Qué servicios le ponemos al servidor?

Buenas tardes,

Está claro que este servidor necesita algunos servicios que puedan ser vulnerables de ser atacados… pero he estado pensando y creo que deberíamos ir añadiéndolos poco a poco para xplorar dichas vulnerabilidades y aprender a protegernos de ellas.

Por ello, os pido a vosotros, que me ayudéis a escoger qué servicios iniciales debería tener el servidor.

 

Me echáis una mano?

 

Saludos,

 

 

TheArcher

Horario del servidor durante la primera semana (y puede que más)

Buenas tardes,

Mientras no acabemos de decidir el tema del VPS… el servidor actualmente se encuentra virtualizado y por problemas de hardware, ahora no puedo moverlo a otro equipo. En todo caso, si dispongo de algo de tiempo, intentaré moverlo a un ordenador físico durante la semana.

Durante esta semana el horario será de 19h de la tarde a 5 de la mañana, estando fuera de servicio las demás horas. Durante el fin de semana estará encendido desde las 19h del viernes hasta las 5 de la mañana del lunes. Todo horario de Oslo.

Espero que alguien se anime y me ayude a pagar el VPS, sino, muy a mi pesar, puedo mantenerlo nada más que de esta manera o, tengo un ordenador antiguo, pero no se si podré migrar el servidor virtualizado a la máquina física.

De todas maneras… seguiremos intentándolo… ahora estoy instalando algunos servicios web… a ver que pasa… pero el puerto todavía está cerrado (gracias @kinomakino).

 

Disfrutad!!

 

Saludos,

 

TheArcher

Un owned en toda regla :)

Hola!!

Es lo que tiene ser un pardillo, no?? Pues eso… estaba montando algunos servicios webs y se me ocurrió abrir el puerto 80… para qué??!!! Para dejarle una autopista a @kinomakino que tardó un segundo en destrozarme la web… :)

La prçoxima vez no seré tan pardillo… ahora estará cerrado, montaré la web y seguiremos en ello. Ya os podéis imaginar que él va en cabeza… aunque nos tiene que enseñar el cómo lo ha hecho y el cómo se puede subsanar… ethical hacking, recordad :)

 

Un saludo y felicitaciones @kinomakino… eres el más rápido!!!

 

Por cierto… alguien ha conseguido escalar privilegios? :)

 

Saludos!

Tips Generales para HackMyServer

Buenos días,

Algunos se han quejado, con razón, de que un servidor que no está ejecutando apenas servicios… no es vulnerable… yo soy un paquete en esto y estoy aprendiendo… simplemente leo mucho e intento aplicar la base de las lecturas. Por ello, creo recomendable citar aquí unas palabras del último libro que estoy leyendo: Hacking Ético de Carlos Tori, sobre las características, deseables, de un hacker:

• Saber cómo definir patrones de conducta y acción.
• Hacer relevamientos pasivos de información.
• Interpretar y generar código, cifrado y entropías de datos.
• Descubrir manualmente descuidos en el objetivo.
• Descubrir vulnerabilidades presentes de todo el escenario técnico.
• Buscar lógica e ilógicamente.
• Proyectarse sobre la marcha en modo abstracto, táctica y estratégicamente.
• Ser exhaustivo, pero a la vez saber cuándo es el momento de recurrir a la disten-
sión (para no agotar la mente).
• Ser ético por sobre todas las cosas.

Especial atención se merece, según el autor, las actividades previas a la intrusión:

Information gathering implica llevar a cabo la tarea previa y minuciosa de inteligencia (similar a un reconocimiento del terreno),
más precisamente a la recolección de datos acerca del objetivo o de algún componente relacionado a este o a parte de él. Esta fase se compone, fundamentalmente,
de investigación y análisis de datos recabados.

(…)

Los datos que buscan los intrusos antes de atacar pueden estar relacionados con algún empleado, ya sea ejecutivo u operario, con algún sistema o tramo de él o con
algún procedimiento u operación que nos permita intervenir en él. También puede ser una dirección IP, un sitio, una red, una aplicación, un servicio (puerto abierto
de autentificación o no), un protocolo, un determinado descuido de programaciónvo de administración, un directorio, un documento, una plataforma o bien cualquier
dato de ubicación física o denominación de algún sector de la misma organización.
Por supuesto, si puede directamente conseguir logins, lo intentará.

 

Espero que sirva…. y mucha suerte!!!

 

TheArcher

 

Empezamos: HackMyServer (Round 1)

Buenas tardes,

Mientras decidimos si migraremos o no a un VPS y la gente que va a participar…. vamos a darle un poco de gracia a la cosa…

He montado un servidor CentOS… y os voy a dar la IP para que podáis hacerle todas las perrerías que queráis pero… acordaros de las condiciones:

1.- Es un ordenador de una casa… quedará descalificado cualquiera acceso a otro de los ordenadores de la red o similar… recuerda… esto es para aprender, para joder ya están los políticos.

2.- Se puntuará la más completa de las respuestas… es decir… entrar, conseguir privilegios, explicar cómo y por qué y por supuesto, cómo tapar ese problema.

3.- Cualquier cosa es válida siempre que no se destroce el ordenador :)

4.- La respuesta más rápida también contará con con puntos extras. Durante estos días intentaré pensar un método de ponderación lo más justo posible… pero acepto consejos.

5.- Podrán añadirse participantes a lo largo de los días y se intentará tener en cuenta los puntos obtenidos desde el día que iniciaron el juego.

6.- Seguramente los puntos obtenidos por las intrusiones se verán incrementados con el tiempo dada la complejidad que irá añadiendo el servidor.

7.- Los comentarios estarán moderados durante toda la semana para que nadie publique nada antes de tiempo y se autorizarán todos a partir del viernes noche (horario de Oslo).

8.- Por supuesto, aceptaré cualquier tipo de consejos y sugerencias, y me reservo el derecho a cambiar las puntuaciones si, tras consenso, así se desea.

9.- Soy un pesado pero acordaros de que el juego se termina si alguien se comporta como un burro.

 

Feliz juego…. la IP es:  80.203.81.219

 

Saludos,

 

TheArcher

Calendario

abril 2014
L M X J V S D
« feb    
 123456
78910111213
14151617181920
21222324252627
282930  

Categorías

Wingware Python IDE


Fatal error: Uncaught exception 'FileOperationException' with message '<strong>/home/webresta/public_html/lkinteractiveservices.com/thearcherblog/wp-content/cache/page_enhanced/.htaccess</strong> could not be created, please run following command:<br /><strong style="color: #f00;">chmod 777 /home/webresta/public_html/lkinteractiveservices.com/thearcherblog/wp-content/cache/page_enhanced</strong>' in /home/webresta/public_html/lkinteractiveservices.com/thearcherblog/wp-content/plugins/w3-total-cache/inc/functions/activation.php:117 Stack trace: #0 /home/webresta/public_html/lkinteractiveservices.com/thearcherblog/wp-content/plugins/w3-total-cache/lib/W3/Plugin/PgCacheAdmin.php(1314): w3_throw_on_write_error('/home/webresta/...') #1 /home/webresta/public_html/lkinteractiveservices.com/thearcherblog/wp-content/plugins/w3-total-cache/lib/W3/PgCache.php(843): W3_Plugin_PgCacheAdmin->write_rules_cache() #2 /home/webresta/public_html/lkinteractiveservices.com/thearcherblog/wp-content/plugins/w3-total-cache/lib/W3/PgCache.php(324 in /home/webresta/public_html/lkinteractiveservices.com/thearcherblog/wp-content/plugins/w3-total-cache/inc/functions/activation.php on line 117