Rincón Informático

Una de las tantas formas para vulnerar sitios web, es inyectando una webshell en el servidor donde esta alojada la pagina victima, de esta manera y con un poco de suerte podemos obtener acceso al servidor y comprometerlo seriamente.

Leyendo mis feeds, me encontre con este video el cual explica de manera muy facil, detallada y a modo de ejemplo como “Hackearse” sitios desarrollados en WordPress que esten usando el plugin “File uploader”

Si bien este tipo de intrusion se pueden prevenir con una buena configuracion en WordPress y el  servidor, existen miles de sitios en Internet los cuales pueden ser vulnerados de esta forma tan sencilla y poner en riesgo toda su informacion.

Desde hace algun tiempo,  venia apareciendo en mi navegador chromium, un mensaje en cada sitio web que usara flash player, el cual decia que la version del plugin estaba desactualizada y que era necesario actualizarla, ya que esta corrige ciertos fallos de seguridad criticos.

Si usas debian, el plugin flash player viene en el paquete flashplugin-nonfree, sin embargo, por alguna razon, este paquete se encuentre desactualizado, y es por esto, que es necesario actualizarlo manualmente.

Si ya tienes instalado el paquete, flashplugin-nonfree pero te sale el molesto aviso de actualizacion cada vez que entras a un sitio web que use flash player, debes hacer el siguiente proceso:

1. Descargar el .tar.gz de este enlace
2. Descomprimir el paquete install_flash_player_11_linux.i386.tar.gz

tar xvvf install_flash_player_11_linux.i386.tar.gz

Por ultimo solo queda reemplazar el archivo libflashplayer.so:

sudo cp -r libflashplayer.so  /usr/lib/flashplugin-nonfree/libflashplayer.so

Para comprobar que tengamos nuestro plugin de adobe flash player en la version 11, escribirmos lo siguiente en la barra de direcciones de chromium:

about:plugins

Si todo ha salido bien, tendremos nuestro plugin en su ultima version:

Algunas veces nosotros los usuarios de Debian, necesitamos buscar via web algun paquete en los repositorios de debian, ya sea por que apt-get no nos puede ayudar, o por que simplemente necesitamos  versiones o arquitecturas diferentes.

Hace poco conoci una excelente extension para Chromium-browser denominada:  ”Yet Another Debian Package Search”  Esta extension, facilita bastante la tarea de buscar paquetes en los repositorios de debian, de esta forma no tendremos que ingresar al PTS (PACKAGE  TRACKING SYSTEM),  simplemente con pulsar un boton podremos realizar la busqueda.

Pueden visitar la pagina oficial de la extension haciendo click aqui, Alli la pueden descargar e instalar de manera facil y rapida. Edpero que todos los usuarios de Debian  y Chromium-browser, usen la herramienta y nos cuenten su experiencia.

Hacia tanto tiempo deseaba ver si escribia este post o no, siempre he tratado de ser lo mas investigador a la hora de realizar algo, me gusta y apasiona encontrar nuevos recursos y compartirlos, es por eso que hoy quiero compartir con algunos, un repositorio para convertir tu Vi (editor)o Vim en tu editor preferido navaja! ,como saben vim es uno de los editores mas poderosos que tienen los sistemas Unix/Linux e incluso con clones en MacOS, Windows pero que es lo que hace especial a Vi. Personalmente me gusta mucho por la posibilidad de ir personalizandolo a nuestro gusto. Este repositorio del que les hablo fue desarrollado Amir Salihefendic un programador Estadounindense. (puedes encontrar el porque de su desarrollo en su blog http://amix.dk/ ) pero en fin,en este repo podras encontrar:

minibufexpl.vim – get an overview of open buffers
bufexplorer.vim – switch between buffers fast
yankring.vim – makes it easy to manage clipboard
snipMate.vim – snippets from TextMate
surround.vim – makes it speedy to surround text
fuzzyfinder – find files quickly (similar to TextMate’s find feature)

Ademas de ello una variedad de los esquemas de colores que podrias manejar en diferentes lenguajes. Para instalarlo lo que tienes que hacer es :

$ mkdir ~/.vim_runtime
$ svn co svn://orangoo.com/vim ~/.vim_runtime
$ cat ~/.vim_runtime/install.sh
$ sh ~/.vim_runtime/install.sh
can be `mac`, `linux` or `windows`

Y con esto ya estara instalado, de hecho si se siente la necesidad de eliminar algunas cosas molestas como son el doble guardado de buffer(que no tengas que guardar dos veces el mismo archivo ) podrias mirarlo en la carpeta ~/.vim_runtime y te encontraras con lo siguiente:

.svn autoload doc install.sh ruby syntax vimrc
.. after colors ftplugin plugin snippets undodir vimrc.html

y podras mirar en .vim_runtime/doc/bufexplorer.txt este archivo mostrara toda la info

espero les sirva asi se evitaran estar descargando plugins

PD:En caso de que requieras un plugin puedes guardarlo en .vim_runtime/plugin

Autor: C1B3RH4CK

Nose si muchos saben como escuchar radioactiva en GNU/Linux,  yo busque por algun tiempo como hacerlo, y me cansaba que siempre que iba a tratar de escuchar desde la pagina oficial me dijera que tenia que descargar un plugin de Windows Media player.

Para poder escucharla,  segui los siguientes pasos:

1. Descargue e instale el smplayer:

apt-get install smplayer

2. Despues de instalado, lo ejecutamos y  damos click en abrir-url y entramos la siguiente direccion:

mmsh://66.165.172.173/coractiva?MSWMExt=.asf

3. Esperamos a que cargue, hay que tener un poco de paciencia,  ya que es algo demorado.

Si todo ha salido bien, ya debemos estar escuchando la emisora con la mejor  musica,  espero les sirva a todos aquellos que en algun momento estuvieron como yo, buscando desesperadamente como poder escuchar radioactiva desde nuestro GNU/Linux.

Hace algun tiempo Google, incorporo  caracteristicas de audio y video en el  chat de Gmail, para los usuarios de Windows, desafortunadamente para nosotros los usuarios de GNU/Linux todavia nos tocaba esperar a que saliera dicho soporte.

Sin embargo, ayer me entero que porfin estas nuevas caracteristicas estan disponibles para los usuarios de GNU/Linux,  inmediatamente lo probe,  y funciona de maravilla,  para instalar estas nuevas caracteristicas, debemos descargar un paquete .deb instalarlo, reiniciar nuestro navegador y eso es todo, asi de facil, tendras  estas nuevas opciones en el chat de gmail, el cual se destaca por su minimalismo, sencillez, pero  aun asi con un muy buen funcionamiento.

Instalacion

1. Descargamos el paquete desde esta direccion
2. Instalamos el paquete

dpkg -i google-talkplugin_current_i386.deb

3. Reinciamos nuestro navegador.
4. Entramos a Gmail buscamos algun amigo que tenga la opcion de video habilitada y probamos.

Y asi de facil podremos hacer video conferencias con  nuestros amigos desde el chat de gmail. Ahora si desean es un cliente con soporte de audio y video pueden intentar con pidgin el cual desde la ultima version trae  soporte para audio y webcam.

Hace pocos dias me puse a la tarea de registrar el canal IRC de la comunidad DragonJAR en freenode, ya que anteriormente  se encontraba en otro servidor el cual solia tener algunos inconvenientes de conectividad. Aprovecho la ocasion para invitarlos a  que ingresen al canal IRC de DragonJAR, para conversar un rato, los datos son los siguientes:

canal: #DragonJAR.org
servidor: irc.freenode.net

Ahore continuemos  con el tema central de esta entrada, al registrar el canal me dio curiosidad y quise hacer algo que desde hace mucho tiempo habia querido hacer y probar: Crear un bot IRC, antes que nada definamos que es un bot irc:

Un bot (abrevitatura de robot) es un programa informático que realiza funciones muy diversas, imitando el comportamiento de un humano. En sitios wiki, como Wikipedia, un bot puede realizar funciones rutinarias de edición. En otros sitios, como Encarta, el bot puede responder a cuestiones sobre el propio contenido del sitio (tcc bots conversacionales).En sitios de chat en línea (IRC o MSN), algunos bots fueron utilizados para simular una persona, intentando hacer creer al “ciberinterlocutor” que chateaban con una persona real.

Me puse a la tarea de buscar(aunque uno mismo puede crear su bot personalizado) un bot, adecuado, sencillo y potente,  y me encontre con supybot,  un bot desarrollado en Python el cual tiene muchas funcionalidades y herramientas, a continuacion voy a dar los pasos que se deben realizar para instalar dicho bot:

1. Descargamos el bot desde este enlace. y lo descomprimimos
2. Lo instalamos de la misma forma que instalamos cualquier modulo en python

python setup.py install

3. Ahora  nos vamos a la carpeta scripts y ejecutamos  un asistente el cual nos guiara creando el archivo de configuracion.

cd  scripts
python supybot-wizard

4. Este asistente nos empezara a pregutnar algunas cosas necesarias para configurar nuestro BOT, debemos responder cada una de ellas segun nuestras necesidades. Estas preguntas son:

1. quieres ver las preguntas en negrita?  -> Responder Y
2. eres usuario avanzado? -> Por defecto responder N (aunque si quieres puedes ensayar)
3. donde se encuentra los archivos del bot? -> responder por default .
4. cual es la red de IRC? -> la red de IRC en mi caso freenode
5. servidor?  -> la direccion del servidor: irc.freenode.net
6. requiere de otro puerto no standar? -> Si lo ves necesario
7. nick del bot? -> Cual sera el nombre del bot
8. password del nick?  si el nick esta registrado necesita password
9. canales a conectar?  respondemos Y y en mi caso seria #DragonJAR.org
10. cargar los plugin idividualmente?  -> NO
11. owner? Este es el nick quien controlara al bot
12. caracteres que usara para las ordenes del bot? Y Puede ser @ o | o ! como guste

5. Lanzamos el bot con el archivo de configuracion que se creo en el paso anterior, generalmente el archivo de configuracion tiene el nombre del archivo con extension .conf:

supybot nombre.conf

6. Si todo ha salido bien, ya tendremos nuestro bot en el canal de IRC, ahora es necesario entablar una conexion con el bot e identificarnos para poder lanzarle comandos:

/query nombre
identify nick-quien-controlara-elbot password

7. Listo ya podremos mandarle muchos comandos a nuestro bot, si quieren ensayar pueden mandarle un ping, y el respondera un pong, este bot tiene muchas funcionalidades, como diccionario, rss,  traductor, mensajes personalizados, y muchos mas… para eso es bueno que lean el manual de cada script y vean como funciona cada uno.