Ho già scritto tempo fa a proposito del comando netstat di windows, nel post Visualizzare le sessioni TCP/UDP attive con il prompt dei comandi.
Oggi spiegherò come identificare malware o applicazioni non gradite con questo semplice ma potente strumento.
Ecco come monitorare le connessioni TCP usando netstat, ed ottenere un log dettagliato dei processi che accedono ad internet a nostra insaputa:
Prima di iniziare la fase di monitoraggio è bene chiudere tutti i programmi che si collegano ad internet come il browser, i programmi di chat, i client peer 2 peer etc.. visto che vogliamo ottenere un file di log il più “pulito” possibile.
Accertatevi che sul computer non vi siano più connessioni attive, e lasciando il pc collegato ad interntet avviate il prompt dei comandi e digitate:
netstat -bn [intervallo] >connections.log
l’output delle statistiche sarà salvato in un file connections.log:
di tutte le connessioni TCP saranno loggati gli ip, le porte (-n) e il nome dei processi che hanno inizializzato le connessioni (-b). L’intervallo, specificato in secondi, è la frequenza con cui il comando viene richiamato in loop.
netstat -bn 10 >connections.log
Questo è potenzialmente un loop infinito, ma potete interromperlo in ogni momento premendo CTRL+C.
L’ideale sarebbe lasciarlo in ascolto per qualche ora, oppure durante la notte.
Ed ecco l’output, qui vedete una connessione ad msn messenger:
Active Connections
TCP 192.168.1.1:1031 207.46.108.86:1863 ESTABLISHED 288
[msnmsgr.exe][...]
Potreste anche automatizzare il termine del monitoraggio usando AT per interrompere il processo all’orario preferito:
C:\>time
The current time is: 00.00.00,00
Enter the new time:
C:\>at 06:00 cmd /c "taskkill /F /IM cmd.exe"
C:\>netstat -bn 10 >connections.log
Proteggere le applicazioni web con PHPIDS Intrusion Detection System
16 Oct
Posted by Tacu in Internet, Sicurezza
tags: Intrusion Detection, php, phpids
PHPIDS Intrusion Detection System
PHPIDS è un Sistema di Intrusion Detection di facile installazione che vi permette di proteggere tutte le vostre applicazioni web, siti e script php senza influire sulla velocità di esecuzione degli stessi.
PHPIDS è gratis ed è giunto ora alla versione 0.5.3.
Come funziona
Lo script, che va incluso nelle pagine da mettere in sicurezza (oppure preposto in tutte le richieste http tramite un settaggio del php.ini che vedremo tra poco), analizza le richieste senza filtrare o “strippare” l’input, semplicemente riconosce il codice maligno reagendo esattamente come volete voi, anche in base alla gravità dell’attacco; per esempio potete istruire l’IDS per terminare il caricamento della pagina dopo aver loggato ip e input del potenziale intruso.
PHPIDS è in grado di riconoscere tentativi di attacco XSS, SQL Injection, header injection, directory traversal, RFE/LFI, DoS e LDAP. Può inoltre rilevare le richieste ostili che sono state offuscate, come la codifica del codice iniettato nel charset UTF-7 o nelle entità Unicode, decimale ed esadecimale.
Esempio di codifica UTF-7:
+ADw-script+AD4-alert(’Hacked!’)+ADsAPA-/script+AD4-
che decodificato diventa:
<script>alert(’Hacked!’);</script>
L’analisi degli input è basata su una serie di regole di filtraggio raccolte in un unico file XML in costante sviluppo; questo ci agevola molto nel mantenere aggiornate le definizioni degli attacchi.
Ad ogni regola è assegnato anche un “impatto” in forma numerica, che determina la gravità del tipo di attacco che si sta subendo: in base all’impatto è quindi possibile definire e personalizzare i comportamenti di phpids nel neutralizzare il tentativo di intrusione .
Per tenere traccia degli attacchi rilevati sono disponibili funzioni di logging su file di testo, DataBase o tramite l’invio di mail e possiamo implementare queste funzioni anche contemporaneamente.
If ($result->getImpact() >= 40) /* Impatto */
{
require_once ‘IDS/Log/File.php’;
require_once ‘IDS/Log/Email.php’;
require_once ‘IDS/Log/Composite.php’;
$compositeLog = new IDS_Log_Composite();
$compositeLog->addLogger(IDS_Log_File::getInstance($init),
IDS_Log_Email::getInstance($init)); /*Loggo su file e mail*/
/* Interrompo il caricamento */
die(’<h1>Il tuo attacco è stato Loggato!</h1>’);
}
Per venire incontro agli ormai arcistufi utenti di Windows Vista, Microsoft ha pubblicato (nel luglio 2008) un e-book che si propone di fornire una hand-guide per l’ottimizzazione del sistema ed un aumento sostanziale delle prestazioni.
Ecco una panoramica degli argomenti trattati nel tutorial:
- Configurare il sistema per l’aumento della velocità di risposta delle applicazioni.
- Adeguamento e ottimizzazione dell’hardware.
- Velocizzare i tempi di caricamento del sistema operativo.
- Migliorare le prestazioni rendendo il proprio computer più “sicuro”.
- Lezioni sul monitoraggio delle performance.
La guida è disponibile solo in lingua inglese, ma è comunque molto comprensibile e ricca di immagini ed esempi.
Scarica: Windows Vista® Performance and Tuning Tutorial
Fonte |- Scattered Notes
Non sono pazzo: sì, possiamo far credere ad un sito di essere uno spider come googlebot con estrema facilità.
Perchè mai farlo? Semplice, perchè in alcuni casi questo trucco ci risparmia la “fatica” di doverci registrare ai vari siti, blog, forum durante le nostre ricerche sul web.
Lo scenario tipico è quello in cui, quando digitiamo una chiave di ricerca su google e seguiamo uno dei risultati ci troviamo di fronte ad una richiesta di registrazione, necessaria per accedere al contenuto desiderato. Il che a volte è molto fastidioso.
Come avrete capito Googlebot, il famoso spider (o Crawler) che in ogni momento setaccia il web a caccia di contenuti da indicizzare, ha le porte aperte un po più degli altri. Il motivo lo ho già detto: in quanto spider analizza e indicizza le pagine, indicizzazione significa popolarità, popolarità significa incremento della visibilità e volendo maggiori guadagni per il webmaster, magari se nelle proprie pagine mostra un po di pubblicità.
Ecco perchè ognuno di noi avrebbe interesse a far leggere i propri contenuti al googlebot di turno, pure se normalmente non sarebbero accessibili ad utenti non registrati, ed è proprio questo quello che accade, per un semplice discorso di visibilità.
Come si fa?
Basta modificare lo User-agent del nostro browser, una stringa di testo (header) inviata ai vari server durante le richieste http e usata per identificare il client (browser) utilizzato per la navigazione.
Banalmente, se avete firefox, la stringa che inviate è questa:
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3
Anche Googlebot manda un header quando bussa alle porte di una pagina web, ed è questo:
User-Agent: Googlebot/2.1 (+http://www.googlebot.com/bot.html)
Se volete provare vi consiglio di usare Firefox, installando un leggerissimo Add-On che modifica a piacimento gli header HTTP: Modify-Headers.
Installatelo e aggiungete la stringa di googlebot come nell’immagine, attivate la modifica e buona navigazione.
Il mio consiglio è quello di attivare l’header solamente quando si fanno ricerche, in quanto certi domini tendono a dare in pasto ai bot versioni Lo-Fi delle pagine.
DTIData rende disponibili sul proprio blog ufficiale una serie di articoli e utili consigli per la salvaguardia dei dati personali.
A proposito di CHKDSK (checkdisk), utility disponibile nei sistemi DOS e Windows per il controllo del file system, Jacqui Best ci spiega perchè è importante fare un backup completo prima di usarla quando sul supporto che non funziona correttamente sono presenti dati importanti.
CHKDSK è uno strumento sviluppato per il controllo e il ripristino dell’integrità del file system, può essere usato anche per riconoscere bad sectors e fare in modo che questi vengano ignorati dal sistema; infine è la prima risorsa built-in a disposizione del sistemista quando windows non si avvia.
Quello che di solito si ignora è che CHKDSK non è stato pensato per eseguire il controllo sull’integrità dei dati.
Cito da una Knowledge Base Microsoft che approfondisce il funzionamento dell’utility:
Note also that NTFS does not guarantee the integrity of user data after an instance of disk corruption, even if you immediately run a full CHKDSK operation. There might be files that CHKDSK cannot recover, and files that CHKDSK does recover might still be internally corrupted. It remains vitally important that you protect mission-critical data by performing periodic backups or by using some other robust method of data recovery.
Se volete ridurre al minimo la possibilità di perdere i vostri dati il consiglio è di fare un’immagine del disco prima di tentare il recovery con checkdisk, dal momento che oltre a farvi perdere (molto) tempo e danneggiare ulteriormente l’hard disk potrebbe rendere difficile il lavoro persino ad uno specialista.
Disabilitare l’esecuzione di Chkdsk
Per evitare quindi l’esecuzione non desiderata del comando (windows tende a schedularlo al primo reboot in caso di errori), perlomeno finchè i dati che ci interessano non sono in salvo, si può ricorrere ad un piccolo trucco:
da un prompt del DOS, che se il sistema non si avvia possiamo utilizzare anche in modalità provvisoria, digitiamo
Chkntfs /x C:
dove al posto di <C:> inseriremo la lettera di unità del disco danneggiato.
