8/11/2016

Gur de la informtica: Pharming

Gur de la informtica
En este blog informtico est reflejada mi experiencia en el mundo de la informtica. Mis publicaciones sern sobre
seguridad informtica e Internet. Las tcnicas y herramientas aqu explicadas son para fomentar la seguridad de la
informacin dentro de la filosofa del hacking tico. En lnea desde 2005.
Inicio

Autor

Contacto

Twitter

Facebook

Google+

Artculos

Foro

Libro de visitas

Mostrando entradas con la etiqueta Pharming. Mostrar todas las entradas

mircoles, julio 08, 2015

Estudiar hbitos de navegacin en servidor DNS para detectar posibles amenazas.
Estudiar los hbitos de navegacin de los usuarios de una red, en las estadsticas del servidor DNS,
puede ayudar a detectar amenazas como: malware, ordenadores zombie pertenecientes botnets,
phishing, pharming... En este post tratare de dos herramientas ideales para este cometido, una para
generar estadsticas grficas y otra para investigar a fondo los resultados sospechosos de estas
estadsticas.
Para generar estadsticas grficas DSC, es un sistema para la recogida y exploracin de las
estadsticas de los servidores DNS en funcionamiento. Actualmente cuenta con dos componentes
principales:
Colector, el proceso colector utiliza libpcap para recibir
mensajes DNS enviados y recibidos en una interfaz de red.
Se puede ejecutar en la misma mquina que el servidor
DNS, o en otro sistema conectado a un conmutador de red
configurado para realizar puerto espejo. Un archivo de
configuracin define un nmero de conjuntos de datos y
otras opciones. Los conjuntos de datos son guardados en
disco cada 60 segundos como archivos XML. Los archivos
XML son enviados mediante una tarea programada a un
servidor independiente para ser archivados y
posteriormente ser procesados.
Presentacin, este componente recibe conjuntos de datos XML del colector. La tarea de
analizar archivos XML es lenta, debido a un proceso de extraccin que los convierte a otro
formato. Actualmente ese formato es un archivo de texto basado en lnea.
Dsc utiliza un script CGI para mostrar los datos en un navegador web. La interfaz permite cambiar las
escalas de tiempo, seleccionar los nodos particulares dentro de un clster de servidores y aislar las
claves de conjuntos de datos individuales.
Mas informacin y descarga de dsc:
http://dns.measurement-factory.com/tools/dsc/
Cuando en este generador de estadsticas encontramos dominios o consultas sospechosos. Podemos
investigar mejor los datos con dnstop.
Dnstop es una aplicacin libpcap que muestra diversas estadsticas de trfico DNS en la red.
Actualmente dnstop muestra tablas de:
Direcciones IP de origen.
Las direcciones IP de destino.
Los tipos de consulta.
Los cdigos de respuesta.
Opcodes.
Dominios de nivel superior.
Dominios de segundo nivel.
Dominios de tercer nivel.
Dnstop soporta tanto las direcciones IPv4 e Ipv6. Su principal cometido es ayudar a encontrar las
consultas DNS especialmente indeseables a travs de una serie de filtros. Los filtros sirven para
mostrar slo las siguientes tipos de consultas:
Para TLD desconocidos o no vlidos.
Consultas donde el nombre de la consulta ya es una direccin IP.

http://www.gurudelainformatica.es/search/label/Pharming

Poltica de cookies

Premios

Traductor/Translator
Seleccionar idioma

Buscar en este blog:

Buscar

Redes sociales
lvaro Paz

270

Seguir a @gurudelainf

Me gusta

1208

Gur de la informtica
Seguir

99 nos tienen en sus crculos.

Ver todo

Entradas populares
Herramienta de: ingeniera inversa,
generacin de trfico y fuzzing de
protocolos de comunicacin de red.
Netzob es una herramienta de cdigo
abierto para: ingeniera inversa,
generacin de trfico y fuzzing de
protocolos de comunicacin de red....
Honeypot para ataques de Google
Hacking.
GHH es la reaccin a un nuevo tipo de
trfico web malicioso: los atacantes que
utilizan los motores de bsqueda para
atacar Webs. GHH es un...
Kit que proporciona mdulos para
Metasploit de test de penetracin para las
redes VoIP.
Viproy es un kit que proporciona mdulos
para Metasploit de test de penetracin
para las redes VoIP. Est desarrollado
para las pruebas de ...
Herramienta para escanear metadatos y
agruparlos en una nube de tags.
Los metadatos, es la informacin
insertada en los archivos por el software
de edicin o creacin de los mismos,
ests metadatos contienen i...
IDS ideal para redes de alta capacidad.
Bro es un analizador de trfico de red
pasivo y de cdigo abierto. Se trata
principalmente de un IDS que inspecciona

1/10

8/11/2016

Gur de la informtica: Pharming

todo el trfico en pro...

Consultas PTR para espacio de direcciones RFC1918.

Respuestas con cdigo rechazados.
Dnstop puede o bien leer los paquetes capturados desde un interfaz de red o de un archivo de captura
tcpdump.
Ms informacin y descarga de dnstop:
http://dns.measurement-factory.com/tools/dnstop/index.html

Visitas ltimos 30 das

3 1 0 6 3
Seguir por e-mail

Con las estadsticas grficas de dsc resulta mas practico detectar amenazas en consultas DNS. Una
vez detectadas estas amenazas se puede obtener mas informacin de estas consultas concretas con
dnstop. Al obtener resultados sobre posible dominios sospechosos podemos consultar su reputacin en
una blacklist y analizar dicho dominio con un servicio online antivirus.

Email address...

Submit

Suscribirse
Entradas

Blaclist de dominios online:

http://mxtoolbox.com/domain/

Comentarios

Servicio online antivirus:

https://sucuri.net/scanner

Enlaces Seguridad Informtica

Post anteriormente publicados en este blog relacionados con seguridad en servidores DNS:
Herramientas para auditar seguridad de servidores DNS:
http://www.gurudelainformatica.es/2015/06/herramientas-para-auditar-seguridad-de.html
Obtener hbitos de navegacin de servidor DNS con tcnicas de DNS Snooper.
http://www.gurudelainformatica.es/2015/01/obtener-habitos-de-navegacion-de.html
+3 Recomendar esto en Google

Publicado por lvaro Paz

2 comentarios

en mircoles, julio 08, 2015

Un informtico del lado del mal

Blog del laboratorio de hispasec
Apuntes de seguridad de la informacin
Security A(r)work
Hacktimes
SEGU-INFO
Blog S21sec
La Comunidad DragonJAR
Blog de informtica en general
Seguridad de la Informacin y Auditora
de Sistemas
Security By Default
UN TAL 4N0NYM0US EN EL PC

Etiquetas: Linux, Malware, Pharming, Phishing, Redes, Seguridad, Windows

Archivo del blog

martes, diciembre 09, 2014
Marco actual de incidencias de Seguridad Informtica.
El mundo est cada vez ms conectado electrnicamente, la expansin de los mercados y la
reduccin de los obstculos, a la hora, de hacer negocios a travs de las fronteras. Los servicios
pueden ser organizados en cualquier lugar y los clientes se pueden servir desde cualquier lugar. Los
territorios con mercados emergentes a menudo carecen de un adecuado control del cliente, sin
embargo las tasas de infeccin de malware son altas. Cuando estos clientes infectados con malware
son dirigidos por un mando y control centralizado, se convierten en "botnets. El gran nmero de
mquinas que suelen participar en botnets proporciona una enorme capacidad de generacin de carga,
que se puede alquilar a bajo precio, por cualquiera de las partes, con un inters en la interrupcin de los
servicios de un competidor o un objetivo poltico.
Las Botnets globales de hoy en da estn utilizando ataques distribuidos de denegacin de servicios
(DDoS) a: servicios web y aplicaciones, a menudo, todo al mismo tiempo. A pesar de los ataques DDoS
han estado con nosotros durante dcadas, el alcance, la naturaleza y magnitud del espectro de
amenazas DDoS han evolucionado significativamente con el tiempo.

Las Botnets y ordenadores Zombi.

Ests ordenadores durmientes suelen ser infectados mediante correos electrnicos o malware de
paginas Web y suelen ser utilizados para atacar servidores sincronizada mente para saturarlos o
dedicarse a envos masivos spam.
Parece increble, pero la mayor parte de estas de personas que tienen sus ordenadores infectados sin
darse cuenta, pueden solucionar su problema fcilmente teniendo un antivirus, un firewall, programa
anti-espa (escaneando el sistema una vez a la semana) y actualizar peridicamente dichos programas
y el sistema operativo.
Detectar ordenadores zombis en la red local con BotHunter
(http://www.bothunter.net/) es una herramienta pasiva de supervisin
de red, diseada para reconocer los patrones de comunicacin de
computadoras infectadas por malware dentro de un permetro de red.
BotHunter est diseado para seguir los flujos de comunicacin entre
los activos internos y las entidades externas de una botnet, buscando
el rastro de evidencias de los intercambios de datos que se producen
en la secuencia de infeccin del malware. BotHunter consiste en un motor basado en: partes del motor
de la versin 2 de Snort y algunas mejoras. Este motor analiza las acciones que ocurren durante el
proceso de infeccin del malware:

Archivo del blog

Etiquetas

Seguridad (304)

Redes (138)
Linux (137) Windows (112) Test
penetracin (67) Malware (61)
Auditoria (54) Defensa perimetral (33)
Informtica Forense (33) Antivirus (19)
DDoS (19) Ciberataques (18) IDS (18)
Cibercriminales
(17)
Firewall
(17)
Seguridad Android (17) WiFi (17)
Raspberry Pi (15) SCADA (15) Honeypot
(14) VoIP (14) Fingerprinting (13) SQL
injection (13) Mac OS X (10) SIEM (10)
SSL (10) Snort (10) Spam (10) Metadatos
(9) Borrado Seguro (8) LiveCD Seguridad (8)
Phishing (8) Sandbox (8) Fuzzing (7) Hardening
(7) Redes de alta capacidad (7) Esteganografia
(6) Footprinting (6) Recuperacin de datos (6)
Rootkit (6) Seguridad iPhone (6) Stress test (6)
Bluetooth (5) MITM (5) Pharming (5) MPLS (4)
Privacidad (4) Google Hacking (3) Joomla! (3)
Keylogger (3) Spyware (3) Twitter (3)
Ciberseguridad

(2)

Disponibilidad

(2)

Drone

(2)

Facebook (2) Fuerza bruta (2) Ingeniera inversa (2)

WhatsApp (2) WordPress (2) BGP (1) Bing Hacking (1)
Cluster (1) Ransomw are (1) VPN (1)

Google+

IBSN

Gracias por su visita. Este Blog sobre

Se guridad Informtica est bajo una
licencia de Creative Commons

Exploracin del anfitrin.

http://www.gurudelainformatica.es/search/label/Pharming

2/10

8/11/2016

Gur de la informtica: Pharming

Uso de exploit de ataque.
Transferencia del software de control al sistema anfitrin.
Dilogo del malware con el servidor C&C, encargado de la coordinacin y control del mismo.
Propagacin del malware atacando otros host de la red.
Comunicacin con la botnet usando P2P (en el pasado usaban para comunicarse el
protocolo IRC).

Despus de comparar estas acciones con los patrones de infeccin que tiene en su base de datos, si
coincide, es detectada como infeccin. Entonces BotHunter realiza un informe detallado con todos los
acontecimientos y fuentes que desempearon un papel durante el proceso de la infeccin. BotHunter no
es solo una herramienta ideal para la deteccin de ordenadores zombis en redes locales, tambin sirve
para investigar las fases de infeccin del malware.

Phishing y Pharming.
El Phishing consiste en el envo de correos electrnicos que simulando proceder de fuentes fiables (por
ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario. Para ello, suelen incluir
un enlace que al ser pulsado, lleva a pginas Web falsas. De esta manera, el usuario, creyendo estar en
un sitio de toda confianza, introduce la informacin solicitada que en realidad, va a parar a manos del
estafador. La mayora de los ataques Phishing son consecuencia de las masivas infecciones de
ordenadores zombie. Las redes formadas por los troyanos(botnet) que convierten el sistema en un
zombie, son utilizadas para el envi de spam y phishing, ya que as se escudan en personas que no son
conscientes de su infeccin para realizar ests ataques.
El Pharming se trata de una tctica fraudulenta que consiste en cambiar los contenidos del DNS ya sea
a travs de la configuracin del protocolo TCP/IP o del archivo lmhost (que acta como una cach
local de nombres de servidores Windows), para redirigir los navegadores a pginas falsas en lugar de
las autnticas cuando el usuario accede a las mismas a travs de su navegador. Adems, en caso de
que el usuario afectado por el pharming navegue a travs de un proxy para garantizar su anonimato, la
resolucin de nombres del DNS del proxy puede verse afectada de forma que todos los usuarios que lo
utilicen sean conducidos al servidor falso en lugar del legtimo.
PhishBlock (http://phishblock.org/) es un programa de seguridad que detecta y bloquea phishing y
pharming, con patrones que coincidan con las bases de datos, empleando referencias como:
direcciones URL, nombres de host DNS y direcciones IP. Este programa detecta y bloquea: URLs de
malware, anfitriones calificados como daios y direcciones IP. Recientemente, la mayora de los
cdigos maliciosos se entregan de forma encubierta a los usuarios a travs de los anuncios de: Google,
SNS, Blogs, BBS que los usuarios visitan con frecuencia. Y despus de inyectar los cdigos maliciosos
pasan a forma parte de una botnet.
PhishBlock detecta y bloquea archivos dainos que intentan infectar el sistema a travs de la red
mediante el uso de un controlador de filtro de red. Adems, ocupa muy poca memoria y el controlador
de filtro de red no afecta al rendimiento de la red o de uso de la CPU.
Caractersticas principales:
Detecta y bloquea Phishing y malware basado en URL.
Detectar y bloquea C & C Server (botnet) sobre la base de nombres DNS del host y
direcciones IP.
Detecta y bloquea: fraude, estafa, DDos, falsos contenidos basados en URL y los nombres
DNS del host.
Permite definir las direcciones URL y los Hosts que estn infectadas por malware por los
usuarios. Y compartir estas definiciones con otros usuarios.
Permite verificar si los datos compartidos son malware o no.
Escaneado en busca de malware la cach del navegador con Yara (6,000 reglas).
Los contenidos de bases de datos son de las fuentes: PhishTank.com, Spam404.com,
ClamAV.net...
PhishBlock esta disponible para sistemas Windows: XP, 2003, Vista, Win7, Win8... Y actualmente en
fase de desarrollo para Linux y MacOS.

Ataques de denegacin de servicios.

En seguridad informtica los ataques de denegacin de servicios afectan gravemente a la disponibilidad,
un factor muy importante que normalmente se le suele menospreciar. Entendemos por disponibilidad a
la garanta de que los usuarios autorizados puedan acceder a la informacin y recursos de red cuando
los necesiten.
Por eso es necesario hacer Strees test (pruebas de carga) de nuestros servicios de red para
comprobar la disponibilidad ante un ataque de denegacin de servicios. Aqu les dejo herramientas, de
cdigo abierto, para realizar pruebas de carga a diferentes servicios y dispositivos de red.
Blast (http://www.mcafee.com/us/downloads/free-tools/blast.aspx).

http://www.gurudelainformatica.es/search/label/Pharming

3/10

8/11/2016

Gur de la informtica: Pharming

Es una pequea herramienta de prueba de esfuerzo en el protocolo TCP. Blast es rpida y efectiva y
puede ayudar a detectar posibles deficiencias en los servidores de red.
Algunas caractersticas:
/trial aade la posibilidad de ver el buffer de entrada y salida.
/v agrega la opcin de mostrar salida en pantalla, desactivado por defecto
/nr no recibir despus iniciar conexin, existen servicios HTTP que no envan
la respuesta inicial, esto corrige el efecto de los tiempos de espera de HTTP
GET al enviar cadenas.
/dr agrega doble LF / CR 's de buffers (til para las solicitudes GET),
desactivado por defecto.
Ejemplos de modo de empleo:
Uso general.
blast xxx.xxx.xxx.xxx port startsize endsize /t rcvtimeout /d senddelay /b beginmsg /e endmsg /noret
Pruebas con servidores HTTP.
blast 134.134.134.4 80 40 50 /b "GET /some" /e "url/ HTTP/1.0" /nr /dr /v
Pruebas con servidores POP.
blast 134.134.134.4 110 15 20 /b "user te" /e "d" /v
FSMax (http://www.mcafee.com/us/downloads/free-tools/fsmax.aspx).
Una herramienta de pruebas de estrs de servicios de red, formada por secuencias de comandos. Esta
herramienta toma un archivo de texto como entrada y se ejecuta en un servidor a travs de una serie de
pruebas sobre la base de entrada. El propsito de esta herramienta es encontrar desbordamientos de
bfer, en un servidor.
Modo de empleo:
fsmax /s < script.txt > results.txt
Formato del script:
host:[direccin ip],[Puerto ],[min],[max] = parmetros del host.
Parmetros adicionales del host:
Timeout, ms que espera para la respuesta socket, por defecto = 0.
Delay, ms que espera antes de enviar rdenes, por defecto = 250.
Pause, ms que espera antes de recibir, por defecto = 0.
Retnum, nmero para poner fin al buffer CR / LF 's, por defecto es uno.
Reopen, reabrir la conexin antes de cada comando.
Norecv, no recibir despus iniciar conexin, por defecto est desactivado.
Verbose, visualizar en pantalla, por defecto desactivado.
Trial, mostrar buffer de entrada y salida en pantalla.
UDPFlood (http://www.mcafee.com/us/downloads/free-tools/udpflood.aspx).
Es un remitente de paquetes UDP. Enva paquetes UDP a una direccin IP, en un puerto determinado a
una velocidad controlable. Los paquetes pueden ser: de una cadena de texto mecanografiado, un
determinado nmero de bytes aleatorios o datos de un archivo.
WBox (http://hping.org/wbox/).
Es una herramienta para realizar pruebas de estrs, a servidores web y aplicaciones. Se puede utilizar
para realizar muchas tareas, incluyendo las siguientes:
Evaluacin comparativa del tiempo que se necesita para generar el contenido de la aplicacin web.
Realizar test de estrs a servidores y aplicaciones web.
Prueba de configuracin de dominios virtuales sin necesidad de alterar su resolucin local. Comprobar
si las redirecciones estn funcionando correctamente emitiendo el cdigo HTTP correcto. Comprobar si
la compresin HTTP est funcionando y si efectivamente est sirviendo pginas ms rpido.
Nsasoft Network Traffic Emulator
(http://www.nsauditor.com/network_tools/network_traffic_generator.html).
Nsasoft Network Traffic Emulator puede generar trafico IP / ICMP / TCP / UDP. Puede ser usado para
testear servidores, aunque su uso es ms indicado para routers y firewalls. Es muy sencillo y portable,
solo funciona en la plataforma Windows.
Tsung (http://tsung.erlang-projects.org/).
Tsung es una herramienta de prueba de carga. Puede ser utilizado para testear: HTTP, SOAP y los
servidores Jabber (soporta SSL). Simula el comportamiento de varios usuarios usando un archivo XML,
muestra muchas medidas en tiempo real: tiempos de reaccin incluyendo, uso de la CPU y de la
memoria... Disponible plataforma Linux.
Hammerhead 2 (http://hammerhead.sourceforge.net/).
Hammerhead 2 es una herramienta de prueba de carga diseada para probar desde fuera servidores y
sitos web. Puede generar mltiples conexiones y usuarios a una hora programada. Tiene muchas
opciones para generar distintos problemas a sitios Web. Disponible para plataformas Linux, Solaris y

http://www.gurudelainformatica.es/search/label/Pharming

4/10

8/11/2016

Gur de la informtica: Pharming

FreeBSD.
Apache JMeter (http://jakarta.apache.org/jmeter/).
Apache JMeter es una aplicacin diseada en Java. Fue diseado exclusivamente para carga de sitios
Web pero ha ampliando sus funciones. Apache JMeter se puede utilizar para probar funcionamiento de:
Servlets, Perl, objetos en Java, bases de datos y consultas y servidores. Puede ser utilizado para
simular una carga pesada en un servidor, una red o un objeto, para analizar su funcionamiento total bajo
diversos tipos de carga. realizando un anlisis grafico. Al ser desarrollado en Java es multiplataforma.
DBMonster (http://sourceforge.net/projects/dbmonster/).
DBMonster es una herramienta desarrollada en Java que genera datos de prueba al azar y los inserta en
la base de datos SQL. Ayuda a realizar Stress test de la base de datos. Multiplataforma
SQLIOSim (http://support.microsoft.com/kb/231619).
La utilidad SQLIOSim se ha actualizado desde la utilidad SQLIOStress. La utilidad SQLIOSim simula los
modelos de E/S de Microsoft SQL Server 2005, SQL Server 2000 y SQL Server 7.0 con ms precisin.
Solo para Windows
Hammerora (http://hammerora.sourceforge.net/).
Hammerora es una herramienta de generacin de carga para las base de datos Oracle. Hammerora
incluye las pruebas pre-construidas basadas en patrones estndares de TPC-C y de TPC-H. Disponible
para Windows y Linux.
MultiMail 2.0 (http://www.codeproject.com/KB/applications/multimail.aspx).
MultiMail 2.0 es un programa de carga de smtp que tambin puede ser usado como herramienta
prctica para el desarrollo del software contra-Spam. Solo para Windows.
X-Postal (http://www.coker.com.au/postal/).
Otra aplicacin de Stress test para servidores de correo soporta smtp y pop. Que solo funciona en
Linux.
Load Simulator 2003 (http://go.microsoft.com/fwlink/?LinkId=27882).
Load Simulator 2003 (LoadSim) simula el uso que realizan las conexiones de nuestros clientes MAPI.
Loadsim determina si cada uno de nuestros servidores est preparado para soportar la carga de los
clientes que queremos reunir en dicho servidor.
Exchange Stress and Performance (ESP http://go.microsoft.com/fwlink/?LinkId=27881).
Esta herramienta simula varias sesiones de clientes arbitrarias que estn concurrentemente accediendo
a uno o varios servidores de Exchange 2003.
ESP Provee mdulos que simulan el acceso de clients bajo los siguientes protocolos y APIs:
WebDAV (for Microsoft Office Outlook Web Access).
Internet Message Access Protocol version 4rev1 (IMAP4).
Lightweight Directory Access Protocol (LDAP).
OLE DB.
Network News Transfer Protocol (NNTP).
Post Office Protocol version 3 (POP3).
Simple Mail Transfer Protocol (SMTP).
Exchange ActiveSync.
Outlook Mobile Access.

Auditar y evitar, el impacto DDos y ataques de fuerza bruta.

Los ataques de denegacin de servicios y fuerza bruta son los ms tpicos que puede sufrir un sistema,
por eso se debe comprobar si el sistema est preparado para soportarlos y como se comporta ante
dichos ataques. Para auditar el impacto de ataques de denegacin de servicios DoS y denegacin de
servicios distribuido (DDoS) utilizaremos la herramienta Hyenae (http://hyenae.sourceforge.net/) para
reproducir dicho ataque y estudiar el comportamiento del sistema. Hyenae es un generador de paquetes
para realizar ataques DoS e incluye un demonio clusterable para ataques DDoS.
Entre sus caractersticas destaca:
Ataques DoS ICMP-Echo (IPv4).
Ataques DoS TCP (IPv4 e IPv6).
Ataques DoS UDP (IPv4 e IPv6).
Deteccin inteligente de la direccin y del protocolo de la direccin.
Los ataques de fuerza bruta suelen ser los ms utilizados para atacar un servicio, ya que son los
ataques ms populares y fciles de ejecutar con herramientas automatizadas. Existen dos herramientas
para Linux y Windows para evitar este tipo de ataques en determinados servicios, bloqueando la IP del
atacante. Por ejemplo, si un usuario falla ms de 5 veces el login en SSH, bloquear dicha IP y el usuario.
En Linux.
Utilizamos la herramienta Fail2ban (http://www.fail2ban.org/wiki/index.php/Main_Page), su

http://www.gurudelainformatica.es/search/label/Pharming

5/10

8/11/2016

Gur de la informtica: Pharming

funcionamiento se basa en buscar en los registros (ficheros log) de los demonios y programas indicios
de ataques. Una vez encontrado un ataque aplica las acciones que tiene configuradas. La accin ms
corriente es bloquear el usuario o la Ip en iptables.
El fichero de configuracin es el "/etc/fail2ban/jail.conf". En este fichero se pueden definir las acciones
en caso de ataque, existen parmetros como:
ignoreip: IPs de nuestra rea local que aunque se equivoquen en el login no sern
bloqueadas y por tanto quedan excluidas de las acciones de Fail2ban.
maxretry: Nmero mximo de intentos de login.
bantime: Tiempo en segundos que el usuario que fall el login se quedara sin poder acceder
al servicio especificado. Si se asigna el valor -1 ser permanente.
filter: Se utiliza para aplicar los filtro que incluye la herramienta en el subdirectorio
"/etc/fail2ban/filter.d".
destemail: Direccin de correo electrnico donde enviara las alertas.
Todo las acciones realizadas por Fail2ban y las se registran en el archivo de log
"/var/log/fail2ban.log".
Esta herramienta est disponible para las distribuciones: Slackware, ArchLinux, SUSE, Mandriva, Ipcop,
Gral Linux, RedHat/Fedora, Ubuntu, Debian y Gentoo.
Con tres herramientas: BFD, APF y DDoS Deflate es posible mitigar ataques de fuerza bruta y
denegacin de servicios en servidores Linux.
APF (http://www.rfxn.com/projects/advanced-policy-firewall/).
Es un cortafuegos basado en iptables (netfilter) fcil de instalar y configurar, pero lo que lo hace
indispensable es que es compatible con BFD y DDoS Deflate.
Configuracin bsica:
Una vez instalado su fichero de configuracin se ubica en /etc/apf/conf.apf. En primer lugar se modifica
la lnea que le indica en que interface de red actuar en este caso eth0:
# Untrusted Network interface(s); all traffic on defined interface will be
# subject to all firewall rules. This should be your internet exposed
# interfaces. Only one interface is accepted for each value.
# NOTE: The interfacing structure is being worked towards support of MASQ/NAT
IFACE_IN="eth0"
IFACE_OUT="eth0"
Despus es posible configurar los interfaces de red para que los ignore.
# Trusted Network interface(s); all traffic on defined interface(s) will by-pass
# ALL firewall rules, format is white space or comma seperated list.
IFACE_TRUSTED="eth1"
Luego puertos TCP de entrada permitidos.
# Common ingress (inbound) TCP ports
IG_TCP_CPORTS="80, 110,443"
Puertos UDP de entrada permitidos.
# Common ingress (inbound) UDP ports
IG_UDP_CPORTS=" 110"
Luego puertos TCP de salida permitidos.
# Common egress (outbound) TCP ports
EG_TCP_CPORTS="80, 110,443"
Puertos UDP de salida permitidos.
# Common egress (outbound) UDP ports
EG_UDP_CPORTS=" 110"
Entradas ICMP permitidas:
# Common ICMP (inbound) types
# 'internals/icmp.types' for type definition; 'all' is wildcard for any
IG_ICMP_TYPES="3,5,11"
Existen dos ficheros importantes para denegar el acceso /etc/apf/deny_host.rules y permitir acceso
/etc/apf/allow_host.rules en ellos se pueden especificar IP, rangos, hosts...
BFD (http://www.rfxn.com/projects/brute-force-detection/).

http://www.gurudelainformatica.es/search/label/Pharming

6/10

8/11/2016

Gur de la informtica: Pharming

Es un script diseado para monitorizar los logs de servicios que corren en el servidor: ssh, apache,ftp...
en busca de fallos continuos de autentificacin o excesos de conexin por parte de una IP. Una vez
detectado una anomala BFD activa APF para bloquear la IP atacante.
Configuracin bsica:
Una vez instalado su fichero de configuracin se encuentra en /usr/local/bfd/conf.bfd. Lo primero que
se configura es el TRIGGER, que es el nmero de intentos de conexin fallidos que permite BFD antes
de actuar.
TRIG=10
Despus configurar el envi de notificaciones por email para cada evento de BFD. Poniendo el valor 1
para activar y 0 para desactivar.
EMAIL_ALERTS=1
EMAIL_ADDRESS=administrador@servidor.es
Si queremos que BFD ignore alguna IP a la hora de bloquer intentos de conexin podemos indicar la IP
en el archivo /usr/local/bfd/ignore.hosts.
DDoS Deflate (http://deflate.medialayer.com/).
Se trata de un script que monitoriza las conexiones al servidor a travs de Netstat y bloquea con APF
aquellas que realizan un ataque de negacin de servicios.
Configuracin bsica:
Una vez instalado su fichero de configuracin se encuentra en /usr/local/ddos/ddos.conf. La primera
configuracin es la frecuencia de ejecucin en minutos.
FREQ=1
Despus nmero de conexiones mximas permitidas antes de proceder a bloquear IP:
NO_OF_CONNECTIONS=160
Luego configuracin para uso de APF para bloquear IP. Si se pone 0 usara iptables.
APF_BAN=1
Tiempo en minutos, en el que la IP atacante ser bloqueada:
BAN_PERIOD=500
Direccin de email a la que notificar cuando acta DDoS Deflate.
EMAIL_TO= administrador@servidor.es
En Windows.
Se trata de WinFail2ban (http://winfail2ban.sourceforge.net/), su funcionamiento est basado en Fail2ban
de Linux pero es menos verstil. WinFail2ban se ejecuta como servicio y analiza los log de: SQL Server,
FTP (IIS) y firewall XP en caso de ser un Windows XP. Buscando ataques de fuerza bruta y bloqueando
las IP en el firewall o usando un falso enrutamiento. WinFail2ban tambin incluye la opcin de enviar las
alertas por correo electrnico.

Auditar y balanceo de carga para prevenir ataques DDos.

Para poder hacer frente al trfico Web muchas veces los administradores de servidores Web tienen que
implementar balanceadores de carga. Los balanceadores de carga ocultan muchos servidores web
verdaderos detrs de una IP virtual. Reciben peticiones HTTP y las dirigen a los servidores web para
compartir el trfico entre ellos.
Con la herramienta Halberd (https://github.com/jmbr/halberd) permite descubrir los servidores que se
encuentras detrs del balanceador de carga y auditar la seguridad de la configuracin.
El modo de funcionamiento de Halberd se divide en tres etapas:

1. Inicialmente, enva peticiones mltiples al servidor Web a auditar

y registra sus respuestas. Esto se denomina fase de muestreo.
2. Despus, el programa procesa las contestaciones y busca muestras del equilibrio de carga. Esto
se llama la fase de anlisis.
3. Finalmente, la Halberd escribe un informe de sus resultados. Halberd utiliza las siguientes
tcnicas:
Comparacin de la fecha. Las respuestas HTTP revelan el reloj interno del servidor Web que

http://www.gurudelainformatica.es/search/label/Pharming

7/10

8/11/2016

Gur de la informtica: Pharming

las produce. Si aparecen varios resultados con tiempos de reloj diferente, Halberd identifica
nmero de servidores verdaderos. Este mtodo funciona si los servidores Web no estn
sincronizados con un NTP.
Diferencia de nombres de campo de las cabeceras del MIME. Las diferencias en los campos
que aparecen en respuestas del servidor pueden permitir que la Halberd identifique los
servidores.
Generacin de altas cantidades de trfico. Bajo ciertas configuraciones, los balanceadores
de la carga comienzan a distribuir trfico, solamente despus de que se alcance cierto
umbral. Esta herramienta intenta generar un volumen de trfico importante para accionar
esta condicin y alcanzar tantos servidores verdaderos como sea posible.
Usando diversas URL. Un balanceador de carga se puede configurar para redirigir el trfico a
distintos servidores segn la URL a la que se acceda. Esta herramienta utiliza una araa
para navegar por las diferentes URL para diferenciar los distintos servidores que contestan.
Deteccin de cache del servidor. Detecta si los servidores web utilizan cache para acelerar
las peticiones con programas tipo Squid.
Obtencin de IP pblicas. A veces las cookies o los campos especiales del MIME en
respuestas del servidor pueden revelar direcciones IP pblicas de los servidores web. En
estos casos se puede puentear el balanceador de carga y acceder directamente al servidor
web.
+6 Recomendar esto en Google

Publicado por lvaro Paz

3 comentarios

en martes, diciembre 09, 2014

Etiquetas: Auditoria, Ciberataques, Cibercriminales, DDoS, Defensa perimetral, Firewall, Fuerza bruta,
Linux, Malware, Pharming, Phishing, Redes, Stress test, Windows

mircoles, noviembre 19, 2014

Como detectar y bloquear Phishing y Pharming.
El Phishing consiste en el envo de correos electrnicos que simulando proceder de fuentes fiables (por
ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario. Para ello, suelen incluir
un enlace que al ser pulsado, lleva a pginas Web falsas. De esta manera, el usuario, creyendo estar en
un sitio de toda confianza, introduce la informacin solicitada que en realidad, va a parar a manos del
estafador. La mayora de los ataques Phishing son consecuencia de las masivas infecciones de
ordenadores zombie. Las redes formadas por los troyanos(botnet) que convierten el sistema en un
zombie, son utilizadas para el envi de spam y phishing, ya que as se escudan en personas que no son
conscientes de su infeccin para realizar ests ataques.

El Pharming se trata de una tctica fraudulenta que consiste en

cambiar los contenidos del DNS ya sea a travs de la configuracin del
protocolo TCP/IP o del archivo lmhost (que acta como una cach
local de nombres de servidores Windows), para redirigir los
navegadores a pginas falsas en lugar de las autnticas cuando el
usuario accede a las mismas a travs de su navegador. Adems, en
caso de que el usuario afectado por el pharming navegue a travs de un
proxy para garantizar su anonimato, la resolucin de nombres del DNS
del proxy puede verse afectada de forma que todos los usuarios que lo
utilicen sean conducidos al servidor falso en lugar del legtimo.
PhishBlock es un programa de seguridad que detecta y bloquea phishing y pharming, con patrones que
coincidan con las bases de datos, empleando referencias como: direcciones URL, nombres de host
DNS y direcciones IP. Este programa detecta y bloquea: URLs de malware, anfitriones calificados como
daios y direcciones IP. Recientemente, la mayora de los cdigos maliciosos se entregan de forma
encubierta a los usuarios a travs de los anuncios de: Google, SNS, Blogs, BBS que los usuarios visitan
con frecuencia. Y despus de inyectar los cdigos maliciosos pasan a forma parte de una botnet.
PhishBlock detecta y bloquea archivos dainos que intentan infectar el sistema a travs de la red
mediante el uso de un controlador de filtro de red. Adems, ocupa muy poca memoria y el controlador
de filtro de red no afecta al rendimiento de la red o de uso de la CPU.
Caractersticas principales
Detecta y bloquea Phishing y malware basado en URL.
Detectar y bloquea C & C Server (botnet) sobre la base de nombres DNS del host y
direcciones IP.
Detecta y bloquea: fraude, estafa, DDos, falsos contenidos basados en URL y los nombres
DNS del host.
Permite definir las direcciones URL y los Hosts que estn infectadas por malware por los
usuarios. Y compartir estas definiciones con otros usuarios.
Permite verificar si los datos compartidos son malware o no.
Escaneado en busca de malware la cach del navegador con Yara (6,000 reglas).
Los contenidos de bases de datos son de las fuentes: PhishTank.com, Spam404.com,
ClamAV.net...

http://www.gurudelainformatica.es/search/label/Pharming

8/10

8/11/2016

Gur de la informtica: Pharming

PhishBlock esta disponible para sistemas Windows: XP, 2003, Vista, Win7, Win8... Y actualmente en
fase de desarrollo para Linux y MacOS.
Ms informacin y descarga de PhishBlock:
http://phishblock.org/
Articulo Marco actual incidencias seguridad informtica:
http://es.scribd.com/doc/193240035/MARCO-ACTUAL-DE-INCIDENCIAS-EN-SEGURIDADINFORMATICA
+1 Recomendar esto en Google

Publicado por lvaro Paz

1 comentario

en mircoles, noviembre 19, 2014

Etiquetas: DDoS, Linux, Malware, Pharming, Phishing, Redes, Seguridad, Windows

mircoles, diciembre 14, 2005

Antiphishing y antipharming en tiempo real para seguridad en banca online
"[...] segn varios estudios de la consultora Deloitte & Touch, y de los propios bancos, alrededor de 1500
espaoles al mes ven como alguien entra en sus cuentas corrientes a travs de Internet y, o bien les
limpian el saldo, u observan perplejos cmo en algunos casos los piratas llegan a pedir crditos en su
nombre [...]". Revista Tiempo (23-05-2005)
Cada vez son ms personas las que acceden a su banco a travs de
Internet, y de entre todas ellas son muchas las que adems tambin
realizan transferencias, compras y dems acciones que, a fin de
cuentas, repercuten en nuestro dinero. Xeeon Antifraude es capaz de
protegernos contra cualquier posible tipo de trampa, ataque o espionaje
dirigido contra nuestros datos o actividades.
Xeon Antifraude protege contra tcnicas como Phishing, Pharming, LSP
y DNS poisoning, Keyloggers, Sniffing, BHO o SCAMS, todas ellas usadas contra los incautos e
indefensos usuarios. Xeeon Antifraude siendo totalmente compatible con otros sistemas de antivirus y
antispyware.

Ms informacin y descarga:
http://www.xeeon-antifraude.com/
Recomendar esto en Google

Publicado por lvaro Paz

4 comentarios

en mircoles, diciembre 14, 2005

Etiquetas: Pharming, Phishing

mircoles, noviembre 09, 2005

Tarjetas de crdito en la red.
Cada vez que tecleamos nuestros cdigos de identificacin para comprar algo en Internet, esos cdigos
viajan por la Red y pueden ser interceptados por usuarios astutos. Para ello, existen varias maneras de
capturar electrnicamente los datos:
Man-in-the-middle (hombre en el medio). Mediante esta tcnica, el cracker intercepta la comunicacin
entre el usuario y el sitio web real, actuando a modo de proxy. De esta manera, es capaz de escuchar
toda la comunicacin entre ambos. Debe ser capaz de redirigir al cliente hacia su proxy en vez de hacia
el servidor real. Existen diversas tcnicas para conseguirlo, como por ejemplo los proxies transparentes,
el DNS Cache Poisoning o envenenamiento de Cach DNS (Servidor de Nombres de Dominio) y la
ofuscacin del URL.
Aprovechamiento de vulnerabilidades de tipo Cross-Site Scripting en un sitio web, que permiten simular
una pgina web segura de una entidad bancaria, sin que el usuario pueda detectar anomalas en la
direccin ni en el certificado de seguridad que aparece en el navegador.
Aprovechamiento de vulnerabilidades del navegador en el cliente, que permiten mediante el uso de
exploits falsear la direccin que aparece en el navegador. De esta manera, se podra redirigir el
navegador a un sitio falso, mientras que en la barra de direcciones del navegador se mostrara la URL
del sitio de confianza. Mediante esta tcnica, tambin es posible falsear las ventanas pop-up abiertas
desde una pgina web autntica.
Algunos ataques de este tipo tambin hacen uso de exploits en sitios web engaosos que,
aprovechando alguna vulnerabilidad, permiten descargar troyanos de tipo keylogger que robarn
informacin confidencial del usuario.
Otra tcnica ms sofisticada es la denominada Pharming. Se trata de una tctica fraudulenta que
consiste en cambiar los contenidos del DNS ya sea a travs de la configuracin del protocolo TCP/IP o
del archivo lmhost (que acta como una cach local de nombres de servidores), para redirigir los
navegadores a pginas falsas en lugar de las autnticas cuando el usuario accede a las mismas a

http://www.gurudelainformatica.es/search/label/Pharming

9/10

8/11/2016

Gur de la informtica: Pharming

travs de su navegador.
Adems, en caso de que el usuario afectado por el pharming navegue a travs de un proxy para
garantizar su anonimato, la resolucin de nombres del DNS del proxy puede verse afectada de forma
que todos los usuarios que lo utilicen sean conducidos al servidor falso en lugar del legtimo.
Estos sistemas de robo de datos necesitan de una capacidad tcnica de programacin y de
conocimientos que no estn al alcance de todo el mundo. La mayora de las estafas se produce
mediante la tcnica llamada phishing Esta tcnica consiste en el envo de correos electrnicos que,
simulando proceder de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener datos
confidenciales del usuario. Para ello, suelen incluir un enlace que, al ser pulsado, lleva a pginas Web
falsas. De esta manera, el usuario, creyendo estar en un sitio de toda confianza, introduce la
informacin solicitada que, en realidad, va a parar a manos del estafador. No sea tampoco alarmista es
verdad que el comercio electrnico no es 100% seguro, porque no existe un sistema 100% seguro, pero
con precauciones puede llegar a ser lo bastante fiable para que no nos roben.
Que se puede hacer ante esto, sobre todo ser muy desconfiado, su banco nunca se pondr en contacto
con usted va e-mail para solicitar sus datos. Tambin es muy importante leer las advertencias de
nuestro navegador sobre los certificados de las pginas Web. Nunca se conecte a su entidad bancaria o
compre por Internet desde un cyber, la red de una universidad, el trabajo o redes publicas que no saben
quien las controla o quien esta escuchando el trafico, conctense siempre desde casa.
Recomendar esto en Google

Publicado por lvaro Paz

2 comentarios

en mircoles, noviembre 09, 2005

Etiquetas: Pharming, Phishing

Pgina principal

Entradas antiguas

Suscribirse a: Entradas (Atom)

Este Blog sobre Seguridad Informtica est bajo una licencia de Creative Commons, lvaro Paz. Plantilla Picture Window. Las imgenes de las plantillas son
obra de Josh Peterson. Con la tecnologa de Blogger.

http://www.gurudelainformatica.es/search/label/Pharming

10/10