xonico

Planeta Digital esta brindando cursos gratuitos con lecciones y material interactivo.

Cursos disponibles:

* Curso de Ethereal - “Monitoreo de Redes con Software Libre”
* Curso de Snort - “SnortDetección de Intrusos con Software Libre”
* Curso Básico de SeguridadSeguridad de Redes
* Curso Básico de Linux

http://www.planeta-digital.com/cursos/

Hay veces en los que vemos un proceso que se esta ejecutando en windows, pero no sabemos si es un proceso de win, un virus, spyware, adware o alguna cosa rara.

Para ver los procesos, existe un software llamado HijackThis que nos brinda toda la información necesaria.

Sitio oficial del HijackThis
http://www.merijn.org/downloads.html

Una vez que generamos el log con nuestros procesos y registros podemos obtener información pegando nuestro log en http://www.hijackthis.de/

Si obtenemos algún proceso desconocido podemos obtener mas información acerca del mismo, hay paginas que contienen una gran base de datos con información acerca de cualquier proceso.
http://www.processlibrary.com/
http://www.tasklist.org/
http://www.answersthatwork.com/Tasklist_pages/tasklist.htm

Si necesitas ayuda a la hora de ver los resultados que nos da el HijackThis puedes postear al foro oficial en español, siempre están dispuestos a ayudar.
http://www.infospyware.org/forumdisplay.php?f=14

Acá hay un video de como generar un log con HijackThis y como postearlo en el foro.
http://www.infospyware.com/images/FL/GeneraLog.swf

Hace un tiempo contrate arnet con el Modem/Router Aztech DSL 305EU (ethernet-usb) el cual viene con un firmware modificado, por defecto viene configurado como NAT y activado DHCP por lo tanto conectando el módem a nuestra pc ya tenemos conexión, para configurar nuestro user y pass tenemos que entrar a http://10.0.0.2/

Hasta ahora todo bien, nos vamos a encontrar con un problema a la hora de conectar mas puestos (multipuestos) a un switch/hub, la configuración que trae por defecto permite conectar una sola pc, el módem viene con la IP 10.0.0.2 y mascara 255.255.255.252 esto significa que solamente la IP 10.0.0.1 puede conectarse. La única manera de solucionar esto es entrando a la administración del módem, veamos algunas maneras:

Opción 1: Hasta ahora no vi ningún módem de estos que traigan passwords para entrar a la administración, solo tenemos que tipear http://10.0.0.2/doc/admin.html

Opción 2: En el caso de que venga con algún password tenemos que abrir el módem, jumpear en la placa y conectar la fuente de alimentación, esto es para que resetee el password y la configuración, luego desconectar la alimentación y volver a conectarla, ahora ya podemos ingresar a la administración vía web http://10.0.0.2/doc/admin.html

Una vez dentro de la configuración del router tenemos que cambiar algunas cosas
1- Configurations > LAN > “LAN Setting (Router Configuration)” Cambiar mascara de subred 255.255.255.253 por 255.255.255.0
2- Configurations > LAN > “DHCP Server Setting” en “DHCP address pool selection” cambiar de “User Defined” a “System Allocated”
3- Apply y “save Settings” para que los cambios tengan efectos

En el caso de resetear la configuración, para que funcione con telecom o telefonica
1- Configurations > WAN > “PVC Profile” en Protocol/Encapsulation seleccionar PPPoE LLC
2- Configurations > WAN > “PVC Profile” debemos configurar los parámetros de linea VPI y VCI, para Telecom es VPI: 0 VCI: 33, para Telefónica VPI: 8 VCI: 35
3- Apply y “save Settings” para que los cambios tengan efectos

Por razones de seguridad se recomienda desactivar el DMZ, tan solo que sea necesario redireccionar todos los puertos entrantes a un IP.

Solucion a problemas
Para los que no pudieron solucionar sus problemas despues de seguir los pasos del post y leer los comentarios, “MascaTarasca” escribio una guia como cambiarle el firmware del DSL305eu a la de un Tainet CA61E, pareciera que tiene muy buena performance con este modem/router.

“MascaTarasca” ( juanelmasterbck@gmail.com )
Los Aztech DSL 350EU usan el mismo chipset conexant que varios otras marcas y modelos, me voy a centrar en el que ya tengo bien probado y anda diez puntos, el Tainet CA61E… Mejor dicho, no es que este
otro router sea la gran maravilla, pero hay una versión del firmware para este modem/router que puesta sobre un Aztech anda diez puntos.
Para poder reemplazar el firmware original por el de el Tainet en cuestión, primero es necesario levantar el bootrom que trae de fábrica, el cual viene protegido contra escritura por un jumper en posición Off… De hecho, ni siquiera trae el jumper, solo los dos pines sobresaliendo de la plaqueta.

El procedimiento sería el siguiente:

- Abrir el router. Viene de fábrica con un solo tornillo al medio, visto desde abajo, cubierto por una etiqueta que invalida la garantía (El que quiere celeste… que le cueste…) Si les sirve de dato, nunca en mi vida he visto un router de estos roto electrónicamente por mal funcionamiento… Se le muere el firmware en algunos casos, y se soluciona siguiendo exactamente este mismo procedimiento, o bien se le quema el fusible que protege contra sobrevoltage en la entradad de la línea telefónica. Así que mi consejo sería: Sin miedo, si tenés problemas con tu router, seguí leyendo nomás.

- Con el router desarmado prestar atención a la forma en que se comportan los Leds, Normalmente tenés uno que parpadea intermitentemente mientras tu router establece el enlace físico con el modem que está en la otra punta del cable telefónico en el DSLAM de tu proveedor de internet y una vez establecido el enlace, se antiene encendido.

- Buscar en la plaqueta, con el router apagado y vista desde arriba, dos pines y ponerles un jumper. (He visto modelos que tienen hasta tres pares de pines dispersos por toda la plaqueta, el que hace toda la magia suele estar mas o menos al centro.)

- Encender el router y nuevamente prestarle atención a los Leds, Si tenés solamente uno o dos leds *Depende el firmware* que se quedan siempre encendidos, listo, estás en carrera, Eso quiere decir que el router está listo para que le flashees el bootrom para luego poder cambiarle el firmware.

Hasta acá fué la parte sencilla del proceso, la parte complicada: El bootrom se flashea por USB… esto implica que vas a necesitar 1 cable USB, una pc con un chipset compatible con el programa que flashea, el programa en si y el firmware para cargarle.
En particular he notado que hay mas probabilidades de que el procedimiento funcione si se usa una PC mas bien viejita… Yo por ejemplo tengo por ahi un Pentium II 350 montado sobre una PcChips M748 con chipset SIS que uso casi exclusívamente para esto. Anda tambien sobre cualquier chipset VIA 823X por ejemplo o sobre los Intel 810…
Como el programa trabaja desde DOS, hay que habilitar soporte USB para DOS, esto se hace desde la BIOS, la opción que lo habilita se suele llamar “USB Legacy suport” , “USB Support for DOS” o “USB Keyboard Support”… para no errarle, si de entrada no te funciona, todo lo que diga USB en la bios, cambiarlo al modo “Enable”

Bien, si llegaste hasta acá, vas a necesitar el programa (FLASH.EXE) y los archivos del bootrom… descargando esto:

http://xonico.com.ar/program/usbrecover.exe

Ejecutandolo, tenés un generador de diskettes booteables, que te deja parado en DOS e inicia el proceso de flasheado automáticamente. Si todo marcha bien, en la mitad del proceso te pregunta las MAC Addres para la interface WAN y LAN. Dejarlos en blanco a los dos (Si señor… esto es MAC Spoofing a bajo nivel, por si a alguien le interesa)

- Bajar el Firmware
http://xonico.com.ar/program/CA6XR-GN.0924.00T.firmware.rar

- Durante todo el proceso de flasheado del bootrom el dichoso led de link parpadea intermitentemente y una vez terminado el proceso se mantiene encendido. Hasta acá bien?

- Sin reiniciar la PC, apagar el router, sacar el jumper mágico y volverlo a encender.

- Desconectar el cable USB y dejar que la PC entre a windows (tiene que ser windows… si.)

- Conectar el cable USB, instalar el Driver cuando lo detecte como interface USB (el driver viene el el cd junto con el modem) Todo esto, sin conectar la placa de red al router, o si tenés una configurada con IP fijo y conectada al un hub/switch junto con el modem, o bien desconectala/deshabilitala o bien cambiále el IP por otro. Si por X motivo no podés instalar el dispositivo USB, ponéle a la placa de red un número de IP 10.0.0.X y conectala al router, switch o lo que corresponda (y si este es el caso, no importa si no es windows)

- Entrar a http://10.0.0.2

- Cuando te pida un nombre de usuario y contraseña, los que tiene por defecto son “admin” y “password” respectivamente, sin las comillas.

- Si todo marchó bien, y no tiene por que fallar, vas a quedar parado en una páginita que te permite subir un firmware nuevo para poner a funcionar el router… Darle al botón “Browse”, buscar en donde guardaste el firmware que descargaste de acá y después al botón “Submit”

- Una vez subido el nuevo firmware, el router reinicia, y vas a notar que los leds como los conocías ahora se comportan totalmente diferentes… siguen siendo Link en la interface WAN, Link en la LAN e indicador de
tráfico, pero cambian de lugar y ahora el de Link de la interface WAN parpadea a intervalos regulares de tiempo cuando conecta…

- De nuevo, entrar a http://10.0.0.2 poner como nombre de usuario “admin” y como password “epicrouter” y VOILA! tu Aztech es Ahora un Tainet, totalmente configurable, que no se cae por exeso de conexiones, le anda el remapeo de puertos y dmz, y que si alguna vez los de soporte de Arnet necesitan reemplazarte, NO VAN A ENTENDER NADA!! jeje

*Por si les hiciera falta*
El nombre de usuario para acceder al router como administrador es siempre “admin”
Los passwords que traen de fábrica estos aparatejos son:

tecoteco < ---- este lo pone arnet cuando lo configura
adsltbsa <---- este lo pone speedy cuando lo configura
conexant
password
epicrouter
12341234

Demás está decir que si algo falla, basta con repetir el proceso desde el principio y listo. Ah! y sirve para cualquier Tainte CA61, usando este mismo firmware o para cualquier CA81E cambiando el firmware por otro... me avisan y se los hago llegar.

Espero que sirva.

Gracias por tu colaboracion juan. Si alguien tiene algo que agregar o corregir de mi post… aqui estoy


Por favor antes de preguntar o describir sus problemas, despues de haber seguido los pasos del post, lean los comentarios en busca de una solucion. Gracias
–

Ejercicios por gera de core security sobre stacks, buffer overflows, format strings, entre otros, muy bueno para los que quieren aprender sobre el tema con practica. Si quieren empezar a codear exploits este es un buen camino.

http://community.corest.com/~gera/InsecureProgramming/

Herramientas que recomienda gera:
* Windows:
Compilador: bcc55 de borland
Debugger: ollydbg
* Gnu/linux:
Compilador: gcc
Debugger: gdb ( pueden utilizar ddd como front-end )

Para windows yo instalaría MinGW o Cygwin para utilizar gcc y gdb, otra alternativa es descargar Dev-C++ que trae un entorno de desarrollo C/C++ integrado con MinGW (gcc,gdb)

Por alguna duda o problema que tengas, podes postear a la lista de seguridad de la uba, ahi se encuentra gera tal vez te pueda ayudar.

Ya hace un tiempo que llevaba offline este sitio, esto no quiere decir que deje de lado todo y me dedique a la política… por razones x el hosting donde se encontraba alojado el sitio dejo de existir, así que seguí con mi grupo de amigos en soulblack haciendo lo que siempre hago, nada y poco más de nada, ahora decidí escribir mas seguido cosas de nada, por esa razón decidí re abrirlo, inspirado en seguridad basado en nada.