ssoto/notes.md

Created April 14, 2015 16:15

Star () You must be signed in to star a gist
Fork () You must be signed in to fork a gist

Learn more about clone URLs
Clone this repository at <script src="https://gist.github.com/ssoto/b5c90e427eabc1255d6b.js"></script>
Save ssoto/b5c90e427eabc1255d6b to your computer and use it in GitHub Desktop.

Download ZIP

Seminarios de Seguridad Informática (Quivir Research Group)

Raw

Seguridad

Jorge de Quantika14

Exploids en su blog para tirar wordpress [@jorgewebsec][https://twitter.com/JorgeWebsec]

http://quantika14.com/

Exploid a http://araceliingles.com (wordpress)

borrar meta que pueda decir CMS, tersión, etc si se usa un CMS.

Herramientas:

nicto:
metaexploid: scaneo y ataques por fuerza bruta
gohira (herramienta) disponible en overload.com
vpscan: hecho en ruby. Dice versión y posibles exploids para wordpress.
abueloWP: hecho en Python.

Cuando se hace exploid hacerlo poco a poco.

Ver versión y plantilla usada
buscar vulnerabilidad

Tienen una colección de exploids para wordpress: http://wordpressa.quantika14.com/repository/

Forense despues de sufrir un exploid

Adquisición en apagado

Se clona y después se analiza. Util cuando son procesos de criptografía.

Adquisición en frío

###Análisis PPensar como el malo. Ir a los directorios odnde puedan estar los backdoors. Archivos 777 => sospechosos

Mirar en acceslog para ver como el atacante entró. Es importante saber cuando ha pasado para filtrar los logs.

Buscar shell.php y backdoors.

Un ejemplo: que haga peticiones a páginas http://ad.fly que paga por visitas.

Herramientas de última hora:

clameav: herramienta anti malware http://www.clamav.net/index.html
wordpressa challenge: plugin para inyección de xss. Para aprender.
Intsalar plugins wordfense y ipsecurity.

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment