md5 de arquivos sendo enviados/recebidos e o compara com uma lista de md5 maliciosas. Aqui demonstrarei como utilizar a lista do Projeto Malware Patrol.<br />
<br />
O Projeto Malware Patrol, apesar do nome em inglês foi criado e é desenvolvido na sua maioria pelo brasileiro André Correa. O projeto possui uma versão gratuita e uma versão paga, que é um investimento bem pequeno e necessário para ter acesso a lista MD5. Para saber mais sobre o projeto acesse <a href="http://malwarepatrol.net/">http://malwarepatrol.net</a> .<br />
<br />
No site do Suricata, na parte de documentação, temos uma boa parte falando sobre detecção de arquivos on the fly, mas no nosso caso usaremos a parte MD5<br />
<br />
Retirado do site <a href="https://redmine.openinfosecfoundation.org/projects/suricata/wiki/File-keywords">https://redmine.openinfosecfoundation.org/projects/suricata/wiki/File-keywords</a><br />
<br />
<u><b>filemd5 </b></u><br />
<br />
Match file <a href="https://redmine.openinfosecfoundation.org/projects/suricata/wiki/MD5">MD5</a> against list of MD5 checksums. <br />
<br />
Syntax:<br />
filemd5:[!]filename;
<br />
<br />
The filename is expanded to include the rule dir. In the default case it will become /etc/suricata/rules/filename. Use the exclamation mark to get a negated match. This allows for white listing. <br />
<br />
Examples:<br />
filemd5:md5-blacklist;<br />
filemd5:<b>!</b>md5-whitelist;
<br />
<br />
<u><b>File format </b></u><br />
<br />
The file format is simple. It's a text file with a single md5 per line, at the start of the line, in hex notation. If there is extra info on the line it is ignored. <br />
<br />
Output from md5sum is fine:<br />
2f8d0355f0032c3e6311c6408d7c2dc2 util-path.c
b9cf5cf347a70e02fde975fc4e117760 util-pidfile.c
02aaa6c3f4dbae65f5889eeb8f2bbb8d util-pool.c
dd5fc1ee7f2f96b5f12d1a854007a818 util-print.c
<br />
<br />
Just MD5's are good as well:<br />
2f8d0355f0032c3e6311c6408d7c2dc2
b9cf5cf347a70e02fde975fc4e117760
02aaa6c3f4dbae65f5889eeb8f2bbb8d
dd5fc1ee7f2f96b5f12d1a854007a818
<br />
<br />
<br />
<br />
Entendido o funcionamento, precisará ter sua conta no Malware Patrol para baixar a lista de MD5 (hoje por volta de 70 mil hashes)<br />
<br />
Basicamente, terá vinculado com sua conta, uma URL para <b>"Suricata IDS / IPS - malicious MD5s"
</b><br />
<br />
#Diretório das regras<br />
<br />
<i>[root@centos-7-x64 ~]# cd /opt/suricata/etc/suricata/rules/</i><br />
<br />
# Baixando arquivo de md5<br />
<br />
<i>[root@centos-7-x64 rules]# wget "https://lists.malwarepatrol.net/cgi/getfile?receipt=<removed>" -O suricatamd5.txt<br />--2016-03-07 12:52:22-- https://lists.malwarepatrol.net/cgi/getfile?<removed><br />Resolving lists.malwarepatrol.net (lists.malwarepatrol.net)... 104.20.78.76, 104.20.77.76, 2400:cb00:2048:1::6814:4e4c, ...<br />Connecting to lists.malwarepatrol.net (lists.malwarepatrol.net)|104.20.78.76|:443... connected.<br />HTTP request sent, awaiting response... 200 OK<br />Length: unspecified [text/plain]<br />Saving to: ‘suricatamd5.txt’</removed></removed></i><br />
<br />
Header md5 downloaded<br />
<br />
#<br />
# Malware Patrol - Block List - https://www.malwarepatrol.net<br />
# List for Suricata IDS / IPS<br />
# Generated at: 20160308105602 UTC<br />
#<br />
# Please do not update this list more often than every hour.<br />
#<br />
# Copyright (c) 2016 - Andre Correa - Malware Patrol - Malware Block List<br />
# This information is provided as-is and under the Terms and Conditions<br />
# available in the following address:<br />
#<br />
# https://www.malwarepatrol.net/terms.shtml<br />
#<br />
# Using this information indicates your agreement to be bound by these<br />
# terms. If you do not accept them, please delete this file immediately.<br />
#<br />
# You can report false positives or broken rules/signatures to:<br />
# fp (a t) malwarepatrol.net<br />
<br />
Com isso, precisamos criar uma regra e apontar para esse arquivo.<br />
<br />
Criei um arquivo específico para ele, mas você pode adicionar no local.rules também.<br />
<br />
<i># cat malwarepatrol.rules</i><br />
<br />
alert http any any -> any any (msg:"FILE MD5 Check against Malware Patrol blacklist"; filemd5: suricatamd5.txt; sid:10203040; rev:1;)<br />
<br />
Após essa regra, precisaremos finalizar a configuração do arquivo config<br />
<br />
<i># vim /opt/suricata/etc/suricata/suricata.yaml</i><br />
<br />
Adicionaremos na parte de rules-files a entrada com o nome da nossa regra.<br />
<br />
# Set the default rule path here to search for the files.<br />
# if not set, it will look at the current working dir<br />
default-rule-path: /opt/suricata/etc/suricata/rules<br />
rule-files:<br />
<b> - malwarepatrol.rules</b><br />
- botcc.rules<br />
- ciarmy.rules<br />
<br />
Feito isso, basta reiniciar o processo e fazer download de algum arquivo malicioso listado lá.<br />
<br />
Quando iniciando o processo terá nos logs:<br />
<br />
7/3/2016 -- 06:50:10 - <info> - Loading rule file: /opt/suricata/etc/suricata/rules/malwarepatrol.rules<br />7/3/2016 -- 06:50:10 - <info> - MD5 hash size 3198000 bytes</info></info><br />
<br />
<u><b>Exemplo de saída:</b></u><br />
<br />
<b>eve.json</b><br />
<br />
{"timestamp":"2016-03-06T11:33:00.638110-0500","flow_id":30172784,"in_iface":"eth0","event_type":"alert","src_ip":"69.163.211.36","src_port":80,"dest_ip":"159.203.10.127","dest_port":40818,"proto":"TCP","tx_id":0,"alert":{"action":"allowed","gid":1,"signature_id":10203040,"rev":1,"signature":"FILE MD5 Check against Malware Patrol blacklist","category":"","severity":3}}<br />
<br />
<b>fast.log</b><br />
<br />
03/06/2016-11:33:00.638110 [**] [1:10203040:1] FILE MD5 Check against Malware Patrol blacklist [**] [Classification: (null)] [Priority: 3] {TCP} 69.163.211.36:80 -> 159.203.10.127:40818<br />
<br />
Outro ponto interessante da função MD5 é que você pode criar md5 dos arquivos sensiveis e monitorar se o mesmo não está sendo enviado para fora, lembrando que checagem md5 vai além do protocolo http.<br />
<br />
<br />
* Vale lembrar o uso memória é bem pequeno e suporte a milhões de entrada segundo benchmarks sem afetar a performace "Each MD5 uses 16 bytes of memory. 20 Million MD5's use about 310 MiB of memory."<br />
<br />
** Não esqueça ver o valor app-layer.protocols.http.libhtp.default-config.response-body-limit, o default é de apenas 100kb. Para Malware Patrol o ideal seria 4mb, porém sempre bom analisar performance.<br />
<br />
Happy Detection!<br />
<br />
Rodrigo "Sp0oKeR" Montoro<div class="blogger-post-footer">Sp0oKeR Labs</div>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-920941880988420853.post-90643385733979017432016-02-01T20:09:00.000-02:002016-02-01T20:11:48.126-02:00[TIP] - Improving "Elastic Search command line" security and auditingHi there!<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgAXdXA-7zujxDg6hEjo0Y_wgaxt7gRxGvau4iG5SbdpW4hrbMdL6yUesiuUhvQOahkFl910YrJCDmgBGjOM2xxdDyFU1t0aKbemN1PEqJZxGHqEFbvPmw60tPkt5kq01cxczIDb5g92-nq/s1600/endereco.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="264" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgAXdXA-7zujxDg6hEjo0Y_wgaxt7gRxGvau4iG5SbdpW4hrbMdL6yUesiuUhvQOahkFl910YrJCDmgBGjOM2xxdDyFU1t0aKbemN1PEqJZxGHqEFbvPmw60tPkt5kq01cxczIDb5g92-nq/s320/endereco.jpg" width="320" /></a></div>
<br />
As we most know, elasticsearch CLI options are very dangerous when somebody logged at shell, even if they are not root in special default installations.<br />
<br />
Since Elastic Search 2.X, by default it only bind on localhost, what increase a lot default installation security. But what if an attacker has somehow access to a non-root user ? Besides that how to track this in paranoid mode ?<br />
<br />
To ilustrate this better I'll create this laboratory:<br />
- CentOS 7.1<br />
- Elasticsearch 2.X<br />
- auditd<br />
- iptables<br />
- user segregation (counting that people has different users when logging to your system =))<br />
<br />
Step One without hardening logged as a non-root user:<br />
<blockquote class="tr_bq">
[elkuser@eventidlabs ~]$ whoami<br />
<b>elkuser</b><br />
[elkuser@eventidlabs ~]$</blockquote>
<blockquote class="tr_bq">
[elkuser@eventidlabs ~]$ curl http://localhost:9200 -v<br />
{<br />
"status" : 200,<br />
"name" : "EventID One",<br />
"cluster_name" : "eventid",<br />
"version" : {<br />
"number" : "1.7.4",<br />
"build_hash" : "0d3159b9fc8bc8e367c5c40c09c2a57c0032b32e",<br />
"build_timestamp" : "2015-12-15T16:45:04Z",<br />
"build_snapshot" : false,<br />
"lucene_version" : "4.10.4"<br />
},<br />
"tagline" : "You Know, for Search"<br />
}</blockquote>
As we can see, you could easily run any command since there is no authentication in a default installation (and I dind't add anything to protect ES as a reverse proxy or shield).<br />
<br />
But to improve monitoring first we could use audit basic rule:<br />
<blockquote class="tr_bq">
# auditctl -a exit,always -F arch=b64 -S connect -k ELK</blockquote>
Result will be:<br />
<blockquote>
# ausearch -k ELK</blockquote>
<blockquote class="tr_bq">
type=PROCTITLE msg=audit(01-02-2016 21:18:57.770:191034) : <b>proctitle=curl http://localhost:9200 -v </b><br />
type=SOCKADDR msg=audit(01-02-2016 21:18:57.770:191034) : <b>saddr=inet host:127.0.0.1 serv:9200 </b><br />
type=SYSCALL msg=audit(01-02-2016 21:18:57.770:191034) : arch=x86_64 syscall=connect <span style="color: lime;"><b>success=yes</b></span> exit=0 a0=0x3 a1=0x7f4484000a40 a2=0x10 a3=0x0 items=0 ppid=22817 pid=22842<b> auid=elkuser uid=elkuser</b> gid=elkuser euid=elkuser suid=elkuser fsuid=elkuser egid=elkuser sgid=elkuser fsgid=elkuser tty=pts1 ses=1187 comm=curl <b>exe=/usr/bin/curl key=ELK </b></blockquote>
<br />
Now to limit access only from a specific user to ES port we will use iptables with owner module (remember to add a group with logstash, elastic and other users you probably need to connect to this port besides root to make less rules).<br />
<blockquote class="tr_bq">
# iptables -I OUTPUT -p tcp --dport 9200:9300 -m owner --uid-owner elkuser -j DROP </blockquote>
<blockquote class="tr_bq">
</blockquote>
<blockquote>
[elkuser@eventidlabs ~]$ curl http://localhost:9200 -v<br />
* About to connect() to localhost port 9200 (#0)<br />
* Trying ::1...<br />
* Connection refused<br />
* Trying 127.0.0.1...</blockquote>
And auditd <br />
<blockquote class="tr_bq">
type=PROCTITLE msg=audit(01-02-2016 21:36:09.016:192757) : proctitle=<b>curl http://localhost:9200 -v</b> <br />
type=SOCKADDR msg=audit(01-02-2016 21:36:09.016:192757) : <b>saddr=inet host:127.0.0.1 serv:9200</b> <br />
type=SYSCALL msg=audit(01-02-2016 21:36:09.016:192757) : arch=x86_64 syscall=connect <b><span style="color: red;">success=no</span></b> exit=-115(Operation now in progress) a0=0x4 a1=0x7ffda9338d70 a2=0x10 a3=0x2 items=0 ppid=22817 pid=23071 auid=elkuser uid=elkuser gid=elkuser euid=elkuser suid=elkuser fsuid=elkuser egid=elkuser sgid=elkuser fsgid=elkuser tty=pts1 ses=1187 comm=curl exe=/usr/bin/curl key=ELK </blockquote>
That's not a big deal but we could improve security a bit using those steps. I'm just showing some basic info related to iptables and auditd, specially auditd you could create but of awesome configuration to monitor lot of other stuff as configuration modifications and if user is using sudo to root, you will have auid different from uid.<br />
<br />
Besides Elastic Search you could user audit for lot of cool detection and paranoid. I'll create another post in pt_BR about auditd soon.<br />
<br />
Good info related to auditd - <a href="https://www.digitalocean.com/community/tutorials/understanding-the-linux-auditing-system-on-centos-7">https://www.digitalocean.com/community/tutorials/understanding-the-linux-auditing-system-on-centos-7</a><br />
<br />
Happy Detection!<br />
<br />
Rodrigo "Sp0oKeR" Montoro<div class="blogger-post-footer">Sp0oKeR Labs</div>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-920941880988420853.post-64707073553953011432016-01-10T16:13:00.001-02:002016-01-10T16:17:02.027-02:00Feliz 2016!!!! O que vem por ai ....Caros,<br />
<br />
Primeiramente Feliz 2016 com pouco de atraso para todos!!!<br />
<br />
Ando meio ausente, porém com várias idéias de posts para fazer e isso voltará a ocorrer conteudo esse ano, sem desculpas, até porque quanto mais posto, mais aprendo. Vamos conectar os pontos e transformar informação em conhecimento, ou eventos em detecções =)<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEianetxxxpl6Wuj32iOf6lRLzmcjUD4a6Bl2rySrjc8vbTNln9AbX_hLyb5QV-9osi1xSCqvaFjvJK4dtIx5qOTpfRHGuJuF-89QEmnl7u81LyUcfpAdyIqmog1Ld0MzSkR0Q4M7HQqJxGD/s1600/infoVSconhecimento.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="239" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEianetxxxpl6Wuj32iOf6lRLzmcjUD4a6Bl2rySrjc8vbTNln9AbX_hLyb5QV-9osi1xSCqvaFjvJK4dtIx5qOTpfRHGuJuF-89QEmnl7u81LyUcfpAdyIqmog1Ld0MzSkR0Q4M7HQqJxGD/s320/infoVSconhecimento.jpg" width="320" /></a></div>
Esse ano, para compartilhar algo aqui, publicamos no Blog da Clavis um artigo juntamente com o podcast + Slides da palestra do (H2HC e JampaSec) com foco no uso do ELK stack para Análise de Logs.<br />
<br />
<a href="http://www.blog.clavis.com.br/elk-uma-solucao-mais-eficaz-para-o-gerenciamento-de-logs/">http://www.blog.clavis.com.br/elk-uma-solucao-mais-eficaz-para-o-gerenciamento-de-logs/</a><br />
<br />
2016 será um ano com foco em outros áreas um pouco, digo outras pois temos coisas por vir envolvendo uso de EventID do Windows. Entre os assuntos que postarei, penso:<br />
<br />
- Honeypots, criar a série do MHN e projetos relacionados<br />
<br />
- Análise de logs (dicas simples até algo mais complexo)<br />
<br />
- Hardening <br />
<br />
- Detecção de Intrusos<br />
- Snort e Snort++<br />
- Suricata<br />
- Netflow<br />
- OSSEC<br />
- WAF<br />
<br />
- Elastic Stack (Elastic Search, Kibana, Logstash e o Beats). Criaremos uma série no <a href="http://www.blog.clavis.com.br/">blog da Clavis</a>, por isso recomendo assinarem lá também =)<br />
<br />
- Análise de tráfego (tcpdump, wireshark)<br />
<br />
- Machine Learning (isso será aprendizado pra mim e vou compartilhando)<br />
<br />
Paralelo a isso, sempre postarei conteúdo e vídeos que ler/assistir, tem muita coisa boa na internet, só precisamos filtrar.<br />
<br />
Do resto promessa é dívida e esse ano aguardem por bastante conteúdo, estou em dívida em compartilhar informações.<br />
<br />
Aproveitando, estarei no Campus Party em São Paulo nos dias 28 e 29 de Janeiro, se estiverem por lá bora conversar.<br />
<br />
Caso tenham alguma sugestão, por favor entre em contato que ser for do meu conhecimento, certamente terei prazer em postar algo.<br />
<br />
Happy Detection!<br />
<br />
Rodrigo "Sp0oKeR" Montoro<div class="blogger-post-footer">Sp0oKeR Labs</div>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-920941880988420853.post-23876982278200012722015-12-02T10:29:00.000-02:002015-12-02T10:29:04.124-02:00[Snort-devel] Snort 2.9.8 RC Now AvailableCoisa bem legais por vir no 2.9.8 =)<br />
<br />
Snort <span class="il">2.9</span>.7.6 is now available on <a href="http://snort.org/" rel="noreferrer" target="_blank">snort.org</a> at<br />
<a href="http://www.snort.org/downloads" rel="noreferrer" target="_blank">http://www.snort.org/downloads</a> in the Snort Stable Release section.<br />
<br />
2015-08-28 - Snort <span class="il">2.9</span>.8_rc<br />
<br />
[*] New additions<br />
* SMBv2/SMBv3 support for file inspection.<br />
* Port override for metadata service in IPS rules.<br />
* AppID Lua detector performance profiling.<br />
* Perfmon dumps stats at fixed intervals from absolute time.<br />
* New preprocessor alert (18:120) to detect SSH tunneling over HTTP<br />
* New config option |disable_replace| to disable replace rule option.<br />
* New Stream configuration |log_asymmetric_traffic| to control<br />
logging to syslog.<br />
* New shell script in tools to create simple Lua detectors for AppID.<br />
<br />
[*] Improvements<br />
* sfip_t refactored to use struct in6_addr for all ip addresses.<br />
* Post-detection callback for preprocessors.<br />
* AppID support for multiple server/client detectors evaluating on<br />
same flow.<br />
* AppID API for DNS packets.<br />
* Memory optimizations throughout.<br />
* Support sending UDP active responses.<br />
* Fix perfmon tracking of pruned packets.<br />
* Stability improvements for AppID.<br />
* Stability improvements for Stream6 preprocessor.<br />
* Added improved support to block malware in FTP preprocessor.<br />
* Added support to differentiate between active and passive FTP<br />
connections.<br />
* Improvements done in Stream6 preprocessor to avoid having duplicate<br />
packets in the DAQ retry queue.<br />
* Resolved an issue where reputation config incorrectly displayed<br />
'blacklist' in priority field even though 'whitelist' option was configured.<br />
<br />
See the Release Notes and ChangeLog for more details.<br />
<br />
Please submit bugs, questions, and feedback to <a href="mailto:bugs@snort.org">bugs@snort.org</a>.<br />
<br />
Happy Snorting!<br />
The Snort Release Team<br />
<div class="blogger-post-footer">Sp0oKeR Labs</div>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-920941880988420853.post-3595949855691889402015-11-24T09:09:00.001-02:002015-11-24T09:12:22.224-02:00[Video] Making applications secure with NGINX Vídeo com dicas interessantes, superficial mas bastante coisas pra pensarem =)<br />
<br />
- Naxsi<br />
- Repsheet<br />
- IPSet<br />
- Reputation<br />
- Nginx modules <br />
<br />
<iframe allowfullscreen="" frameborder="0" height="315" src="https://www.youtube.com/embed/rNNRGDAZeKY" width="560"></iframe><br />
<br />
Happy Detection!<br />
<br />
Rodrigo Montoro<div class="blogger-post-footer">Sp0oKeR Labs</div>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-920941880988420853.post-78743574232382607542015-11-24T08:35:00.002-02:002015-11-24T08:35:19.911-02:00BLACKFRIDAY: Combo gravações cursos OSSEC + Snort com 50% OFFCaros,<br />
<br />
Entrando no clima da semana blackfriday, estou vendendo os dois treinamentos com 50% de desconto para quem comprar e realizar pagamento até domingo. O valor do combo que originalmente sairia por <b>R$998</b> ficará apenas <b>R$499,00</b><br />
<br />
<u><b>Curso OSSEC</b></u><br />
<br />
<span style="font-size: x-small;"><span style="font-family: inherit;">1. Entendo funcionamento <span class="il">OSSEC</span> HIDS x NIDS<br />
1.1. Funcionalidades <span class="il">OSSEC</span><br />
1.2. Modos instalação<br />
1.3. Sistemas suportados<br /> </span></span><br />
<span style="font-size: x-small;"><span style="font-family: inherit;">2. Instalando o <span class="il">OSSEC</span><br />
2.1. Requisitos<br />
2.2. Modos instalação Local / Agente / Servidor<br />
2.3. Replicando instalação<br /> </span></span><br />
<span style="font-size: x-small;"><span style="font-family: inherit;">3. Configurações <span class="il">OSSEC</span><br />
3.1. Cliente e Servidor<br />
3.2. Alertas<br />
3.3. Regras<br /> </span></span><br />
<span style="font-size: x-small;"><span style="font-family: inherit;">4. Decoders/Regras<br />
4.1. Entendendo os Decoders<br />
4.2. Entendendo as Regras<br />
4.3. Linkando decoders e regras<br /> </span></span><br />
<span style="font-size: x-small;"><span style="font-family: inherit;">5. Sistema de Integridade e detecção de rootkits<br />
5.1. O que é um rootkit?<br />
5.2. Como funciona a detecção de rootkit do <span class="il">ossec</span><br />
5.3. Monitorando a integridade de seu sistema (HIMS)</span></span><br />
<br />
<span style="font-size: x-small;"><span style="font-family: inherit;">6. Active Response<br />
6.1. Active Response disponíveis<br />
6.2. Configuração de Active Response<br />
6.3. Ferramentas Active Response<br /> </span></span><br />
<span style="font-size: x-small;"><span style="font-family: inherit;">7.Usando interface web<br />
7.1. Instalando a interface web<br />
7.2. Analisando e pesquisando eventos</span></span>
<span style="font-size: x-small;"><span style="font-family: inherit;"> </span></span><br />
<span style="font-size: x-small;"><span style="font-family: inherit;">8. Integração básica Elastic Search / Kibana </span></span><br />
<span style="font-size: x-small;"><span style="font-family: inherit;"><br /></span></span>
<u><b><span style="font-size: small;"><span style="font-family: inherit;">Curso Snort</span></span></b></u><br />
<span style="font-size: x-small;"><span style="font-family: inherit;"><br /></span></span>
<br />
<div class="MsoNormal">
<span style="font-size: x-small;"><span style="font-family: inherit;">1-) Introdução a protocolos <br />
2-) Mundo IDS ( NDIS, HIDS , WIDS , KIDS)<br />
3-) Atacantes<br />
4-) Como funciona o Snort<br />
5-) Entendendo a aquisição de dados (DAQ)<br />
6-) Posicionamento dos sensores<br />
7-) Decoders<br />
8-) Preprocessadores (teoria e prática)</span></span></div>
<span style="font-size: x-small;"><span style="font-family: inherit;">
</span></span>
<br />
<div class="MsoNormal">
<span style="font-size: x-small;"><span style="font-family: inherit;">
- Frag3<br />
- Stream5<br />
- sfPortScan<br /> - SMTP/POP/IMAP<br />
- Arp Spoof<br />
- HTTP Inspect<br />
- DCE/RPC2<br /> - Sensitive Data<br />
- IP Reputation<br />
<br />9-) Analise de performance
<br /> - Performance das regras<br />
- Performance dos preprocessadores<br />
- Performance pacotes</span></span></div>
<span style="font-size: x-small;"><span style="font-family: inherit;">
</span></span>
<br />
<div class="MsoNormal">
<span style="font-size: x-small;"><span style="font-family: inherit;"><br />
10-) Output<br />
- Syslog<br /> - Unified 2<br />
<br />
11-) Host Attribute Table<br />
12-) Configurações Múltiplas<br />
13-) Escrevendo e lendo regras para o Snort<br /> - Básico<br />
- Cabeçalho<br />
- Opções de Regra<br />
- Genericas<br />
- Payload<br />
- Non-Payload<br />
- Após detecção / Resposta Ativa<br />
<br />
14-) Regras Shared Object<br />
15-) PulledPork – Atualização de Regas<br />
16-) Interface de Gerenciamento de Alertas / Dicas de analise de incidentes –
Snorby<br />
17-) Dicas finais</span></span></div>
<span style="font-size: x-small;"><span style="font-family: inherit;"><br /></span></span>
<span style="font-size: small;"><span style="font-family: inherit;">Total de praticamente 70h de gravação bem prática, com teoria e laboratorios.</span></span><br />
<span style="font-size: x-small;"><span style="font-family: inherit;"><br /></span></span>
Interessado entrar em contato <b>spooker@gmail.com</b><br />
<br />
<br />
Happy Detection!<br />
<br />
Rodrigo Montoro!<div class="blogger-post-footer">Sp0oKeR Labs</div>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-920941880988420853.post-75326891560823377782015-07-19T19:05:00.001-03:002015-07-19T19:07:54.490-03:00[Treinamento] - Venda gravação curso OSSEC HIDS (em português)<span style="font-size: small;"><span style="font-family: inherit;">Caros,</span></span><br />
<span style="font-size: small;"><span style="font-family: inherit;"><br /></span></span>
<span style="font-size: small;"><span style="font-family: inherit;">Estou vendendo a gravação do treinamento de <a href="http://www.ossec.net/" target="_blank">OSSEC</a> realizado no primeiro semestre desse ano. O Curso é baseado na versão 2.8.1, seguindo o manual de referência bem como na sua maioria com muita prática. Além de tudo, o curso é bem informal e vamos criando testes de acordo com pedido dos alunos. Grade do Curso (dividido em 13 aulas):</span></span><br />
<br />
<span style="font-size: small;"><span style="font-family: inherit;"></span></span><br />
<span style="font-size: small;"><span style="font-family: inherit;"></span></span><br />
<span style="font-size: small;"><span style="font-family: inherit;"></span></span><br />
<span style="font-size: small;"><span style="font-family: inherit;"></span></span><br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgEhx9HsVFQyWk8l-lRi1joaJiQaBUAukpO8NVjkK1cuhYN1gBAQ_SKiogkA25BA2Kc8ZVOgUSf2RFVywVBv7te9udboYk-pvO5sJIStvoMdbM5tKvqoocxnfxvwrzzxOObSWM8HmtCJjAx/s1600/ossec-hids.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgEhx9HsVFQyWk8l-lRi1joaJiQaBUAukpO8NVjkK1cuhYN1gBAQ_SKiogkA25BA2Kc8ZVOgUSf2RFVywVBv7te9udboYk-pvO5sJIStvoMdbM5tKvqoocxnfxvwrzzxOObSWM8HmtCJjAx/s1600/ossec-hids.png" /></a></div>
<br />
<span style="font-size: small;"><span style="font-family: inherit;">1. Entendo funcionamento <span class="il">OSSEC</span> HIDS x NIDS<br />
1.1. Funcionalidades <span class="il">OSSEC</span><br />
1.2. Modos instalação<br />
1.3. Sistemas suportados<br /> </span></span><br />
<span style="font-size: small;"><span style="font-family: inherit;">2. Instalando o <span class="il">OSSEC</span><br />
2.1. Requisitos<br />
2.2. Modos instalação Local / Agente / Servidor<br />
2.3. Replicando instalação<br /> </span></span><br />
<span style="font-size: small;"><span style="font-family: inherit;">3. Configurações <span class="il">OSSEC</span><br />
3.1. Cliente e Servidor<br />
3.2. Alertas<br />
3.3. Regras<br /> </span></span><br />
<span style="font-size: small;"><span style="font-family: inherit;">4. Decoders/Regras<br />
4.1. Entendendo os Decoders<br />
4.2. Entendendo as Regras<br />
4.3. Linkando decoders e regras<br /> </span></span><br />
<span style="font-size: small;"><span style="font-family: inherit;">5. Sistema de Integridade e detecção de rootkits<br />
5.1. O que é um rootkit?<br />
5.2. Como funciona a detecção de rootkit do <span class="il">ossec</span><br />
5.3. Monitorando a integridade de seu sistema (HIMS)</span></span><br />
<br />
<span style="font-size: small;"><span style="font-family: inherit;">6. Active Response<br />
6.1. Active Response disponíveis<br />
6.2. Configuração de Active Response<br />
6.3. Ferramentas Active Response<br /> </span></span><br />
<span style="font-size: small;"><span style="font-family: inherit;">7.Usando interface web<br />
7.1. Instalando a interface web<br />
7.2. Analisando e pesquisando eventos</span></span>
<span style="font-size: small;"><span style="font-family: inherit;"> </span></span><br />
<span style="font-size: small;"><span style="font-family: inherit;">8. Integração básica Elastic Search / Kibana </span></span><br />
<span style="font-size: small;"><span style="font-family: inherit;"><br /></span></span>
<span style="font-size: small;"><span style="font-family: inherit;"><b>Investimento: R$ 499,00</b></span></span><br />
<span style="font-size: small;"><span style="font-family: inherit;"><br /></span></span>
<span style="font-size: small;"><span style="font-family: inherit;">Interessado entrar em contato via comentário ou e-mail spooker@gmail.com</span></span><br />
<span style="font-size: small;"><span style="font-family: inherit;"><br /></span></span>
<span style="font-size: small;"><span style="font-family: inherit;">Happy Detection!</span></span><br />
<span style="font-size: small;"><span style="font-family: inherit;"><br /></span></span>
<span style="font-size: small;"><span style="font-family: inherit;">Rodrigo "Sp0oKeR" Montoro</span></span><div class="blogger-post-footer">Sp0oKeR Labs</div>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-920941880988420853.post-50353826522218259762015-07-01T10:04:00.002-03:002015-07-01T10:04:54.240-03:00TOP30 Emerging Threats (ET) Snort alerts e IP nos honeypotsInstalei em 3 sensores da honeynet o meu querido snort. Logicamente o Snort só detecta o que já conhece, visto que são regras de blacklist, mas acho interessante ter ele rodando em paralelo com os daemons.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEirSjDH56Nxm6M-4JVjc1JgZBg6xUoc9wHKeSxiRC8oRLx8bJbpk560XP6v-MDY8QtM-YTFjKpOXkgFCTPFY49rBlGlbGDRGWporpbehq-wTMB6MWN8hZRsCDH3xXVgM4Pr6EH1KO9uCZy0/s1600/snort.jpeg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEirSjDH56Nxm6M-4JVjc1JgZBg6xUoc9wHKeSxiRC8oRLx8bJbpk560XP6v-MDY8QtM-YTFjKpOXkgFCTPFY49rBlGlbGDRGWporpbehq-wTMB6MWN8hZRsCDH3xXVgM4Pr6EH1KO9uCZy0/s1600/snort.jpeg" /></a></div>
<br />
<br />
<b>Abaixo a lista das TOP30 regras que alertaram:</b><br />
<br />
<blockquote class="tr_bq">
<span style="font-size: xx-small;">8241 [**] [1:2017162:2] ET SCAN SipCLI VOIP Scan [**]</span><br /><span style="font-size: xx-small;"> 5469 [**] [1:2402000:3709] ET DROP Dshield Block Listed Source group 1 [**]</span><br /><span style="font-size: xx-small;"> 4309 [**] [1:2001219:19] ET SCAN Potential SSH Scan [**]</span><br /><span style="font-size: xx-small;"> 2308 [**] [1:2011716:4] ET SCAN Sipvicious User-Agent Detected (friendly-scanner) [**]</span><br /><span style="font-size: xx-small;"> 2179 [**] [1:2010935:2] ET POLICY Suspicious inbound to MSSQL port 1433 [**]</span><br /><span style="font-size: xx-small;"> 2129 [**] [1:2010937:2] ET POLICY Suspicious inbound to mySQL port 3306 [**]</span><br /><span style="font-size: xx-small;"> 1862 [**] [1:2008578:6] ET SCAN Sipvicious Scan [**]</span><br /><span style="font-size: xx-small;"> 1162 [**] [1:2402001:3709] ET DROP Dshield Block Listed Source group 1 [**]</span><br /><span style="font-size: xx-small;"> 1031 [**] [1:2500108:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 55 [**]</span><br /><span style="font-size: xx-small;"> 624 [**] [1:2500132:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 67 [**]</span><br /><span style="font-size: xx-small;"> 568 [**] [1:2400000:2488] ET DROP Spamhaus DROP Listed Traffic Inbound group 1 [**]</span><br /><span style="font-size: xx-small;"> 280 [**] [1:2101411:12] GPL SNMP public access udp [**]</span><br /><span style="font-size: xx-small;"> 249 [**] [1:2500028:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 15 [**]</span><br /><span style="font-size: xx-small;"> 232 [**] [1:2500106:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 54 [**]</span><br /><span style="font-size: xx-small;"> 220 [**] [1:2500066:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 34 [**]</span><br /><span style="font-size: xx-small;"> 203 [**] [1:2403350:1829] ET CINS Active Threat Intelligence Poor Reputation IP TCP group 26 [**]</span><br /><span style="font-size: xx-small;"> 125 [**] [1:2403346:1829] ET CINS Active Threat Intelligence Poor Reputation IP TCP group 24 [**]</span><br /><span style="font-size: xx-small;"> 118 [**] [1:2500138:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 70 [**]</span><br /><span style="font-size: xx-small;"> 105 [**] [1:2009699:1] ET VOIP REGISTER Message Flood UDP [**]</span><br /><span style="font-size: xx-small;"> 92 [**] [1:2500022:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 12 [**]</span><br /><span style="font-size: xx-small;"> 90 [**] [1:2101616:9] GPL DNS named version attempt [**]</span><br /><span style="font-size: xx-small;"> 84 [**] [1:2500136:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 69 [**]</span><br /><span style="font-size: xx-small;"> 84 [**] [1:2010936:2] ET POLICY Suspicious inbound to Oracle SQL port 1521 [**]</span><br /><span style="font-size: xx-small;"> 73 [**] [1:2500100:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 51 [**]</span><br /><span style="font-size: xx-small;"> 68 [**] [1:2500062:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 32 [**]</span><br /><span style="font-size: xx-small;"> 52 [**] [1:2500102:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 52 [**]</span><br /><span style="font-size: xx-small;"> 47 [**] [1:2403331:1829] ET CINS Active Threat Intelligence Poor Reputation IP UDP group 16 [**]</span><br /><span style="font-size: xx-small;"> 45 [**] [1:2403333:1829] ET CINS Active Threat Intelligence Poor Reputation IP UDP group 17 [**]</span><br /><span style="font-size: xx-small;"> 44 [**] [1:2500140:3603] ET COMPROMISED Known Compromised or Hostile Host Traffic TCP group 71 [**]</span><br /><span style="font-size: xx-small;"> 43 [**] [1:2403324:1829] ET CINS Active Threat Intelligence Poor Reputation IP TCP group 13 [**]</span></blockquote>
<br />
<b>TOP30 IP de origem que geraram essas regras:</b><br />
<br />
<blockquote class="tr_bq">
<span style="font-size: small;"> 1343 43.255.189.38<br /> 1063 61.240.144.66<br /> 796 155.94.64.250<br /> 767 23.92.80.90<br /> 755 218.77.79.43<br /> 648 23.92.80.27<br /> 528 61.240.144.65<br /> 438 61.240.144.64<br /> 414 61.240.144.67<br /> 369 61.160.224.130<br /> 351 46.165.249.2<br /> 351 185.94.111.1<br /> 327 222.186.27.171<br /> 326 61.160.224.128<br /> 313 192.187.115.202<br /> 289 188.138.1.239<br /> 242 124.158.12.201<br /> 235 23.92.80.95<br /> 234 173.193.12.244<br /> 233 188.227.186.16<br /> 231 69.64.33.115<br /> 227 46.165.210.84<br /> 225 71.6.135.131<br /> 220 62.210.71.22<br /> 218 192.3.8.210<br /> 215 94.102.49.168<br /> 210 61.160.224.129<br /> 207 23.92.80.97<br /> 195 162.244.35.24<br /> 189 222.186.21.133</span></blockquote>
<br />
Pretendo colocar sensores internos em redes reais, o que acredito que adicionará outros alertas, porém é válido ativar essas regras caso não as possua.<br />
<br />
Ainda estou em fase de testes e pretendo num futuro compartilhar essas informações de forma automatica (API) ou site.<br />
<br />
Happy Snorting!<br />
<br />
Rodrigo "Sp0oKeR" Montoro<div class="blogger-post-footer">Sp0oKeR Labs</div>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-920941880988420853.post-47941155478180185382015-06-25T10:02:00.003-03:002015-06-25T10:02:50.076-03:00[Dica Ferramenta] - Geolocation (País e ASN - Autonomous System Numbers) com geoip-binOntem precisava rapidamente fazer Geolocation de alguns milhares de IP que coletei nos honeypots, pensei em codar algo, porém numa googleada rápida achei essa tool que já vem no repositório do Ubuntu e funciona bem legal.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiGgn9C_Kd-6NAUZbyW0hAx53R5px03grTbF2_pMNwrXpcm9-AOTXeIun4-MGfwuwF_YM6FruBVoez6CxOhRJxnMT68LN62WdbUM22SmX4B-FoIUv22a4VmuRo-Xjt30Wwh0wh3nHLFQbIX/s1600/geolocation.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="220" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiGgn9C_Kd-6NAUZbyW0hAx53R5px03grTbF2_pMNwrXpcm9-AOTXeIun4-MGfwuwF_YM6FruBVoez6CxOhRJxnMT68LN62WdbUM22SmX4B-FoIUv22a4VmuRo-Xjt30Wwh0wh3nHLFQbIX/s320/geolocation.png" width="320" /></a></div>
<br />
Basicamente a instalação é simples<br />
<br />
<blockquote class="tr_bq">
<i>$ sudo apt-get install geoip-bin</i></blockquote>
<br />
Com a ferramenta instalada, sugiro que atualizem a database de ASN e Países para ter melhores resultados<br />
<br />
<b>Atualizar países</b><br />
<br />
<blockquote class="tr_bq">
$ wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCountry/GeoIP.dat.gz<br />
$ gunzip GeoIP.dat.gz<br />
$ sudo cp GeoIP.dat /usr/share/GeoIP/</blockquote>
<br />
<i><b>Atualizar ASN</b></i><br />
<br />
<blockquote class="tr_bq">
$ wget http://download.maxmind.com/download/geoip/database/asnum/GeoIPASNum.dat.gz<br />
<div style="text-align: left;">
$ gunzip GeoIPASNum.dat.gz <br />
$ sudo cp GeoIPASNum.dat /usr/share/GeoIP/</div>
</blockquote>
<br />
Feito isso, só usar a ferramenta:<br />
<br />
<blockquote class="tr_bq">
<i>$ geoiplookup 43.229.52.28<br />GeoIP Country Edition: <b>HK, Hong Kong</b><br />GeoIP ASNum Edition: <b>AS63857</b> HOT NET LIMITED</i></blockquote>
<br />
No caso dos testes dos honeypots, alguns dados extraídos, em breve pretendo compartilhar mais.<br />
<br />
<u><b>TO10 Países</b></u><br />
<br />
<blockquote class="tr_bq">
<span style="font-size: x-small;">466847 GeoIP Country Edition: HK, Hong Kong<br /> 133844 GeoIP Country Edition: CN, China<br /> 14341 GeoIP Country Edition: FR, France<br /> 10093 GeoIP Country Edition: US, United States<br /> 5781 GeoIP Country Edition: GB, United Kingdom<br /> 4618 GeoIP Country Edition: KR, Korea, Republic of<br /> 3585 GeoIP Country Edition: RU, Russian Federation<br /> 3569 GeoIP Country Edition: DE, Germany<br /> 2899 GeoIP Country Edition: IN, India<br /> 2321 GeoIP Country Edition: TW, Taiwan</span></blockquote>
<br />
<br />
<u><b>TOP10 ASN</b></u><br />
<br />
<blockquote class="tr_bq">
<span style="font-size: x-small;"> 465302 GeoIP ASNum Edition: AS63857 HOT NET LIMITED</span><br />
<span style="font-size: x-small;"> 96216 GeoIP ASNum Edition: AS23650 AS Number for CHINANET jiangsu province backbone</span><br />
<span style="font-size: x-small;"> 12120 GeoIP ASNum Edition: AS4134 Chinanet</span><br />
<span style="font-size: x-small;"> 8376 GeoIP ASNum Edition: AS21502 NC Numericable S.A.</span><br />
<span style="font-size: x-small;"> 6191 GeoIP ASNum Edition: AS4837 CNCGROUP China169 Backbone</span><br />
<span style="font-size: x-small;"> 5510 GeoIP ASNum Edition: AS202109 Digital Ocean, Inc.</span><br />
<span style="font-size: x-small;"> 4292 GeoIP ASNum Edition: AS24445 Henan Mobile Communications Co.,Ltd</span><br />
<span style="font-size: x-small;"> 4135 GeoIP ASNum Edition: AS12876 ONLINE S.A.S.</span><br />
<span style="font-size: x-small;"> 2711 GeoIP ASNum Edition: AS9808 Guangdong Mobile Communication Co.Ltd.</span><br />
<span style="font-size: x-small;"> 2431 GeoIP ASNum Edition: AS9318 Hanaro Telecom Inc.</span></blockquote>
<i><br /></i>Happy Detection!<br />
<br />
Rodrigo "Sp0oKeR" Montoro<i><br /></i><br />
<i> </i><div class="blogger-post-footer">Sp0oKeR Labs</div>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-920941880988420853.post-86419124491550849362015-06-22T14:04:00.000-03:002015-06-22T14:34:50.921-03:00Logar tentativas de acesso a diretórios protegido pelo .htaccessDomingão a noite, estava conversando sobre coisas nerds com o <a href="https://twitter.com/gustavorobertux" target="_blank">Robertux</a> e ele me perguntou se conhecia algum honeypot para logar tentativas de acesso a diretório protegidos com o .htaccess. Logicamente por motivos de segurança as senhas não são salva por padrão nos logs texto que o apache gera.<br />
<br />
De cabeça e pesquisando rapidamente não conhecia nada, mas algo que gosto de usar bastante para simular honeypots web é o próprio apache, bem mal configurado as vezes, visto que o foco é coletar infos e não ser seguro.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiTXPB1RBrintbgHfpdLjNf5fuODngxMvSa65s92-l3A2UeCAA0qgFSsSDb1nbKkCiKveuxHxxZ9sk2c0B9WpwXuWFWG8l45Z6l0oBP08vWMQXj0S_ZXF4Wgv7sCTGsVXzzDjE-V7Ij_6yA/s1600/custom-error-300x210.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="224" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiTXPB1RBrintbgHfpdLjNf5fuODngxMvSa65s92-l3A2UeCAA0qgFSsSDb1nbKkCiKveuxHxxZ9sk2c0B9WpwXuWFWG8l45Z6l0oBP08vWMQXj0S_ZXF4Wgv7sCTGsVXzzDjE-V7Ij_6yA/s320/custom-error-300x210.png" width="320" /></a></div>
<br />
<br />
Pequisando e fazendo alguns testes, consegui montar algo usando basicamente essas 2 configurações:<br />
<br />
1-) Criar o .htaccess dentro do diretório protegido com o seguinte conteúdo:<br />
<br />
<blockquote class="tr_bq">
<i>ErrorDocument 401 <b>/logging.php</b></i><br />
<br />
<i>AuthName "My Password Protected Site"</i><br />
<i>AuthUserFile /tmp/.htpasswd</i><br />
<i>AuthType Basic</i><br />
<i>Require valid-user</i><br />
<br />
<i># Set REMOTE_USER env variable on 401 ErrorDocument</i><br />
<i>RewriteEngine On</i><br />
<i>RewriteBase /</i><br />
<i>RewriteCond %{ENV:REDIRECT_STATUS} ^401$</i><br />
<i>RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},E=REMOTE_USER:%{ENV:REDIRECT_REMOTE_USER}]</i></blockquote>
<br />
No caso, o arquivo que será redirecionado em caso de erro do login estará no root e com nome logging.php.<br />
<br />
2-) Criar o logging.php com o seguinte código<br />
<br />
<blockquote class="tr_bq">
<i>if(isset($_SERVER['PHP_AUTH_USER'], $_SERVER['PHP_AUTH_PW'])):<br /> $fp = fopen('/tmp/htaccess.log', 'a+');<br /> $ip = $_SERVER['REMOTE_ADDR'];<br /> $password = $_SERVER['PHP_AUTH_PW'];<br /> $username = $_SERVER['PHP_AUTH_USER'];<br /> $time = date('y-m-d/H:i:s');<br /> $request = $_SERVER['REDIRECT_URL'];<br /> fwrite($fp, $time."\t".$ip."\t".$request."\t".$username."/".$password."\r\n");<br /> fclose($fp);<br />endif;<br /><br />ob_start();<br />header("HTTP/1.1 401 Authorization Required",1);<br />header("Status: 401 Authorization Required",1);<br />echo '<br /><html><head><title>401 Authorization Required</title></head><body><br /><h1>
Authorization Required</h1>
<br />This server could not verify that you are authorized to <br /> access the document<br /> requested. Either you supplied the wrong<br /> credentials (e.g., bad password), or your<br /> browser doesn\'t understand how to supply<br /> the credentials required.<br />
';<br />exit();<br />?></body></html></i></blockquote>
<br />
No exemplo ele salvará as tentativas no /tmp/htaccess.log .<br />
<br />
<br />
3-) Lembre-se de mudar o AllowOverride das configurações do diretório root de None para All, visto que ele vem como None por motivos de segurança<br />
<br />
<blockquote class="tr_bq">
<i><directory var="" www=""> Options Indexes FollowSymLinks<br /> <b>AllowOverride all</b><br /> Require all granted</directory></i></blockquote>
O resultado no /tmp/htaccess.log (fiz um update no script acima que salva o IP source também) será:<br />
<br />
15-06-22/14:32:20 127.0.0.1 /honey/ admin/123<br />15-06-22/14:32:20 127.0.0.1 /honey/ admin/lalala<br />15-06-22/14:32:20 127.0.0.1 /honey/ admin/1234546<br />15-06-22/14:32:20 127.0.0.1 /honey/ admin/abc<br />15-06-22/14:32:20 127.0.0.1 /honey/ admin/test<br />15-06-22/14:32:20 127.0.0.1 /honey/ admin/root<br />15-06-22/14:32:20 127.0.0.1 /honey/ admin/teste<br />15-06-22/14:32:20 127.0.0.1 /honey/ admin/admin<br /><br />
<br />
Usei de referência essa link - <a href="http://serverfault.com/questions/460765/log-invalid-login-attempts-htpasswd">http://serverfault.com/questions/460765/log-invalid-login-attempts-htpasswd</a><br />
<br />
Lembrando que isso é pra função de honeypot, código pode (ou não) conter falhas, simplesmente fiz algo funcional.<br />
<br />
Alguém conhece algo melhor ? Sugestões ? Subirei depois isso em algum node pra ver se consigo infos legais e logicamente compartilhar.<br />
<br />
Happy Detection!<br />
<br />
Sp0oKeR Labs<div class="blogger-post-footer">Sp0oKeR Labs</div>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-920941880988420853.post-11591680835719548192015-06-19T13:26:00.003-03:002015-06-19T13:26:59.717-03:00Estamos de volta! Segundo semestre de muita informação para compartilhar =)Amigo(as),<br />
<br />
Depois de 2 anos com tentativas de mudanças de área, acertos e erros, muito aprendizado, um período sabático de 2 meses para refletir um pouco o que quero pra mim e muito pouco blogpost nesse período, estamos de volta! <br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhH9wj2D94_91QXPom8-zigoROQt4YD9h1q_MdHvhS2nWmeuT5fPSkhSRX88KVMVXCdLIRCNLeS6ABRa7fAzps4KeZIIDieU3ZMcDXSjWpzFuhdsgaq2F654tbRvEnjTB-EWefeAWidtwXn/s1600/devolta.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="230" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhH9wj2D94_91QXPom8-zigoROQt4YD9h1q_MdHvhS2nWmeuT5fPSkhSRX88KVMVXCdLIRCNLeS6ABRa7fAzps4KeZIIDieU3ZMcDXSjWpzFuhdsgaq2F654tbRvEnjTB-EWefeAWidtwXn/s400/devolta.jpg" width="400" /></a></div>
<br />
<br />
Ando meio afastado do blog, bem como não colocando conteúdos de testes. Como estou voltando a área de origem (pesquisas e muita detecção de intrusos) no qual testarei e pesquisarei muito muito mais. Pretendo compartilhar quase que diariamente meus testes, vídeos, pesquisas/idéias, leituras e falhas =).<br />
<br />
Entre os assuntos que estou com uma pilha de idéias e testes já iniciados são (só um resumo de tudo que vou blogar quase que diariamente e em "pedacinhos"):<br />
<br />
<b>- MHN / Honeypot no geral</b><br />
<br />
A idéia é compartilhar dados dos meus sensores de testes, dar dicas, linhas de comandos para extração, configurações. Entre uma lista de nomes podemos citar: <br />
<ul>
<li>Kippo</li>
<li>Honeyd</li>
<li>Dionaea</li>
<li>Wordpot</li>
<li>Shockpot</li>
<li>ElasticHoney </li>
<li>Outros diversos projetos existentes.</li>
</ul>
<br />
A URL do MHN <a href="http://threatstream.github.io/mhn/">http://threatstream.github.io/mhn/</a> caso queira conhecer essa tool. <br />
<br />
<b>- Threat Intel</b><br />
<br />
O mundo de inteligência em ameaças é algo totalmente dinâmico, porém lendo e acompanhando textos, existe muita informação na verdade e pouco inteligência muitas vezes. A idéia é compartilhar testes, resultados, papers e ajudar ao uso de feeds públicos (e quem sabe pagos se alguém fornecer as infos). Um projeto bem interessante que fará parte dessa parte de pesquisa será o <a href="http://www2.mlsecproject.org/" target="_blank">MLSec Project</a>, liderado pelo <a href="https://twitter.com/alexcpsec" target="_blank">Alex Pinto</a>.<b> </b><br />
<br />
<br />
<b>- OpenSoc</b><br />
<br />
Esse projeto me chamou muito atenção no que li e assisti vídeos, porém a minha meta agora é fazer algo prático e ver se é viável para pequenas estruturas, nada gigante. Será uma escola esses testes e vou compartilhando problemas, acertos e pedindo ajuda.<br />
<br />
Site do projeto: <a href="http://opensoc.github.io/">http://opensoc.github.io/</a> <br />
<br />
<b>- Host Security / Hardening / Configuration Security </b><br />
<br />
Registro windows (sim, vou investir um tempo tentando entender esse mundo maluco), melhores práticas (e realidades hehehe) de configurações, guias disponíveis e uso de ferramentas como <a href="http://open-scap.org/page/Main_Page" target="_blank">OpenScap</a>.<br />
<br />
Além disso diversos outros assunto, logicamente sempre vinculados com Detecção de Intrusos no geral<br />
<br />
<b>- Malwares Nacionais</b><br />
<br />
Muitas novidades por vir em Julho.<br />
<br />
<b>- Sistemas Detecção de Intrusos (Snort, Suricata, OSSEC, ModSecurity, IoC, Análise de logs)</b><br />
<br />
<b>- Network Security Monitoring (NSM - Security Onion)</b><br />
<br />
Além dos assunto nerds, também postarei por 2 coisas do meu interesse, logicamente em menor escala que os outros assuntos (ou não né, quem me conhece sabe que esporte atualmente é meu rivotril + ritalina + cachaça:<br />
<br />
<b>- Esportes (Triathlon, XTerra, Aventuras)</b><br />
<br />
<b>- Startup / Produtos (algo que não domino mas acho extremamente interessante)</b><br />
<br />
Retorno ao Triathlon e pesquisas nesse segundo semestre 2015 promete!<br />
<br />
Set nerds mode level extreme! Segue ai pessoal que semana que vem já começo =)!<br />
<br />
Vamos que vamos!<br />
<br />
Happy Detection.<div class="blogger-post-footer">Sp0oKeR Labs</div>Unknownnoreply@blogger.com1tag:blogger.com,1999:blog-920941880988420853.post-51794538010691542482015-06-17T08:50:00.000-03:002015-06-17T08:52:44.005-03:00Gravação do Webcast sobre Treinamento SnortCaros,<br />
<br />
Fiz um webcast explicando sobre o<a href="http://www.treinamentolinux.com.br/curso-de-snort-online/" target="_blank"> treinamento Snort</a> que ministrarei em parceria com o Treinamento Linux em Julho (início 13 de Julho com aulas de segunda a quinta noturna).<br />
<br />
Segue abaixo o vídeo:<br />
<br />
<iframe allowfullscreen="" frameborder="0" height="375" mozallowfullscreen="" src="https://player.vimeo.com/video/130972953" webkitallowfullscreen="" width="500"></iframe><br />
<br />
<br />
Caso tenham interesse, entrem em contato <a href="http://www.treinamentolinux.com.br/contato-2/" target="_blank">http://www.treinamentolinux.com.br/contato-2/ </a><br />
<br />
Precisando de mais dúvidas ou informações técnicas podem entrar em contato pelos comentários ou meu e-mail também spooker /at/ gmail.com<br />
<br />
Happy Snorting!<br />
<br />
Rodrigo Montoro <div class="blogger-post-footer">Sp0oKeR Labs</div>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-920941880988420853.post-33912969098242487222015-02-16T10:02:00.001-02:002015-02-16T10:02:41.742-02:00Documentário / Filme - Defcon e The AlgorithmSugestão caso não tenha assistido e queira curtir algo, estão ambos no Youtube, especialmente o documentário da Defcon que é "antigo" porém sensacional.<br />
<br />
<div class="clearfix" id="watch7-headline">
<div id="watch-headline-title">
</div>
<div id="watch-headline-title">
<div class="clearfix" id="watch7-headline">
<div id="watch-headline-title">
<br />
<b> ALGORITHM: The Hacker Movie </b></div>
</div>
</div>
</div>
A freelance computer hacker breaks into secret government contractor and
downloads a program. He must choose between his own curiosity and the
lives of his friends.<br />
<br />
Esse vídeo tem legendas em pt_BR que o Crash fez =)<br />
<br />
<iframe allowfullscreen="" frameborder="0" height="315" src="https://www.youtube.com/embed/6qpudAhYhpc" width="560"></iframe><br />
<br />
<div class="" id="watch-description-text">
<div id="eow-description">
<b>DEFCON 20 Documentary Full Version.</b></div>
</div>
<br />
<iframe allowfullscreen="" frameborder="0" height="315" src="https://www.youtube.com/embed/rVwaIe6CiHw" width="560"></iframe><br />
<br />
<br />
Happy CarnaHacking =)<br />
<br />
Abs!<div class="blogger-post-footer">Sp0oKeR Labs</div>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-920941880988420853.post-81434273609398627872015-02-12T16:52:00.004-02:002015-02-12T16:53:53.687-02:00Curso OSSEC HIDS EaD (40 h) - Início 24/02/2015<span style="font-family: inherit;"><span style="font-size: small;">Caros, </span></span><br />
<span style="font-family: inherit;"><span style="font-size: small;"><br /></span></span>
<span style="font-family: inherit;"><span style="font-size: small;">Iniciarei um treinamento bem completo e detalhado de OSSEC partir 24/02/2015, com aulas terças e quintas das 20:00 às 22:00. </span></span><br />
<span style="font-family: inherit;"><span style="font-size: small;"><br /></span></span>
<span style="font-family: inherit;"><span style="font-size: small;">A grade do treinamento de OSSEC será:</span></span><br />
<span style="font-family: inherit;"><span style="font-size: small;"><br />
1. Entendo funcionamento <span class="il">OSSEC</span> HIDS x NIDS<br />
1.1. Funcionalidades <span class="il">OSSEC</span><br />
1.2. Modos instalação<br />
1.3. Sistemas suportados<br /> </span></span><br />
<span style="font-family: inherit;"><span style="font-size: small;">2. Instalando o <span class="il">OSSEC</span><br />
2.1. Requisitos<br />
2.2. Modos instalação Local / Agente / Servidor<br />
2.3. Replicando instalação<br /> </span></span><br />
<span style="font-family: inherit;"><span style="font-size: small;">3. Configurações <span class="il">OSSEC</span><br />
3.1. Cliente e Servidor<br />
3.2. Alertas<br />
3.3. Regras<br /> </span></span><br />
<span style="font-family: inherit;"><span style="font-size: small;">4. Decoders/Regras<br />
4.1. Entendendo os Decoders<br />
4.2. Entendendo as Regras<br />
4.3. Linkando decoders e regras<br /> </span></span><br />
<span style="font-family: inherit;"><span style="font-size: small;">5. Sistema de Integridade e detecção de rootkits<br />
5.1. O que é um rootkit?<br />
5.2. Como funciona a detecção de rootkit do <span class="il">ossec</span><br />
5.3. Monitorando a integridade de seu sistema (HIMS)<br /> </span></span><br />
<span style="font-family: inherit;"><span style="font-size: small;">6. Active Response<br />
6.1. Active Response disponíveis<br />
6.2. Configuração de Active Response<br />
6.3. Ferramentas Active Response<br /> </span></span><br />
<span style="font-family: inherit;"><span style="font-size: small;">7.Usando interface web<br />
7.1. Instalando a interface web<br />
7.2. Analisando e pesquisando eventos</span></span><br />
<br />
<span style="font-family: inherit;"><span style="font-size: small;">8. Integração básica Elastic Search / Kibana</span></span><br />
<span style="font-family: inherit;"><span style="font-size: small;"><br /></span></span>
<span style="font-family: inherit;"><span style="font-size: small;"><u><b>Valor investimento:</b></u></span></span><br />
<span style="font-family: inherit;"><span style="font-size: small;"><br /></span></span>
<span style="font-family: inherit;"><span style="font-size: small;">Alunos de cursos anteriores - R$780,00 reais </span></span><br />
<span style="font-family: inherit;"><span style="font-size: small;">Alunos novos - R$ 950,00</span></span><br />
<span style="font-family: inherit;"><span style="font-size: small;"><br /></span></span>
<span style="font-family: inherit;"><span style="font-size: small;"><u><b>Sobre o instrutor:</b></u>
</span></span><br />
<div class="MsoNormal">
<span style="font-family: inherit;"><span style="font-size: small;"><br /></span></span>
<span style="font-family: inherit;"><span style="font-size: small;">Rodrigo "Sp0oKeR Montoro é certificado
LPI, RHCE e SnortCP com 15 anos de experiência em sistema de segurança
opensource (firewalls, NIDS, IPS, HIDS, Análise de logs) e hardening de
sistemas. Atualmente trabalha como administrator de Segurança Senior na <a href="http://www.sucuri.net/" target="_blank">Sucuri Security</a>
onde gerencia algumas dezenas de OSSEC que geram mais de 4 milhões de eventos diariamente. Anterior trabalhou na área de pesquisa onde onde focou seu
trabalho em assinaturas para Sistema de
Detecção de Intrusos, Modsecurity e realizou pesquisas para novos
métodos
de detecção de atividades maliciosas .
Autor de 2 patentes requeridas envolvendo uma técnica para descobrir
documentos digitais maliciosos e análise de cabeçalhos HTTP para
detectar tráfego malicioso. É coordenador e evangelizador na
Comunidade Snort Brasil na qual fundou em 2005. Rodrigo já palestrou em
inúmeras conferencias opensource (FISL, Conisli, Latinoware) e de
segurança Brasil e
EUA (OWASP Appsec (EUA e Brasil), Toorcon (EUA), H2HC (São Paulo e Cancun), SecTor
(Canada), CNASI, Source Boston 2012/2013 e Seattle (EUA), ZonCon
(Conferencia Interna da Amazon) Bsides (São Paulo e Las Vegas)) e é coordenador de um projeto
para criação de um conjunto de regras para o sistema de detecção de
intrusos Snort para malwares Brasileiros.</span></span></div>
<div class="MsoNormal">
<span style="font-family: inherit;"><span style="font-size: small;"><br /></span></span></div>
<div class="MsoNormal">
<span style="font-family: inherit;"><span style="font-size: small;"><b>Cadastro de interesse pode ser feito aqui:<a href="https://www.blogger.com/goog_1377478722"> </a></b><a href="https://docs.google.com/spreadsheet/viewform?formkey=dGFfWm1rT0V1dUtyeTMtUXhJRTNIRkE6MA&ifq" target="_blank">Formulário Cadastro</a></span></span><br />
</div>
<div class="MsoNormal">
</div>
<div class="MsoNormal">
<span style="font-family: inherit;"><span style="font-size: small;">Happy Detection!</span></span></div>
<div class="MsoNormal">
</div>
<div class="MsoNormal">
<br />
<span style="font-family: inherit;"><span style="font-size: small;">Rodrigo "Sp0oKeR" Montoro </span></span></div>
<span style="font-family: inherit;"><span style="font-size: small;"> </span></span><div class="blogger-post-footer">Sp0oKeR Labs</div>Unknownnoreply@blogger.com3tag:blogger.com,1999:blog-920941880988420853.post-66683034048795441032015-02-08T09:34:00.002-02:002015-02-08T23:44:45.279-02:00Problemas com OSSEC Windows Agent em desktops em pt_BRGeralmente servidores rodamos em inglês e possivelmente nunca teremos problemas com o a Interface gráfica do OSSEC Agent no Windows. Porém as estações de trabalho geralmente rodamos no nosso idioma nativo, ou seja, algo não inglês.<br />
<br />
O ambiente testado foi windows 7 instalado em pt_BR. Em primeiro momento, o ossec gerava as seguintes mensagens de problemas de permissão:<br />
<br />
<i><b>"Unable to set permissions on new configuration file" </b></i><br />
<i><b>"Unable to set permissions on auth key file".</b></i><br />
<br />
Tentamos rodar como Administrador para verificar se não era algo de permissões e também modificamos as permissões da pasta sem sucesso.<br />
<br />
Pesquisando na lista OSSEC, descobrimos que isso acontece devido a um problema de idiomas, pois o Agente executa 2 comandos, os que geram as messagens utilizando o usuário "administrator", sendo que caso não rode em inglês esse usuário não existe.<br />
<br />
Olhando os logs podemos ver os comandos:<br />
<br />
<div>
2015/02/07 11:58:04 ossec-agent: INFO: Service does not exist (OssecSvc) nothing to remove.</div>
<div>
2015/02/07 11:58:05 ossec-agent: INFO: Successfully added to the service database.</div>
<div>
2015/02/07
11:58:06 setup-windows: INFO: System is Vista or newer (Microsoft
Windows 7 Business Edition Professional Service Pack 1 (Build 7601) -
OSSEC HIDS v2.8).</div>
<div>
2015/02/07 12:00:36
ossec-win32ui: INFO: Running the following command
(C:\Windows\system32\cmd.exe /c echo y|cacls "new-ossec.conf" /T /G
<b><span style="color: red;">Administrators</span></b>:f)</div>
<div>
2015/02/07 12:00:59
ossec-win32ui: INFO: Running the following command
(C:\Windows\system32\cmd.exe /c echo y|cacls "client.keys" /T /G
<span style="color: red;"><b>Administrators</b></span>:f)</div>
<div>
<br />
<u><b>Como resolver isso ?</b></u></div>
<div>
<br /></div>
<div>
Fazendo alguns testes, podemos adicionar a chave na mão no client.keys e modificar a configuração do ossec.conf onde é adicionar o IP do Servidor OSSEC manualmente, com isso rodando a Interface funcionara, ou basicamente no services recarregar o serviço OssecSvc.</div>
<div>
</div>
<div>
<br />
A entrada no client.keys precisa ser o decode do base64 que é o export do manage_agents</div>
<div>
</div>
<div>
<br />
[root@spookerlabs ~]# cd /var/ossec/bin/<br />
[root@spookerlabs bin]# ./manage_agents </div>
<div>
</div>
<div>
****************************************<br />
* OSSEC HIDS v2.8 Agent manager. *<br />
* The following options are available: *<br />
****************************************<br />
(A)dd an agent (A).<br />
(E)xtract key for an agent (E).<br />
(L)ist already added agents (L).<br />
(R)emove an agent (R).<br />
(Q)uit.<br />
Choose your action: A,E,L,R or Q: E<br />
<br />
Available agents: <br />
ID: 001, Name: Sp0oKeRLabs-Home, IP: any<br />
ID: 002, Name: WinAWS, IP: any<br />
ID: 1000, Name: Teste_Blog, IP: 10.10.20.20<br />
Provide the ID of the agent to extract the key (or '\q' to quit): 1000<br />
<br />
Agent key information for '1000' is: <br />
<span style="color: red;"><b>MTAwMCBUZXN0ZV9CbG9nIDEwLjEwLjIwLjIwIGQ3YjJiNDJhMDU5OGMxN2Y1ZjA</b></span></div>
<div>
<span style="color: red;"><b>3MDJiMGQ5ZjA0Yjc5Yzk4NDczZDY2OTU1ODA3MjI1NjVhMDk5MTJhOWE1ZjY=</b></span><br />
** Press ENTER to return to the main menu.<br />
<br />
Para fazer o decode do base4</div>
<div>
</div>
<div>
<pre class="lang-bsh prettyprint prettyprinted"><code><span class="pln">echo </span><span class="typ"></span></code><code><span class="typ"><span style="color: red;"><b>MTAwMCBUZXN0ZV9CbG9nIDEwLjEwLjIwLjIwIGQ3YjJiNDJhMDU5OGMxN2Y1ZjA</b></span><span style="color: red;"><b>3MDJiM</b></span></span></code></pre>
<pre class="lang-bsh prettyprint prettyprinted"><code><span class="typ"><span style="color: red;"><b>GQ5ZjA0Yjc5Yzk4NDczZDY2OTU1ODA3MjI1NjVhMDk5MTJhOWE1ZjY=</b></span></span><span class="pun"></span><span class="pln"> </span><span class="pun">|</span><span class="pln"> base64 </span><span class="pun">--</span><span class="pln">decode</span></code></pre>
<pre class="lang-bsh prettyprint prettyprinted"><code><span class="pln"> </span></code></pre>
O output do comando acima será<br />
<br />
1000 Teste_Blog 10.10.20.20 d7b2b42a0598c17f5f0702b0d9f04b79c98473d6695580722565a09912a9a5f6<br />
<br />
Essa linha é a entrada do client.keys. No ossec.conf basta adicionar a entrada do server como mencionei, na verdade basicamente é a única configuração caso queria usar agent.conf compartilhada que farei um post no futuro =)</div>
<div>
</div>
<br />
<div>
Alguns dias atrás o pessoal também publicou um Beta do Agent 2.9 que resolve esse problema, porém eu ainda não fiz testes.</div>
<div>
<br /></div>
<div>
<a href="https://github.com/ossec/ossec-hids/releases/tag/2.9.0-beta02" target="_blank">https://github.com/<span class="il">ossec</span>/<wbr></wbr><span class="il">ossec</span>-hids/releases/tag/<span class="il">2.9</span>.0-<wbr></wbr>beta02</a><br />
<br />
Outra solução que vi nas discussões na lista foi a criação de um grupo Administrator, porém eu não gostei muito dessa solução. </div>
<div>
<br /></div>
<div>
"<i>Since the code appears to be hardcoded in the executables I can't fix
the problem at the roots. But I've created the group and added an
administrative account I use to install OSSEC to that new
'Administrators' group and then the installation succeeded.</i>"<br />
<br />
Lembrando que partir 24/02/2015 iniciaremos a turma do treinamento OSSEC HIDS online, caso tenha interesse entrem em contato <b>spooker@gmail.com</b> e mais info <a href="http://spookerlabs.blogspot.com.br/2014/09/treinamento-intrusion-detection-snort.html" target="_blank">http://spookerlabs.blogspot.com.br/2014/09/treinamento-intrusion-detection-snort.html </a>.</div>
<div>
</div>
<div>
<br />
Espero que ajude. </div>
<div>
<br /></div>
<div>
Happy Detection!</div>
<div>
<br /></div>
<div>
Rodrigo "Sp0oKeR" Montoro</div>
<div class="blogger-post-footer">Sp0oKeR Labs</div>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-920941880988420853.post-20682556107644254482015-01-20T15:35:00.001-02:002015-01-20T15:35:26.566-02:00Videos: 2012 Red Hat Summit: Achieving top network performanceHoje assisti esse vídeo sobre performance e alguns testes que fazem na Redhat e achei bem interessante compartilhar.<br />
<br />
<br />
<iframe allowfullscreen="" frameborder="0" height="315" src="//www.youtube.com/embed/8S8V-RMnXkI" width="560"></iframe>
<br />
Na palestra ele comenta de testes de tuning de kernel, uso do netperf, Numa, lspci para usar o slot correto com o hardware, ferramentas como dropwatch, básico do sar para ver onde está possível gargalo além da rede, cstates / power management.<br />
<br />
Vale a pena investir os 50 min da palestra.<br />
<br />
Abs!<br />
<br />
Rodrigo "Sp0oKeR" Montoro <div class="blogger-post-footer">Sp0oKeR Labs</div>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-920941880988420853.post-4050637704342978062015-01-08T16:19:00.003-02:002015-01-08T16:20:15.809-02:00Vídeos: Behavior Based Security with Repsheet: Aaron Bedra @nginxconf 2014Prometi que assisterei várias horas de palestras, vídeos da área TI/Segurança por mês e compartilharei o que assistir aqui. Postarei links do que assistir, algumas vezes resumos ou simples comandos que achar interessante.<br />
<br />
Hoje pela manhã assisti esse vídeo da NGINX conference (quero ir nela em 2015, ano passado foi a primeira) bem interessante falando sobre Behavior para detectar usuários maliciosos. Peguei alguns insights interessante que tentarei usar para o meu mundo, visto que na <a href="http://www.sucuri.net/" target="_blank">Sucuri</a> atendemos múltiplos clientes e não tenho como ser tão especifico como ele no site do Groupon.<br />
<br />
<iframe allowfullscreen="" frameborder="0" height="315" src="//www.youtube.com/embed/9AyaVxzqYoA" width="560"></iframe>
<br />
O projeto pode ser acessado aqui: <a href="https://github.com/repsheet/">https://github.com/repsheet/</a><br />
<br />
Esse ano postarei bastante, acompanhem o blog =)<br />
<br />
Happy Detection! <div class="blogger-post-footer">Sp0oKeR Labs</div>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-920941880988420853.post-19814039069288285312014-10-28T09:48:00.002-02:002014-10-28T09:50:11.560-02:00Slides - Reversing Engineering a Web Application - For fun, behavior and detection Galera,<br />
Fiz essa apresentação no AppSec em Denver e na SecTor em Toronto. Segue os slides da mesma:<br />
<br />
<iframe src="http://www.slideshare.net/spookerlabs/slideshelf" width="615px" height="470px" frameborder="0" marginwidth="0" marginheight="0" scrolling="no" style="border:none;" allowfullscreen webkitallowfullscreen mozallowfullscreen></iframe><br />
<br />
Happy Detection!<br />
<br />
Rodrigo Montoro<div class="blogger-post-footer">Sp0oKeR Labs</div>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-920941880988420853.post-70694542570606656122014-09-21T15:30:00.000-03:002014-10-08T15:49:26.707-03:00Treinamento Intrusion Detection - Snort + OSSEC<span style="font-size: small;"><span style="font-family: inherit;">Caros,</span></span><br />
<br />
<span style="font-size: small;"><span style="font-family: inherit;">Estou lançando meu treinamento de OSSEC, mas aproveitando e adicionando um combo especial para os interessados. O combo completo terá por volta de 80 h, será um treinamento bem longo, mas interessante e com muitos laboratórios e prática.</span></span><br />
<br />
<span style="font-size: small;"><span style="font-family: inherit;">A grade do treinamento de OSSEC será:</span></span><br />
<span style="font-size: small;"><span style="font-family: inherit;"><br />
1. Entendo funcionamento <span class="il">OSSEC</span> HIDS x NIDS<br />
1.1. Funcionalidades <span class="il">OSSEC</span><br />
1.2. Modos instalação<br />
1.3. Sistemas suportados<br />
2. Instalando o <span class="il">OSSEC</span><br />
2.1. Requisitos<br />
2.2. Modos instalação Local / Agente / Servidor<br />
2.3. Replicando instalação<br />
3. Configurações <span class="il">OSSEC</span><br />
3.1. Cliente e Servidor<br />
3.2. Alertas<br />
3.3. Regras<br />
4. Decoders/Regras<br />
4.1. Entendendo os Decoders<br />
4.2. Entendendo as Regras<br />
4.3. Linkando decoders e regras<br />
5. Sistema de Integridade e detecção de rootkits<br />
5.1. O que é um rootkit?<br />
5.2. Como funciona a detecção de rootkit do <span class="il">ossec</span><br />
5.3. Monitorando a integridade de seu sistema (HIMS)<br />
6. Active Response<br />
6.1. Active Response disponíveis<br />
6.2. Configuração de Active Response<br />
6.3. Ferramentas Active Response<br />
7.Usando interface web<br />
7.1. Instalando a interface web<br />
7.2. Analisando e pesquisando eventos</span></span><br />
<span style="font-size: small;"><span style="font-family: inherit;">8. Integração básica Elastic Se<span style="font-family: inherit;">arch / Ki<span style="font-family: inherit;">bana</span></span> </span></span><br />
<br />
<br />
<span style="font-size: small;"><span style="font-family: inherit;">O conteúdo do treinamento Snort será a mesma base do passado, somente teremos um visão geral do Open AppID ( <a href="http://blog.snort.org/2014/02/snort-2970-alpha-with-openappid-quick.html">http://blog.snort.org/2014/02/snort-2970-alpha-with-openappid-quick.html</a> )</span></span><br />
<br />
<div class="MsoNormal">
<span style="font-size: small;"><span style="font-family: inherit;">1-) Introdução a protocolos <br />
2-) Mundo IDS ( NDIS, HIDS , WIDS , KIDS)<br />
3-) Atacantes<br />
4-) Como funciona o Snort<br />
5-) Entendendo a aquisição de dados (DAQ)<br />
6-) Posicionamento dos sensores<br />
7-) Decoders<br />
8-) Preprocessadores (teoria e prática)</span></span></div>
<span style="font-size: small;"><span style="font-family: inherit;">
</span></span>
<br />
<div class="MsoNormal">
<span style="font-size: small;"><span style="font-family: inherit;">
- Frag3<br />
- Stream5<br />
- sfPortScan<br /> - SMTP/POP/IMAP<br />
- Arp Spoof<br />
- HTTP Inspect<br />
- DCE/RPC2<br /> - Sensitive Data<br />
- IP Reputation<br />
<br />9-) Analise de performance
<br /> - Performance das regras<br />
- Performance dos preprocessadores<br />
- Performance pacotes</span></span></div>
<span style="font-size: small;"><span style="font-family: inherit;">
</span></span>
<br />
<div class="MsoNormal">
<span style="font-size: small;"><span style="font-family: inherit;"><br />
10-) Output<br />
- Syslog<br /> - Unified 2<br />
<br />
11-) Host Attribute Table<br />
12-) Configurações Múltiplas<br />
13-) Escrevendo e lendo regras para o Snort<br /> - Básico<br />
- Cabeçalho<br />
- Opções de Regra<br />
- Genericas<br />
- Payload<br />
- Non-Payload<br />
- Após detecção / Resposta Ativa<br />
<br />
14-) Regras Shared Object<br />
15-) PulledPork – Atualização de Regas<br />
16-) Interface de Gerenciamento de Alertas / Dicas de analise de incidentes –
Snorby<br />
17-) Dicas finais</span></span></div>
<div class="MsoNormal">
</div>
<div class="MsoNormal">
<u><b><span style="font-size: small;"><span style="font-family: inherit;">Datas e investimentos:</span></span></b></u></div>
<div class="MsoNormal">
</div>
<div class="MsoNormal">
<span style="font-size: small;"><span style="font-family: inherit;">Início: 28 Outubro 2014 (será iniciado com treinamento de Snort e na sequência teremos do OSSEC)</span></span></div>
<div class="MsoNormal">
<span style="font-size: small;"><span style="font-family: inherit;">Aulas às Terças e Quintas das 19:30 até as 21:30. </span></span></div>
<div class="MsoNormal">
<span style="font-size: small;"><span style="font-family: inherit;">Valor do treinamento completo* (OSSEC + Snort): R$ 1750,00 (parceláveis no PagSeguro)</span></span></div>
<div class="MsoNormal">
<span style="font-size: small;"><span style="font-family: inherit;">Formato EaD utilizando GoToMeeting.</span></span></div>
<div class="MsoNormal">
<span style="font-size: small;"><span style="font-family: inherit;">Total do treinamento: 80 horas (40 horas por treinamento) </span></span></div>
<div class="MsoNormal">
<span style="font-size: small;"><span style="font-family: inherit;">É necessário o mínimo de 6 aulas por curso para que o mesmo aconteça. </span></span></div>
<div class="MsoNormal">
<span style="font-size: small;"><span style="font-family: inherit;"><br /></span></span></div>
<div class="MsoNormal">
<span style="font-size: small;"><span style="font-family: inherit;">* O valor de cada treinamento separado caso tenha interesse em somente 1 deles será de R$1100,00 reais.</span></span></div>
<div class="MsoNormal">
</div>
<div class="MsoNormal">
<span style="font-size: small;"><span style="font-family: inherit;">** Alunos antigos do treinamento de Snort terão desconto de 10% no valor do treinamento OSSEC.</span></span></div>
<div class="MsoNormal">
</div>
<div class="MsoNormal">
<strike><span style="font-size: small;"><span style="font-family: inherit;">*** Pagamentos realizado até final de setembro terá um extra de 10% de desconto (R$1575,00)</span></span></strike></div>
<div class="MsoNormal">
</div>
<div class="MsoNormal">
<strike><span style="font-size: small;"><span style="font-family: inherit;">**** Caso seja aluno antigo do treinamento Snort e pague até final de setembro, terá um desconto total de 20%. (R$880,00)</span></span></strike></div>
<div class="MsoNormal">
</div>
<div class="MsoNormal">
<span style="font-size: small;"><span style="font-family: inherit;">
<!-- FINAL FORMULARIO BOTAO PAGSEGURO --></span></span>
<span style="font-size: small;"><span style="font-family: inherit;"><br /></span></span>
<span style="font-size: small;"><span style="font-family: inherit;">Para pagamento <span style="font-family: inherit;">via DOC/TED será cobrado R$1<span style="font-family: inherit;">5<span style="font-family: inherit;">5</span></span>0,00, pedir dados via e-mail em <b>spooker@gmail.com</b></span></span></span></div>
<div class="MsoNormal">
<br />
<u><b><span style="font-size: small;"><span style="font-family: inherit;">Sobre o instrutor:</span></span></b></u></div>
<div class="MsoNormal">
<span style="font-size: small;"><span style="font-family: inherit;"></span></span><br />
<span style="font-size: small;"><span style="font-family: inherit;">Rodrigo "Sp0oKeR Montoro é certificado
LPI, RHCE e SnortCP com 15 anos de experiência em sistema de segurança
opensource (firewalls, NIDS, IPS, HIDS, Análise de logs) e hardening de
sistemas. Atualmente trabalha como administrator de Segurança Senior na <a href="http://www.sucuri.net/" target="_blank">Sucuri Security</a>
onde geren<span style="font-family: inherit;">cia alg<span style="font-family: inherit;">umas dezenas de OSSEC que geram mais de 4 milhões de eventos diariamente. </span></span>Anterior trabalhou na área de pesquisa onde onde focou seu
trabalho em assinaturas para Sistema de
Detecção de Intrusos, Modsecurity e realizou pesquisas para novos
métodos
de detecção de atividades maliciosas .
Autor de 2 patentes requeridas envolvendo uma técnica para descobrir
documentos digitais maliciosos e análise de cabeçalhos HTTP para
detectar tráfego malicioso. É coordenador e evangelizador na
Comunidade Snort Brasil na qual fundou em 2005. Rodrigo já palestrou em
inúmeras conferencias opensource (FISL, Conisli, Latinoware) e de
segurança Brasil e
EUA (OWASP Appsec (EUA e Brasil), Toorcon (EUA), H2HC (São Paulo e Cancun), SecTor
(Canada), CNASI, Source Boston 2012/2013 e Seattle (EUA), ZonCon
(Conferencia Interna da Amazon) Bsides (São Paulo e Las Vegas)) e é coordenador de um projeto
para criação de um conjunto de regras para o sistema de detecção de
intrusos Snort para malwares Brasileiros.</span></span><br />
</div>
<div class="MsoNormal">
</div>
<div class="MsoNormal">
<span style="font-size: small;"><span style="font-family: inherit;"><u><b>Cadastro de interesse pode ser feito aqui:<a href="https://www.blogger.com/goog_1377478722"> </a></b></u><a href="https://docs.google.com/spreadsheet/viewform?formkey=dGFfWm1rT0V1dUtyeTMtUXhJRTNIRkE6MA&ifq" target="_blank">Formulário Cadastro</a></span></span></div>
<br />
<span style="font-size: small;"><span style="font-family: inherit;">Happy Detection!</span></span><br />
<br />
<span style="font-size: small;"><span style="font-family: inherit;">Rodrigo "Sp0oKeR" Montoro </span></span><div class="blogger-post-footer">Sp0oKeR Labs</div>Unknownnoreply@blogger.com2tag:blogger.com,1999:blog-920941880988420853.post-74998261878706296152014-05-06T09:33:00.000-03:002014-05-06T09:33:12.931-03:00Reboot automático após Kernel Panic ( /proc/sys/kernel/panic )<div align="justify">
No meio dos meus estudos de tuning do kernel do linux, em especial estudando parte de redes, me deparei com uma opção nada relacionada com redes, mas o nome me chamou atenção.<br />
<br />
<i><b>kernel.panic</b></i><br />
<br />
Fui dar uma pesquisa e achei ela fantástica, pois além de ridicula de configurar, salvará muita gente que trabalha remoto.<br />
<br />
Basicamente a função desse parametro é rebootar a máquina após N segundos quando ocorrer um Kernel Panic.<br />
<br />
Por padrão essa opção é desativada, sinceramente não sei porquê.<br />
<br />
<i><b>root@spookerhome:/# cat /proc/sys/kernel/panic<br />0<br />root@spookerhome:/#</b></i><br />
<br />
Basicamente você pode alterar usando o sysctl (lembrando de deixar salvo no sysctl.conf) ou dando um echo para o runtime do kernel, mas perderá após o reboot.<br />
<br />
Grande maioria já deva conhecer, não sei em que versão do Kernel isso foi adicionado, mas certamente estará configurado em todos meus servidores =)<br />
<br />
Mais info e opções: <a href="https://www.kernel.org/doc/Documentation/sysctl/kernel.txt">https://www.kernel.org/doc/Documentation/sysctl/kernel.txt</a><br />
<br />
Happy Networking!<br />
<br />
Rodrigo "Sp0oKeR" Montoro<br />
</div>
<div class="blogger-post-footer">Sp0oKeR Labs</div>Unknownnoreply@blogger.com1tag:blogger.com,1999:blog-920941880988420853.post-17598680667394682082014-04-29T11:31:00.001-03:002014-04-29T11:31:43.085-03:00Slides palestra - SCAP ( Security Content Automation Protocol ) / OpenScap validado NISTPalestrei no início de Abril na Bsides São Paulo sobre SCAP / OpenScap. Os slides podem ser acessados na URL abaixo:<br />
<br />
<a href="http://www.slideshare.net/spookerlabs/scap-security-content-automation-protocol-na-bsides2014">http://www.slideshare.net/spookerlabs/scap-security-content-automation-protocol-na-bsides2014</a><br />
<br />
Hoje vi a notícia que o OpenScap agora é validado pelo NIST e se tornou o terceiro produto compatível com SCAP 1.2.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjuO4jubDZ_ucOQyXc7ZaIsbihne4PQQNe-ssSwSLs6qMPdo0FmjqNmn61Rb2KJnW0TBXk84dsnJOhQdAuSH99DjaAsQE3Mu_s8Bq7qbdk0xgWG1BRJydQ7hw_VeVuORrI6uJkE1_r-JNLo/s1600/scap-products.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjuO4jubDZ_ucOQyXc7ZaIsbihne4PQQNe-ssSwSLs6qMPdo0FmjqNmn61Rb2KJnW0TBXk84dsnJOhQdAuSH99DjaAsQE3Mu_s8Bq7qbdk0xgWG1BRJydQ7hw_VeVuORrI6uJkE1_r-JNLo/s1600/scap-products.jpg" height="95" width="400" /></a></div>
<br />
<br />
Notícia da certificado do NIST - <a href="http://www.redhat.com/about/news/press-archive/2014/4/red-hat-continues-to-drive-open-security-standards-openscap-receives-nist-certification" target="_blank">http://www.redhat.com/about/news/press-archive/2014/4/red-hat-continues-to-drive-open-security-standards-openscap-receives-nist-certification</a><br />
<br />
O OpenScap é uma ferramente a ser utilizada, poderosa, gratuita e editável =)<br />
<br />
Site da ferramenta: <a href="http://open-scap.org/page/Main_Page">http://open-scap.org/page/Main_Page</a><br />
<br />
Parabéns aos envolvidos no desenvolvimento e contribuições.<br />
<br />
Happy Protection!<br />
<br />
Rodrigo "Sp0oKeR" Montoro<br />
<br />
<br /><div class="blogger-post-footer">Sp0oKeR Labs</div>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-920941880988420853.post-70581417159778122552014-04-23T14:32:00.004-03:002014-04-23T14:32:55.415-03:00 Comando ss (Socket Statistics) - Analisando conexõesAgora de volta para área técnica, vou tentar postar nerdisses de sysadmin e segurança que for achando no dia a dia, logicamente postar no modo raw, sem muita frescura. O que estou postando aqui não é nenhuma novidade e possivelmente muitos já conhecem, mas posto até para fixar conhecimento =)!<br />
<br />
Pesquisando sobre alguns tuning, acabei me deparando sem querer com o comando ss. O comando ss ( socket statistics ) faz parte do pacote iproute2, ou seja, você provavelmente tem ele instalado na sua máquina.<br />
<br />
Alguns comandos:<br />
<br />
Bom e velho help =)<br />
<br />
<i>[root@spookerlabs ~]# ss -h<br />Usage: ss [ OPTIONS ]<br /> ss [ OPTIONS ] [ FILTER ]<br /> -h, --help this message<br /> -V, --version output version information<br /> -n, --numeric don't resolve service names<br /> -r, --resolve resolve host names<br /> -a, --all display all sockets<br /> -l, --listening display listening sockets<br /> -o, --options show timer information<br /> -e, --extended show detailed socket information<br /> -m, --memory show socket memory usage<br /> -p, --processes show process using socket<br /> -i, --info show internal TCP information<br /> -s, --summary show socket usage summary<br /> -b, --bpf show bpf filter socket information<br /><br /> -4, --ipv4 display only IP version 4 sockets<br /> -6, --ipv6 display only IP version 6 sockets<br /> -0, --packet display PACKET sockets<br /> -t, --tcp display only TCP sockets<br /> -u, --udp display only UDP sockets<br /> -d, --dccp display only DCCP sockets<br /> -w, --raw display only RAW sockets<br /> -x, --unix display only Unix domain sockets<br /> -f, --family=FAMILY display sockets of type FAMILY</i><br />
<i> -A, --query=QUERY, --socket=QUERY<br /> QUERY := {all|inet|tcp|udp|raw|unix|packet|netlink}[,QUERY]</i><br />
<i> -D, --diag=FILE Dump raw information about TCP sockets to FILE<br /> -F, --filter=FILE read filter information from FILE<br /> FILTER := [ state TCP-STATE ] [ EXPRESSION ]<br />[root@spookerlabs ~]#</i><br />
<br />
Sumário sockets<br />
<br />
<b>[root@spookerlabs ~]# ss -s<br />Total: 99 (kernel 268)<br />TCP: 7 (estab 1, closed 2, orphaned 0, synrecv 0, timewait 0/0), ports 0<br /><br />Transport Total IP IPv6<br />* 268 - - <br />RAW 0 0 0 <br />UDP 7 4 3 <br />TCP 5 2 3 <br />INET 12 6 6 <br />FRAG 0 0 0 <br /><br />[root@spookerlabs ~]#</b><br />
<br />
Portas em Listen em TCP<br />
<br />
<b>[root@spookerlabs ~]# ss -lt<br />State Recv-Q Send-Q Local Address:Port Peer Address:Port <br />LISTEN 0 128 *:ssh *:* <br />LISTEN 0 128 :::http :::* <br />LISTEN 0 128 :::ssh :::* <br />LISTEN 0 128 :::https :::* <br />[root@spookerlabs ~]# </b><br /><br />
<br />
Listando conexões baseadas no estado<br />
1. established<br />2. syn-sent<br />3. syn-recv<br />4. fin-wait-1<br />5. fin-wait-2<br />6. time-wait<br />7. closed<br />8. close-wait<br />9. last-ack<br />10. closing<br />11. all - All of the above states<br />12. connected - All the states except for listen and closed<br />13. synchronized - All the connected states except for syn-sent<br />14. bucket - Show states, which are maintained as minisockets, i.e. time-wait and syn-recv.<br />15. big - Opposite to bucket state.<br />
<br />
Exemplo ESTABLISHED<br />
<br />
<b>[root@spookerlabs ~]# ss -t state ESTABLISHED<br />Recv-Q Send-Q Local Address:Port Peer Address:Port <br />0 88 23.NN.XX.YYY:ssh 179.252.XXX.YY:59858 <br />[root@spookerlabs ~]# </b><br />
<br />
Lembrando que esses são os estados das conexões e quando for fazer um tuning de parametros de protocolo no kernel, é legal ver o que realmente esta acontecendo antes de sair mudando valores com receitas de bolos na internet.<br />
<br /><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiYmxZ9WE4ji-kdNoN6hq5B6O_m9QUDJvh_IKz44gFyfYzl3I3PhDruzCN23-YagHdRO3ucPUToGflXZ7EH6fuw2jmx2NgqeM64JctoCcwo0MA55J5w1eufLb_7aPN47LL9H-MrzFJeLgGU/s1600/tcpStateDiagram1.gif" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiYmxZ9WE4ji-kdNoN6hq5B6O_m9QUDJvh_IKz44gFyfYzl3I3PhDruzCN23-YagHdRO3ucPUToGflXZ7EH6fuw2jmx2NgqeM64JctoCcwo0MA55J5w1eufLb_7aPN47LL9H-MrzFJeLgGU/s1600/tcpStateDiagram1.gif" height="385" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Fonte bnl.gov</td></tr>
</tbody></table>
<br />
<br />
E por útlimo, ele da estatísticas do protocolo que realmente num troubleshooting salvarão o dia (mas exige um nível de nerds mais a fundo =D ):<br />
<br />
<b>[root@spookerlabs ~]# ss -t state ESTABLISHED -i<br />Recv-Q Send-Q Local Address:Port Peer Address:Port <br />0 72 23.239.24.120:ssh 179.252.240.234:59858 <br /> <span style="color: red;"> cubic wscale:4,7 rto:423.333 rtt:213.333/17.5 ato:40 mss:1440 cwnd:9 ssthresh:8 send 486.0Kbps unacked:2 retrans:0/2 rcv_rtt:300 rcv_space:28960</span><br />[root@spookerlabs ~]# </b><br />
<br />
Alguns links e fontes:<br />
<br />
<a href="http://linuxaria.com/pills/ss-iproute2-linux?lang=en">http://linuxaria.com/pills/ss-iproute2-linux?lang=en</a><br />
<a href="http://www.binarytides.com/linux-ss-command/">http://www.binarytides.com/linux-ss-command/</a><br />
<a href="http://www.cyberciti.biz/tips/linux-investigate-sockets-network-connections.html" target="_blank">http://www.cyberciti.biz/tips/linux-investigate-sockets-network-connections.html </a><br />
<br />
Vou dar uma melhor estudada nos parâmetros listados no último comando para fazer uma postagem decente referente a eles, se souberem de materiais por favor enviem via e-mail ou comentários.<br />
<br />
Happy Networking!<br />
<br />
Rodrigo "Sp0oKeR" Montoro<br />
<br /><div class="blogger-post-footer">Sp0oKeR Labs</div>Unknownnoreply@blogger.com0