quarta-feira, 26 de maio de 2021

nmap commands

 

  • Detectando falhas em servidores utilizando o método de saída do tipo verbose -v
    nmap -sS -v -Pn -A --open --script=vuln + IP do Alvo
    (Descobre a vulnerabilidade do servidor com aquele endereço de IP especificamente)
  • Analisando vulnerabilidades em mais endereços de IP de uma rede
    nmap -sS -v -Pn -A --open --script=vuln + IP alvo/24
  • Descobrindo portas abertas, versões de serviços e sistema operacional que está rodando no alvo.
    nmap -v –sV -Pn -O —open + IP do alvo
    (O argumento “-O” pode ser substituído pelo argumento “-A”)
  • Realizando pesquisas sobre alvos
    nmap –script=asn-query,whois-ip,ip-geolocation-maxmind + IP do alvo
  • Burlando firewall
    *Existem 3 maneiras diferentes de burlar um Firewall em uma rede externa:
    nmap -f -sV -A + IP do alvo (Neste comando ocorre a fragmentação de pacotes que serão enviados para se conectar ao alvo)
    nmap -sS -sV -A + IP do alvo (Faz varreduras do tipo SYN na rede alvo)
    nmap -Pn -sV -A + IP do alvo (Não enviar pacotes ICMP para o alvo, ou seja, não pingar na rede)
  • Mandando um recado para o admin que está do outro lado da rede
    nmap –sS www.alvo.com —verbose –data-string “Você está sendo ownado, admin!”
  • Buscando falhas de DDoS
    nmap -sU -A -PN -n -pU:19,53,123,161 –script=ntp-monlist,dns-recursion,snmp-sysdescr + IP do alvo
  • Fazendo brute-force no banco de dados do alvo
    nmap --script=mysql-brute + IP do alvo

Alguns comandos com Nmap em rede interna:

  • Analisando IP e endereços de MAC de dispositivos em uma rede
    nmap 192.168.0.1/24
    (IP do Gateway da rede / 24)
  • Como fazer menos ruídos o possível ao se fazer analise em uma rede interna para não ser banido

O fato de não se fazer muito barulho na rede deve-se ao fato de não realizar a busca de endereços do MAC e para que isso não ocorra, utilizamos o comando “–send-ip”. Exemplo:

nmap –T0 –send-ip 192.168.0.1/24 (O parâmetro “-T0” é utilizado para se fazer um Scan mais demorado na rede a ponto de não levantar tanta suspeita do alvo).

*Se o alvo estiver fora da rede, a opção “–send-ip” pode ser ignorada com segurança.

Você também pode automatizar todos esses comandos utilizando nossa plataforma de pentest em nuvem que facilitada todas as consultas e realiza comandos avançados, conheça o HStrike: https://hstrike.com/

às Nenhum comentário:

sexta-feira, 14 de maio de 2021

Proxmox lento nos storages


pvesm status


udevadm trigger


#proxmox
#lvm
#linux
#virtualizacao
às Nenhum comentário:

quarta-feira, 12 de maio de 2021

Monitoramento seguro - ssh

 Inicialmente, a mais óbvia. Troque a porta default de 22 para alguma que esteja acima de 5000. Os bots, geralmente, só testam senhas em SSH configurados na porta 22. Para trocar a porta, no Debian, edite o arquivo /etc/ssh/sshd_config e procure pela linha Port 22. Depois de alterar a porta, reinicie e o serviço com o comando:

 # /etc/init.d/ssh restart

Há várias coisas legais que podem ser feitas, tudo já divulgado aqui no Dicas-L por outros autores. Desabilitar o login pelo root, só permitir login utilizando certificado etc. Mas digamos que você precise do método de autenticação tradicional, com usuário e senha. Uma coisa é certa: nada de senha óbvia. Use senhas com oito caracteres ou mais, contendo letras, números e caracteres especiais. Além disso, instale o fail2ban.

fail2ban é um sistema de verificação de falha de autenticação. Pode ser utilizado com inúmeros serviços. Um deles é o SSH. Então, digamos que alguém tente um login por SSH e erre X vezes o usuário, a senha ou ambos. O IP desse usuário será bloqueado por N segundos. É isso que o fail2ban faz. Inicialmente, instale-o com:

 # apt-get install fail2ban

A seguir, edite o arquivo /etc/fail2ban/jail.conf e, na seção [ssh], altere a entrada

 maxretry = 6

para

 maxretry = 3

Ainda, abaixo da citada linha (maxretry = 3), acrescente:

 bantime = 3600

Reinicie o serviço fail2ban:

 # /etc/init.d/fail2ban restart

No caso, o fail2ban foi configurado para, na ocorrência de três tentativas sem sucesso de autenticação SSH, bloquear por 1 hora (3600 segundos) o IP do atacante. O bloqueio se dará por Netfilter (ativado pelo fail2ban via comando iptables).

Por fim, o pior problema que pode acontecer numa invasão é você nunca ficar sabendo que ela ocorreu. Então, você precisa do samhain. O samhain é responsável por lhe avisar quando qualquer arquivo ou diretório que esteja na relação de vigilância dele for alterado. Uma das formas de ser avisado é por e-mail. Então, instale o samhain com o comando:

 # apt-get install samhain

Considerando que você esteja querendo vigiar por e-mail o servidor que recebeu o samhain, instale o sendmail em tal servidor para que este possa enviar e-mails.

 # apt-get install sendmail

O sendmail será instalado de forma que só a máquina local possa enviar mensagens (não haverá portas abertas para fora). Isso poderá ser verificado com o comando:

 # netstat -tunlp

A seguir, edite o arquivo /etc/aliases e, no fim, insira a linha:

 root: seu_endereço_de_email

Ou seja: quando o samhain enviar um mail local para o root, ele será redirecionado para o seu e-mail. Para validar a configuração anterior, execute o comando:

 # newaliases

Se for necessário, no arquivo /etc/samhain/samhainrc você poderá configurar quais arquivos e diretórios devem ser observados ou não. Dentro do arquivo tem toda a explicação de como fazer. Leia o arquivo desde do início. Você poderá utilizar wildcards etc.

É lógico que existem outras artimanhas e programas que podem ser utilizados. Mas com o que escrevi aqui, com certeza, o grau de segurança do seu servidor SSH aumentará bastante.

às Nenhum comentário:
Assinar: Postagens (Atom)

RECOVER SENHA UBUNTU