Skip to content

Instantly share code, notes, and snippets.

@ssoto
Created April 14, 2015 16:15
Show Gist options
  • Save ssoto/b5c90e427eabc1255d6b to your computer and use it in GitHub Desktop.
Save ssoto/b5c90e427eabc1255d6b to your computer and use it in GitHub Desktop.
Seminarios de Seguridad Informática (Quivir Research Group)

Seguridad

Jorge de Quantika14

Exploids en su blog para tirar wordpress [@jorgewebsec][https://twitter.com/JorgeWebsec]

http://quantika14.com/

Exploid a http://araceliingles.com (wordpress)

borrar meta que pueda decir CMS, tersión, etc si se usa un CMS.

Herramientas:

  • nicto:
  • metaexploid: scaneo y ataques por fuerza bruta
  • gohira (herramienta) disponible en overload.com
  • vpscan: hecho en ruby. Dice versión y posibles exploids para wordpress.
  • abueloWP: hecho en Python.

Cuando se hace exploid hacerlo poco a poco.

  1. Ver versión y plantilla usada
  2. buscar vulnerabilidad

Tienen una colección de exploids para wordpress: http://wordpressa.quantika14.com/repository/

Forense despues de sufrir un exploid

Adquisición en apagado

Se clona y después se analiza. Util cuando son procesos de criptografía.

Adquisición en frío

###Análisis PPensar como el malo. Ir a los directorios odnde puedan estar los backdoors. Archivos 777 => sospechosos

Mirar en acceslog para ver como el atacante entró. Es importante saber cuando ha pasado para filtrar los logs.

Buscar shell.php y backdoors.

Un ejemplo: que haga peticiones a páginas http://ad.fly que paga por visitas.

Herramientas de última hora:

  • clameav: herramienta anti malware http://www.clamav.net/index.html
  • wordpressa challenge: plugin para inyección de xss. Para aprender.
  • Intsalar plugins wordfense y ipsecurity.
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment