سبتمبر
05
تحت تصنيف
security السلام عليكم
يادوب النسخة البيتا من المتصفح الجديد الخاص بشركة جوجل نزلت
وفي الحال تم اكتشاف ثغرة تؤدي الي تحميل الملفات التنفيذية exe مباشرة بدون اعطاء العميل ادني اشارة الي بدأ التحميل
طبعا هيه ممكن تتحكم فيها من الاعدادات الخاصة بالمتصفح انك تخليه يسئلك عن مكان تحميل الملف
لكن هوه بيكون تلقائي مظبوط علي الاعدادت اللي عملت المشكلة وهي انه بيحمل الملفات تلقائيا وكمان بيفتح الملف بعد تحميله تلقائيا
يعني مصيبة
تخيل لو واحد لبسك باتش ومشفره وبعتلك iframe متشفر
وانا ضغطت وحمل واشتغل في الخلفية وانت مش واخد بالك
علي العموم الثغرة لسه طازة
الثغرة تم تجربتها علي
Windows Vista SP1 & Windows XP SP3
exploit:
Read the rest of this entry »
يونيو
17
تحت تصنيف
security,
sysadmin طبعا هنسئل ايه هيه Chkrootkit ؟
هيه تولز او اداة خاصة بالناس اللي شغالين sysadmin او security admin او اي حد عنده سيرفر او حتي جهازه وعاوز يعمل عليه سكان علشان يشوف هل عليه rootkits ولا لا
هنشوف ازاي هنسطبها علي السيرفر وازاي نخليها تشتغل اوتوماتيك وكمان تبعتلك الreport علي الايميل بتاعك
طيب نبدأ
1- طبعا لازم ندخل الـ SSH واحنا في وضع الroot
2- بعدها هنسحب السورس بتاع الchkrootkit uلي السيرفر عندنا بWget
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
3- لو تحب تتخطي الخطوة دي ممكن تتخطاها يعني مش مهمة للدرجة
لانها بتخليك تشيك علي الmd5sum علشان تتأكد ان الchrootkit نزل صح
الاول هنسحب الmd5 sum للسيرفر عندنا
ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.md5
وبعدها هنشوف اذا كانت الchrootkit نزل تمام
md5sum chkrootkit.tar.gz
4- هنفك الضغط من علي الملف اللي حملناه علي السيرفر
tar xvzf chkrootkit.tar.gz
5- هندخل علي الفولدر اللي فكينا الضغط بتاعه
cd chkrootkit*
طبعا ال* دي علشان انت مش هتكون يعني عارف اسم المجلد كامل فهوه بيشوف لوحده باقي الاسم
6- نجي بقي نعمل compile للبرنامج ده
make sense
7- بس كده مبروك عليك البرنامج اتسطب عندك قاعد بقي نشغله علشان نختبر نشوف شغلنا صح ولا لا
./chkrootkit
8- هتلاقي التقرير بتاع الفحص بيطلع علي شاشة الشيل وهتلاقي الأغلبية بتقولك not found او not infect
كده تبقي اشطه في التمام
طيب لا قدر الله لو طلع عندك اي infect او لقي حاجة دي هنشوفها وهنعرف ازاي نتعامل معاها بس مش دلوقتي
دلوقتي بقي ركز معايا تاني علشان داخلين علي حته مهمه
دلوقتي هل انا هفضل كل يوم ادخل اشغله بايدي كده ده ايه التعب ده
وليه ياعم تشغله بايدك هنخليه شتغل لوحده وكمان هيبعتلك التقرير بتاع الفحص علي الايميل بتاعك
نرجع تاني للssh علشان نكمل شغل بقي
1- ندخل الssh ونكتب بقي الكوماند ده
nano /etc/cron.daily/chkrootkit.sh
طيب ليه علشان نعمل ملف جديد اسمه chkrootkit.sh علشان نخليه يشتغل لوحده مع الcornjobs
كده انت بتنشئ ملف جديد
2- طيب هنعمل ايه ده الملف ده فاضي مفيش فيه اي كلام اصبر انا جايلك اهوه
حط بقي الكلام ده جواه
#!/bin/bash
cd /yourinstallpath/chkrootkit-version/
./chkrootkit | mail -s “Daily chkrootkit from Servername” admin@youremail.com
طيب ايه ياعم اللي انا هعمله بقي كل اللي هتعمله هوه انك هتغير الاتي
1- yourinstallpath دي المسار بتاعك اللي انت حملت فيه البرنامج وفكيت الضغط عنه
2- chkrootkit-version دي رقم النسخة اللي نزلت معاك
3- Servername دي هنغيرها لاسم السيرفر اللي انت عليه علشان لما ربنا يديلك اكتر من سيرفر مش تتلخبط بينهم
4- admin@youremail.com دي تغيرها للايميل اللي انت عاوز يوصل عليه التقرير بتاع الفحص
طيب كده تمام فاهم انا لغاية كده عاوز بقي اطلع من الكلام ده واعمل حفظ للكلام ده
بسيطة
3- واحنا في الssh هنعمل Ctrl+X وبعدها هنكتب Y ونضغط entr
4- طيب دلوقتي قاعد ايه انت طولت كتير كده ليه خلاص قربنا نخلص
قاعد دلوقتي اننا ندي الملف ده التصاريح المناسبة علشان يشتغل مع نفسه
طيب دي هعملها ازاي ؟ بسيطة
chmod 755 /etc/cron.daily/chkrootkit.sh
5-اشطات كده خلاص خلصنا طيب ياعم انا عاوز اشوف اي بتنجان من الكلام اللي عملته ده
طيب ايه رأيك نجرب البرنامج دلوقتي ونشوف هيبعت لنا ولا لا
طيب نكتب بقي الكوماند ده علشان ندخل علي المسار اللي فيه الملف اللي هيشتغل لوحده ده
cd /etc/cron.daily/
6- دلوقتي بقي قاعد خطوه بسيطة اننا نشغل الملف ده علشان يعمل الفحص بتاعه ويبعت لنا نتيجته
./chkrootkit.sh
دلوقتي هيجيلك ايميل فيه نتيجة الفحص بتاعنا وبكده نبقي انتهينا من عملية نسطيب البرنامج وشغلناه وكمان خلناه اشتغل لوحده وبعتل لنا ميل كمان
ياله بقي اسيبكم الحقوا اهربوا
