Pages

Ads 468x60px

martes, 21 de agosto de 2012

Suspicious activity...

Hola a tod@s.

Hoy a última hora me ha llegado un ticket para revisar un problema de un pc que estaba enviando trafico presuntamente ilegitimo.
El ticket contenía esto:

Suspicious activity from host 10.128.237.163 to 115 local destinations, mainly on SNMP protocols ports. Network scan lasted 6 minutes and 18 seconds and in that time host generated 232 events. Source port for that traffic was 1163 which is known as port for sddp protocol. Such volume of communication on that port seems to be suspicious if the source host is not a server which runs that kind of scanning periodically.

Please determine whether this kind of traffic is legitimate and inform us about that. 


Y el departamento de turno nos adjuntaba esto desde trend micro:



   
Pues bien, me he puesto manos a la obra con mi compañero.
Conectados en remoto con el equipo que estaba dando los problemas, hemos usado wireshark para ver que conexiones se estaban estableciendo y rápidamente hemos encontrado las peticiones rarunas.

Localizado esto, hemos buscado programas "sospechosos" desde "agregar o quitar programas. Si, ya se que no hay sitio peor para buscar, pero allí no tienen herramientas para usar, -de hecho el wireshark lo he instalado por mi cuenta y ya veremos si me cae bronca- allí si hay un problema de este tipo no pierden el tiempo, le pasan la imagen al equipo y se dejan de historias, ya que tienen un tiempo estimado de resolución de los casos etc.
Hoy hemos tenido suerte y como estamos en Agosto hemos decidido echarle un rato y entretenernos.

Como comentaba, revisando el panel del agregar y quitar programas, hemos encontrado un programita que era una tool-bar. Analizando con el RDG Packer Detector ha resultado ser un troyano (ahora no recuerdo el nombre). Total que hemos desinstalado la barrita y hemos estado buscando a ver si había algún proceso extraño o algún archivo más "sospechoso" sin ninguna suerte jeje.

Al final, los superiores han dicho que teníamos que pasarle la imagen, parece ser que no quieren tener problemas, lo cual entiendo, porque solo en las oficinas de Madrid son mas de 200 equipos, sin contar los 60 comerciales y las 12 sedes que hay por Europa y las 2 de EEUU...

Al menos nos hemos entretenido un rato :D

No pongo mas fotos del procesoporque con mi compañero delante no me iba a poner a sacar pantallazos y explicarle para que eran y porque no quiero tener problemas, espero que al poner las 3 imágenes no me este metiendo ya en un lió, que aquí son muy raritos.

Saludos.

domingo, 19 de agosto de 2012

Cross-Domain Request

Hola a tod@s, hoy os traigo una contribución de @badydeejay bastante interesante.
Sin más, os dejo con la entrada.



Hola bloggeros!
Hoy vamos a hablar de Cross-Domain Request. Esto consiste en hacer peticiones HTTP entre dominios y/o protocolos desde el lado del navegador, generalmente, mediante JavaScript.

Claro, todos pensamos: "bueno... con AJAX se soluciona todo, cargamos páginas externas y listo", efectivamente usamos AJAX pero hace ya tiempo se implementó una política de seguridad llamada 'same origin policy' que dice algo como:
"Te dejo acceder a contenido únicamente de tu mismo dominio y mismo protocolo, sino te jodes y te aguantas."

Tal es esto que imaginemos que accedemos desde un dominio:

http://www.ejemplo.com/

Podríamos cargar por AJAX el directorio /imagenes (http://www.ejemplo.com/imagenes)
pero no podríamos cargar el mismo index por HTTPS (https://www.ejemplo.com/).
Y por supuesto nada de intentarlo con ejemplo.es ...

Pero se hizo una pequeña excepción para aquellos que quieran dar acceso (como a desarrolladores que ofrecen documentos de datos XML o JSON ; como por ejemplo, una API). Esa excepción se basa en añadir a la respuesta HTTP el parámetro "Access-Control-Allow-Origin: *".

(Figura 1: Cabecera HTTP api.soundcloud.com de un JSON)

Pero, imaginemos que una página web externa no permite esta acción, ¿cómo podríamos obtener el contenido?
Tenemos varias formas, la primera es amenaza de bomba al creador de la página, a ver si así le mete el 'Access-Control-Allow' o la otra opción es cargar los datos sin ese parámetro y sin que se entere el dueño...


(Figura 2: Esquema)

 
Para obtenerlo, como véis en la Figura 2, se debe hacer una petición a un intermediario que cargue la página de lado del servidor.

En sí, esa es la idea fundamental, una especie de intermediario muy simple sería por ejemplo en php:

<?php echo file_get_contents($_GET["url"]); ?>

Pero lo que la mayoría utilizamos es YQL (Yahoo! Query Language), para quién no lo conozca es un lenguaje de sintaxis muy similar a SQL orientado a filtrado de datos de servicios web.

Para ello realicé una pequeña aplicación web para obtener el código fuente de cualquier página web mediante la consulta:
" SELECT * FROM html WHERE url='(url_de_la_web)' "

La aplicación se compone de un formulario dónde se introduce la URL y un botón que accione la petición; y una capa dónde se mostrará la información. Aunque la parte fundamental es la parte en el que JavaScript hace la petición YQL y te devuelve la web, la función "doXDR()".

(Figura 3: aplicacion cross-domain request)

El source de la aplicación la podréis encontrar en http://pastebin.com/vdEV5kA7

Muchas gracias por la atención!

*Quiero agradecer a @badydeejay su ayuda para modificar la plantilla de este blog, además de tomarse la molestia de escribir este post.
Gracias!!!

miércoles, 8 de agosto de 2012

PROCESO PARA PASAR IMÁGENES CON ACRONIS 10 ( II de II)

_______________________________________________________________

_______________________________________________________________

Bueno, pues para terminar esta guía de imágenes con Acronis, voy a explicar como recuperar la imagen que sacamos anteriormente.

Voy a ir directamente al grano. 
El primer paso igual que en la otra entrada es arrancar el cd de Acronis.
Después hacemos click en "ejecutar la consola de gestión"


Nos vamos a "recuperar"  como vemos en la imagen



Lo siguiente es elegir donde tenemos guardada la imagen (en la entrada anterior lo metimos en un disco externo USB), para ello pinchamos en "cambiar"

Habiendo pinchado en "cambiar", nos abre una nueva pantalla en la que debemos seleccionar donde está el archivo de la imagen que guardamos anteriormente. Navegamos a "carpetas locales" y escogemos la imagen a recuperar.

Una vez seleccionado el archivo, pulsamos en "correcto" y nos devuelve a la pantalla anterior, en la que debemos seleccionar el contenido del disco. Pinchamos en "cambiar" y sale esto:


Seleccionamos los 2 discos (recordad marcar el MBR) y le damos a "correcto".
El siguiente paso es decirle donde queremos recuperar los datos - en este caso a nuestro disco duro local- y lo hacemos pinchando en "cambiar"


Nos aparece la pantalla de "destino del MBR" y debemos seleccionar nuestro disco duro y darle a correcto.


Al igual que en el paso anterior debemos recuperar la parte de los datos en nuestro disco duro, así que lo hacemos pinchando en "cambiar" y dentro de "destino del volumen" seleccionamos nuestro disco.


Le damos nuevamente a "correcto" y nos devuelve a la pantalla principal, en la que ya solo nos resta darle a "aceptar" y acto seguido comienza nuestra copia.


En el momento que termine, nos lo indicara en la pantalla (imagen anterior) con el mensaje "finalizado"  y ya podremos disfrutar de nuestro pc con todos los drivers instalados, paquete ofimático etc, todo según lo hubiésemos creado en el post anterior.

Quiero aclarar una cosa:

Al crear la imagen con acronis, hay un punto en el que se le puede decir que la haga sector por sector, tarda mas, pero nos aseguramos de que la copia queda en el espacio del disco tal como estaba anteriormente. Esta forma se usa cuando se clonan los disco para el análisis forense digital.

Espero que os haya gustado este tutorial y que lo pongáis en practica, así os quedará más claro.
Saludos.

viernes, 3 de agosto de 2012

PROCESO PARA PASAR IMÁGENES CON ACRONIS 10 ( I de II)

_______________________________________________________________

_______________________________________________________________



Hola a tod@s

En esta entrada voy a tratar de explicar como podemos crear una imagen de nuestro equipo y en la próxima haré lo propio para recuperar dicha imagen.

Lo primero, aclarar un par de cosas:

La primera es que el software que utilizo en este caso es de pago, (creo que tienen versión gratuita) y una vez mas quiero pedir que por favor no se piratee el software. Si, ya se que hasta hace relativamente poco yo era el primero que tenia photoshop con un serial un poco “extraño” pero también he comprendido que este no es el camino y que si quieres un software has de pagarlo, al igual que bajas a la panadería y no se te ocurre coger el pan sin pagarlo. Así que no quiero seguir siendo ese amigo “piratilla” que siempre deja los CD de software a todo el mundo y desde aquí os animo a todos a que hagáis lo mismo. Además casi todos los programas tienen su “alter ego” gratis, photoshop tiene a gimp, Nero tiene varios amigos gratuitos etc.

Y la segunda es que partimos de la base de que la imagen se debería crear al instalar el SO, sus drivers y demás programas desde cero, es decir, no liarnos a instalar 70 cosas absurdas y que luego ni utilizamos…
Yo recomiendo instalar por ejemplo:
-Windows 7
-Office2010
-Flash player, java, cute PDF, AVG…
Obviamente como ya he dicho antes todo original. Y antes de nada por favor parchear todo, el SO, Office, el antivirus etc.

Para hacer nuestra imagen necesitamos:
*Un ordenador al que hacerle la imagen xD
*Un disco externo USB, que es donde guardaremos la imagen.
*CD Original de Acronis.

Dicho esto, vamos al lío que llevo media entrada y no he puesto ni una foto xD.

Bueno, lo primero que debemos hacer es arrancar el programa Acronis. Este es booteable desde el CD, así que ya sabéis, activar como arranque primario en la BIOS la lectora de CD o DVD (acordaros luego de desactivarla por temas de seguridad)
Una vez hagamos esto, el CD arrancará y veremos la primera pantalla.


Acto seguido, pinchamos en “ejecutar consola de gestión” para realizar la imagen de nuestro equipo.

Lo siguiente que debemos hacer es ir a “realizar copia de seguridad” como vemos en la siguiente imagen.




 Bien, ahora debemos seleccionar que es lo que queremos “salvar”, de manera que accedemos a “incluir en la copia de seguridad”. Nos detecta el disco del SO y el disco externo en el que haremos la imagen y pinchamos en “cambiar” para que nos muestre las unidades y seleccionemos de la que vamos a coger los datos.



En mi caso seleccionaré el disco 2 completo ya que el otro disco es el externo USB donde lo voy a guardar y le doy a “correcto”.

Hay que guardar el MBR, estar atentos porque sino ese disco no arrancará.



Acto seguido, nos pide que le digamos donde vamos a guardar dicha imagen. Para el ejemplo lo dejo en una serie de carpetas nombradas para luego poder identificarlo. Solo debéis seleccionar el disco USB pinchando en “carpetas locales”. Podéis crear vuestra carpeta de la siguiente manera. Imágenes – Nombre del equipo – Nombre o numero de serie del equipo. Cuando lo tengáis le damos a “correcto”


Bien, pues ya solo nos queda darle a aceptar en la ultima pantalla para que empiece a realizarse nuestro backup. Podéis verlo en la siguiente imagen.


Cuando termine la copia de seguridad, nos lo mostrará en la pantalla, ojo porque no salta ningún aviso, solo lo pone como se ve a continuación.

Lo que también indica es el tamaño de la copia.

Pues visto este ultimo paso, ya tenemos lista nuestra copia de seguridad.
Espero que os haya gustado y sobre todo que os sirva. En breve la parte II "como recuperar en caso de desastre" xD.
Saludos!

jueves, 2 de agosto de 2012

Como escanear

Vamos a ver si nos aclaramos (parafraseando a los grandes Faemino y Cansado).
Que luego me tachan de que tengo poca paciencia.

Os pongo en antecedentes. Resulta que estando en un cliente hace unas semanas me piden que explique a una señora que esta a 2 meses de jubilarse como escanear con un equipo Hp OfficeJet 6300.

Pues nada, yo me armo de paciencia y como ese día la señora no estaba, se me ocurre hacerle un manual, el que os expongo a continuación:



PARA ESCANEAR
Lo primero es abrir Centro de soluciones HP

Al abrir el programa nos aparece lo siguiente:


Pulsamos en escanear imagen y nos abre esta pantalla

Pulsamos en archivo PDF y en escanear

En la siguiente ventana dejamos todo tal cual y le damos a aceptar


Después comienza a escanear el documento.
Una vez nos aparece el documento en la pantalla le damos a finalizar.


La ruta donde se guardan los documentos es:
C:\Users\usuario\Documents\Mis escaneos

*Para cualquier otro formato de documento solo hay que cambiarlo en el paso 3 y elegir el que queramos.






Bien, pues después de lo que habéis visto, me llaman la semana siguiente y me dicen que la buena señora no sabe escanear. 
Me puede decir alguien si con lo que dejé escrito y con las imágenes no seria capaz de escanear al menos un documento en .PDF como muestro en las imagenes?? porque vale que no tenga mucha paciencia, pero creo que cualquier simio de 112 años seria capaz.

Luego soy yo...
Saludos.
Creative Commons Licence
1Gb De informacion by Roberto García Amoriz is licensed under a Creative Commons Attribution-NonCommercial 3.0 Unported License.
Based on a work at http://www.1gbdeinformacion.com/.
Permissions beyond the scope of this license may be available at http://www.1gbdeinformacion.com/.

Perfil profesional en Linkedin

 
Blogger Templates