¿Puede el efecto Meneame causar un dDOs?

http://www.abadiadigital.com/imagenes/logo-meneame.png
Quizas alguien se pregunte que es el efecto meneame, o incluso que es meneame.

Meneame es una pagina de noticias, puedes votar las que mas te gusten, quitar puntos a las que te parezcan irrelevantes, etc. Todo muy 2.0.

Mucho se ha hablado sobre el efecto meneame: oleadas de personas que llegan a tu pagina cuando un texto de tu web llega a la portada de meneame.

En una prueba realizada por mi consegui mas de 200 visitas en apenas 3 minutos (:rolleyes:) con tan solo 3 meneos (lo normal son del millar hacia arriba para llegar a portada, vamos, que no pude experimentar ni una milesima parte del efecto meneame).

Mucho se ha hablado de que hay que tener tu web en un servidor potente si quieres soportar los picos de un efecto meneame... tu web se ralentiza, empieza a fallar si tu host no es potente.. un caos.

Pero.. es esto mito o realidad? Hay gente que realmente piensa que puede causar el efecto de un dDOs sobre tu web.. ¡y aqui estamos para comprobarlo! ;-)

Este próximo sabado, dia 30 de mayo, levantare un servidor en un servidor casero, enviare una noticia a meneame e intentaremos entre todos que llegue a portada, para comprobar si se sufre un retardo en la web, o incluso si cae. :laugh:
Asi que cuanta mas difusion le deis a este post, mejor sera, y mas lo agradecere yo

Ya ansioso por que llegue la hora de la prueba me despido.

El chiste mas friki de la historia

- ¿Por qué los programadores americanos confunden el dia de Navidad con Halloween?
- Porque DEC 25 = OCT 31






¿Lo entendiste a la primera? Si? Mala cosa :P

Una pequeña perla: IntelliSense

http://www.larepublica.com.uy/publicaciones/101/20060421/images/contratapa17pronta.gif

Revisando los proyectos que se estan presentando en elhacker.net para el evento "Abril Negro", encontre esta pequeña joya en C# que me hizo recordar un proyecto que siempre quise hacer..


pero que nunca encontre un momento adecuado. :-(Enlace

Cito textualmente de su autor, 43H4FH44H45H4CH49H56H45H (Link original)

IntelliSense es una técnica que se me ocurrió para sacar información y obtener control remoto de una PC o Red enviando ordenes vía web desde cualquier equipo público o privado y cualquier Sistema Operativo con un navegador o cliente FTP.
IntelliSense puede ser aplicado al lenguaje de programación que más nos guste.

Como funciona?
Al iniciar el programa verificara si se encuentra en una cuenta de Administrador u otro tipo, dependiendo de la cuenta elegirá donde se copiara y si modificara el registro para el auto inicio, deshabilitado del Safe Mode y otras cosas.

Una vez realizada la autocopia listara los archivos que se encuentren en Mis Documentos y el Escritorio para enviarlos vía mail (escogí Gmail para la demostración) a nuestra cuenta además de algunos datos de la víctima.

Luego empezara a leer las ordenes web que se encuentren en un archivo "1.txt" que tengamos alojado en alguna pagina web con el siguiente formato:

"PC:ORDEN"

Donde "PC" puede corresponder a la IP pública, IP privada, Nombre de Usuario o Nombre de Usuario de Dominio para poder enviar la orden a una máquina especifica y si necesitáramos enviarla a todos los PC's se puede usar ALL.

"ORDEN" se refiere a la orden que enviamos a la PC el diseño actual cuenta con
4 ordenes:
CAPTURA: que envía vía mail una captura de pantalla.

KILL: que reemplaza los archivos principales de arranque para evitar el inicio de Windows y reinicia el equipo.

KEYLOG: que envía los datos sustraídos (si los hubiera) de cuentas de correo (páginas en español) como GMAIL, Windows Live Messenger, Hotmail ,Yahoo u otras que especifiquemos.

default: que envía por FTP uno, varios o todos los archivos que queramos utilizando Winrar para comprimirlos, si por ejemplo pusiéramos en la orden:

"*.*" enviara todos los archivos listados
"*.JPG" enviara solo los archivos con dicha extensión.
"documentos.doc" enviara dicho archivo.

Tb cuenta con métodos de protección matando el proceso del Task Manager y si se ingresa a la carpeta donde se encuentre activara la protección igual que con "KILL".

El keylogger solo se activa cuando se ingresa a las páginas que especifiquemos y cada media hora si hay datos que enviar lo hará vía mail.

En la propagación por Messenger lista todos los contactos que se encuentren en la cuenta actual e ira enviando un link de descarga y una copia de si mismo comprimida a cada contacto, si el contacto esta "conectado" recibirá el link de descarga mas la copia comprimida, en otra caso recibirá solo el link de descarga.

En la replicación por USB listara las carpetas de la unidad USB y las ocultara para luego crear copias de sí mismo con los nombres de dichas carpetas (ya se ha visto en replicación USB).

Aqui esta el link del proyecto, para que lo reviseis tranquilamente. ::)

Microsoft y su Servidor Web: ZAS

http://www.hermanotemblon.com/wp-images/iis6.jpg

Nada mas enterarme fui a probarlo: vulnerabilidad de las que hasta un niño pequeño sabe usar en el IIS 6 (solo si incluye el modulo WebDAV) de Microsoft (por si alguien no lo conoce, el "Apache" del tito Bill.

Afecta a los directorios protegidos, en vez de darnos un bello error 401 Unauthorized, nos escupiran el archivo "supuestamente" protegido. :)

Veamos como se hace esto, siguiendo el articulo que publicaba kcope hace apenas unos dias en este documento:

Todo esto se basa en como maneja el IIS el caracter unicode "%c0%af".

Al hacer una peticion normal, del tipo:

GET /protected/protected.zip HTTP/1.1
Connection: close
Host: servername

Recibiriamos un error 401 Unauthorized. Normal, es una peticion comun. Probemos otra cosa.

Hacemos una peticion con el caracter unicode del que hablabamos antes: ;)

GET /prot%c0%afected/protected.zip HTTP/1.1
Connection: close
Host: servername


401 Unauthorized. Bien, parece que un servidor IIS 6 en condiciones normales maneja bien el caracter maldito.:o Y que tal WebDAV? Probemos:

GET /prot%c0%afected/protected.zip HTTP/1.1
Translate: f <--Con esto indicamos que la peticion sea manejada con WebDAV
Connection: close
Host: servername


Zas! Ahi tenemos nuestro bonito archivo protected.zip, con todas las claves del gobierno (teoricamente ).

Nos lo devuelve limpiamente. ;-)










Quinceañeros en la moncloa? Wtf?!

http://www.crackmen.com/blog/wp-content/uploads/2009/04/mala-ortografia.gif
Parece ser que con la clara "recesion economica" de esta temporada, en la moncloa se estan viendo obligados a contratar personal mas joven para redactar sus documentos, como pude comprobar esta mañana.... :laugh:

No hay mas que ver la foto para entenderlo:

Desde luego... que mala es la pobreza

Clica para aumentar el tamaño. Viva la hortográfhia.;-)
Podeis comprobarlo tambien en este link.

¿No os recuerda a aquella vieja ""gloria"" llamada Fotolog? ;D
¿Aquellos quinceañeros que parece que la tecla Bloq May se les pegaba y despegaba del teclado a ratos?

Desde luego es una muestra mas del poder del tito Google y de la pobreza del gobierno Español..




PD: Vale, reconozco que si abrimos los enlaces los PDFs estan bien. Conclusion: Google es maligno :rolleyes:

China y EE.UU: Sin piedad

http://3.bp.blogspot.com/_UaX2MT8gC_0/SQ3n3rNdWHI/AAAAAAAAAAc/4sppulig9eQ/s400/Kylin.jpg
Esta mañana leia en Neoteo un articulo sobre la ciberguerra que se traen China y EE.UU: entre intento de hackeo y intento de DOS, parece que a los chinos les queda tiempo para hacer un S.O. completamente nuevo y invulnerable.

Por el momento, parece que se llama "Kylin", como el Quilin, un bicho mitologico que protege a los puros de corazon (:laugh:)

Su supuesta invulnerabilidad se basa en la premisa de que"todos los ataques que hay hoy en dia son para UNIK, Linux o Windows"

Mal van por ese camino, si es un S.O dedicado a pegarse con EE.UU. no tardara mucho en aparecer algun bug... y entonces.. ZAS!!

Aun me quede con la duda de si esta hecho de cero, o se basan en BSD, Linux, Win (?).. :rolleyes:

OpenOffice: democracia al fixear bugs

http://www.thevarguy.com/wp-content/uploads/2009/03/openoffice-logo.png
No todos estan de acuerdo con la democracia, pero desde luego en OpenOffice la pracican al máximo: los bugs se arreglan o no dependiendo de si son votados

(curioso, añadieron soporte anti-aliasing, por si te pone añadir imagenes a tus documentos, pero aun no arreglan el horrible bug (:laugh:) que no permite escribir parrafos de 65.534 caracteres. Terrible.)


Desde luego, esto si que es una forma de implicar a la gente en el proyecto ;-)

El sabio pobre

http://www.cocina.org/wp-content/uploads/hierbas.jpg
" Cuentan de un sabio, que un día
tan pobre y mísero estaba,
que sólo se sustentaba
de unas yerbas que cogía
«¿Habrá otro», entre sí decía,
«más pobre y triste que yo?»
Y cuando el rostro volvió,
halló la respuesta, viendo
que iba otro sabio cogiendo
las hojas que él arrojó. "

Escribiendo este blog a veces me sentia como el primero.. siempre tomando material de los grandes.. cual fue mi sorpresa al ver que un blog por ahi se dedica a robar material mio.. siempr ehay alguien que esta peor que tu...

Cronos: Arte y Backups SQL



Os presento mi último trabajo: un script de backups mysql, llamado Cronos, que solo debereis de añadir a las crontabs para que cuide de vuestras dbs.

Elimina los backups que tengan mas de 30 dias de antigüedad, aparte de comprimirlo todo en .tgz.

Además, como lo uso en un servidor compartido, cuida los permisos del directorio para que nadie pueda leer vuestros backups.

Para configurarlo, solo teneis que colocar vuestro usuario y password mysql en el script, las dbs que deseeis, los directorios que os pongan, y a disfrutar :D

En poco os dejare la version que envia los archivos por mail y ftp. Si modificais esta version, me gustaria verla :)

[Descarga]

Kon-Boot: Insultantemente facil

Hay cosas que me molestan, y entre ellas estan Kon-Boot.
Aun recuerdo aquellos momentos en los que montaba mi Live-CD,

y por linea de comandos (ya sabeis, los hombres de verdad no usan ratón :laugh: ) editaba los sam para entrar en cualquier Windows protegido con pass, hacer lo que quisiera, y reparar los sam

para no dejar huellas.



Que divertido eran esos momentos de juankeo lammer... parece que llega el fin de esos dias, con el Kon-Boot. :-(

Simplemente, lo grabas en un CD, arrancas con el y parchea el kernel en memoria para saltarse la autentificación. Insultante. Me niego a dejar link.

Yo, Twitter y el ataque 1 Entrega #2


Despues del programa de ayer, tengo una lista con 1000 usuarios de Twitter (el maximo que me dejo google antes de banearme)

Con esta lista comienza la parte interesante... Fuerza Bruta Espartana (como dicen por SbD, un saludo desde aqui)

Comenzare a preparar la lista de contraseñas mas utilizadas segun algunos estudios publicos y propios, volvere en poco con el programa (si sale bien, quizas veamos algo espectacular :D )

Yo, Twitter y Google Dorks Entrega #1

twitter_logo

Twitter. Parece que esta de moda por la de fallos que le sacan ultimamente (lease el gusanito de Twitter:P)

Me apunto a la moda: voy a pegarme con Twitter.. Veremos si consigo que el blog salga en un par de Tweets.

Empezamos con ayudarnos de Google para sacar unos cientos de miles de cuentas de Twitter (a lo mejor menos:silbar: ) (con esta facil busqueda);-)

Codigo en Python del programa

Asi que despues de dejarlo toda la noche trabajando con unos ajustes para que guarde todo en un txt, espero encontrarme una gigantesca lista de cuentas con las que hacer fuerza bruta espartana (como dicen en SbD :laugh: )