Eu costumo checar os meus blogs diariamente. Olho se está tudo rodando bem e eventualmente até respondo ou publico algum comentário que estava esperando moderação. Hoje a tarde, quando acessei o Trekking Brasil dei de cara com uma tela de FTP que me permitia controlar qualquer coisa através de um simples navegador. Bastava digitar o endereço do site para entrar na tela de FTP. Verifiquei os outros sites que ficam na mesma conta e estava tudo ok. Sabendo que o problema era isolado e que não tinha havido alteração notável nas páginas que controlam o blog optei por restringir o acesso ao endereço do site, para isso configurei uma senha e um usuário para qualquer pedido de acesso que fosse feito para aquele subdomínio, assim ninguém conseguiria acessar o site e alterar nada pelo maldito FTP…

Pronto, agora eu tinha tempo para terminar o meu dia de trabalho, acionar o suporte do host sem pressa e se fosse o caso corrigir o problema eu mesmo. O primeiro item da lista foi comunicar o host. Feito isso o rapaz me disse que retornaria uma resposta em no máximo 24 horas. Como 24 horas é tempo pacas – pra mim e pro Jack Bauer – eu resolvi agir antes deles.

Uma das coisas que eu aprendi quando comecei a estudar segurança (na época do guaraná de rolha e conexão DVI) é que quando existe uma invasão que gera uma alteração como essa – onde um script está sendo executado ou onde algo foi modificado – com certeza existirá em algum lugar do servidor um ou mais arquivos que foram incluídos e/ou alterados. De posse dessa informação foi simples achar o problema, bastou conectar via FTP e listar todos os diretórios e arquivos por data de alteração.

PS.: Isso me lembrou um “desafio hacker” que eu gostava de jogar… Era na UFRJ, eles disponibilizavam um servidor Linux e o pessoal tinha que conectar via telnet e descobrir o que tinha acontecido com o servidor, uma das fases do joguinho era justamente encontrar rootkits plantados por um suposto invasor no server… Adivinhem como? Listando arquivos e comparando as datas de alteração… Hehehe…

O resultado incluía arquivos de log e algumas pastas e arquivos diversos. Os arquivos de log estavam limpos e por si só eles são inofensivos. Não tínhamos arquivos ocultos (também conhecidos como .files ou “dot-files”), alterados ou criados com a data de hoje. O vilão estava na pasta de plugins, tratava-se de um plugin chamado “AddQuicktags” que provavelmente possuía alguma vulnerabilidade e permitiu ao atacante escancarar o meu FTP…

Plugin removido, caso solucionado. Por via das dúvidas todas as senhas foram alteradas, claro.

Esse é um relato real de algo que aconteceu e que foi contornado rapidamente por que eu notei o problema a tempo. Vale a pena deixar algumas dicas:

1. Matenha seu WP e todos os seus plugins atualizados;
2. Caso o site tenha sido desfigurado ou alterado como no meu caso, verifique se o acesso ao painel de controle ainda responde, caso responda bloqueie o acesso ao diretório onde o site está através da aplicação de uma senha no painel de controle do servidor;
3. Acione o suporte do Host;
4. Acesse seu FTP e liste os arquivos pela data de criação/alteração, localize os que foram alterados recentemente, verifique se são legítimos ou se tiveram seu código fonte alterado. Substitua ou elimine os arquivos com problema.

Bateu até saudade dos filminhos de hacker de quando eu era adolescente… Vou abrir um dos que eu mais gosto aqui, “Hackers, Piratas de computador” de 1995. Com a gata da Angelina Jolie, no papel de uma linda hacker…

Textos Relacionados:

1. Risco de segurança na versão 2.0.0.5 do Firefox
2. Atualizando o Wordpress com segurança
3. Cinco programas escondidos no Windows

Note que esse procedimento só afeta a máquina se executado localmente, ou seja, no teclado dela. Para tal basta que o atacante tenha acesso a máquina, saiba o nome do usuário referente a conta que será desbloqueada e tenha um pouco de conhecimento em DOS.

De posse do nome de usuário da conta basta que o atacante abra o DOS e execute o seguinte comando:

net user XXX /random

Onde XXX é o nome de usuário da conta que terá a senha desbloqueada.

Isso irá retornar uma seqüência de caracteres que não é a senha do usuário realmente mas sim uma versão codificada dela. De posse dessa seqüência de caracteres basta acessar o painel de controle e pedir para alterar a senha do usuário, na hora em que o Windows pedir a senha atual digite os caracteres obtidos com o comando acima e logo depois a nova senha… Pronto a máquina estará com uma nova senha ou então sem proteção alguma… Portanto, ao se afastar da sua máquina use a combinação de teclas “WinKey + L” para ativar o pedido de login e evite problemas como esse.

Textos Relacionados:

1. Descobrindo senhas do Windows
2. Descobrindo a senha da BIOS
3. Cinco programas escondidos no Windows

Série: ENTENDENDO A INTERNET
Parte: 3
Artigo: Como um usuário de P2P é rastreado??

Nesta semana eu recebi alguns emails solicitando informações sobre assuntos relacionados com segurança e hacking. Em um desses emails um visitante me perguntou se era possível identificar o endereço de IP de uma máquina que esteja usando o Emule ou outro programa de compartilhamento de arquivos – também conhecidos como P2P.

A resposta é: depende do caso. Não é possível achar um usuário do Emule em específico, mas é possível obter os endereços de IP e eventualmente até mesmo os provedores dos usuários que estão fazendo o download de algum arquivo que esteja hospedado na sua máquina. Por isso empresas criam servidores falsos com downloads populares para que seja possível rastrear e tomar as medidas cabíveis contra um usuário que baixa conteúdo pirateado.

A grande maioria dos programas P2P cria uma ligação direta entre a sua pasta compartilhada e a pasta compartilhada do usuário que está fazendo o download de algum arquivo do seu computador. Quando essa conexão é criada passa a ser possível visualizar o IP daquele usuário. Isso acontece através de um bom e velho DOS.

Para ver a lista de endereços de IP que estão conectados no seu computador basta abrir o Emule, Limewire ou outro programa de P2P e esperar que alguém comece a baixar alguma coisa que está na sua pasta compartilhada. Mantenha todos os programas que acessam a internet fechados, isso evitará o aparecimento de linhas a mais no resultado do DOS, o que iria lhe confundir.

Para abrir o DOS no Windows XP basta clicar no menu Iniciar – Executar – digitar cmd e teclar Enter. A janela do terminal do DOS irá aparecer. Agora basta usar o comando netstat -n e depois Enter para obter uma lista de portas de comunicação abertas no seu computador e os IPs conectados nestas portas. Experimente também a opção netstat -b caso você queira saber qual o programa é responsável por aquela porta de comunicação estar aberta – essa opção é util para descobrir cavalos-de-Tróia ou outros vírus.

Nesta janela (figura acima) existem 4 colunas:

Proto: abreviação de Protocolo – refere-se ao protocolo usado por aquela porta.
Endereço local: aqui aparece o IP do seu computador e mais o número da porta ou serviço que está sendo executado.
Endereço externo: é justamente o endereço de IP de quem estiver conectado no seu computador através do Emule, Limewire, etc.
Estado: mostra se a conexão está ativa, perdida ou esperando.

Na coluna Endereço externo aparecem todos os IPs que estão conectados no seu computador e a porta de comunicação que eles estão usando. Na imagem acima é possível ver que oito micros estão usando a porta local 9172 – que é exatamente a porta padrão do Emule… Pronto os endereços externos correspondentes a esta porta são os endereços de IP de cada um dos micros que está conectado no seu computador fazendo download. Você acabou de dar o primeiro passo para identificar um micro na internet. De posse do IP basta ler este artigo e verificar de onde vem a conexão.

Textos Relacionados:

1. Como a internet funciona?
2. Como proteger seus filhos na Internet
3. Google sequestrado e phising do Flickr!

Série: ENTENDENDO A INTERNET
Parte: 1
Artigo: IP e o rastreamento de micros na web

A intenção deste texto é esclarecer para as pessoas com menos conhecimento como funciona a identificação de uma máquina na internet e como a polícia federal pode bater na sua porta por causa daqueles “feitos hackers” que você costuma se gabar de ter feito no chat do UOL – demais essa… Bem, vamos deixar a brincadeira de lado e vamos falar sério.

1. IP – o número de identidade da sua máquina em uma rede

Esse é o primeiro item a ser compreendido, a sua máquina tem um número de IP que identifica ela, seja em uma rede local ou na internet. Os IPs podem ser atribuídos para sua máquina de dois modos: manualmente por técnicos que configuram a sua placa de rede ou automaticamente por servidores de DHCP.

Os números de IP locais são aqueles usados por redes internas de empresas ou mesmo a redezinha da sua casa. Em geral estes números são variações de algo como: 192.168.X.X ou 10.10.X.X, onde o “X” pode ser um valor que varia entre 0 e 254 (no primeiro X da esquerda) ou de 1 a 254 (para o X da direita).

O “X” da direita, o último que aparece nos IPs acima, é justamente quem identifica a sua máquina. Os outros números só dizem respeito a rede em que ela está. Números de IP são como impressões digitais, não existem duplicatas. Ou seja, em uma mesma rede cada máquina é obrigada a ter seu próprio IP. E já que a Internet é uma grande rede, cada máquina ou rede local conectada nela também tem seu próprio IP único, que neste caso nunca será 192.168.X.X ou 10.10.X.X (entre outros padrões). IPs de Internet são como 201.200.10.5, por exemplo.

Resumindo, como fica o seu IP:

- Se você usa conexão discada, o IP do seu modem (neste caso não estamos usando uma placa de rede) será determinado pelo seu provedor de internet (UOL, Terra, IG, etc.).

- Se você usa acesso xDSL (Virtua, Velox, Speedy…) o seu IP será determinado automaticamente pelo seu provedor.

- Se você usa um acesso via rádio ou qualquer coisa semelhante, o seu IP geralmente é configurado diretamente no seu computador pelo técnico que foi na sua casa fazer a instalação.

2. Como a polícia ou hackers acham o seu IP???

Existem vários métodos, e se eu fosse enumerá-los ou tentar explicá-los este artigo iria começar a ficar técnico e extenso demais. Então vamos simplificar e nos concentrar em uma forma simples.

Seu IP pode ser identificado em diversos tipos de sites, tais como: bancos online, sites de relacionamento (Orkut e afins), portais, sites comuns, blogs (aqui acontece isso), entre diversos outros locais. Em sites onde existem sistemas de login (senha e usuário) em geral o IP do seu computador fica armazenado no banco de dados do site sempre que você entra no site. Isso é uma forma de segurança para estes sites.

Aqui no blog, eu posso visualizar em tempo real os IPs que acessam o site. Com isso eu sei que eu estou recebendo visitas de Lisboa (Portugal), Montreal (Canadá), São Paulo, Rio de Janeiro, Maricá (Rio de Janeiro – minha namorada lê meu blog…), Recife, etc…

Mas como é possível determinar a cidade de onde eu estou acessando a internet???

A resposta é simples, pelo seu IP! Cada provedor de acesso a internet, independente do tipo de acesso (discado, xDSL, rádio, etc), compra uma faixa de IPs para distribuí-los (alugá-los, na verdade) a seus usuários. E como já sabemos, se uma máquina está conectada na internet é por que ela tem um IP para isso, e todo IP é único! Voilá, assim sabemos que um determinado IP pertence a uma determinada cidade e a um determinado provedor.

Por exemplo, clique na figura abaixo e observe a identificação de uma máquina que acessou o meu blog ontem. Na imagem abaixo é possível ver a indicação da cidade, IP, provedor, sistema operacional, navegador e resolução de tela… Tudo correto… Funchal, é uma das cidades da Ilha de Madeira, em Portugal. A combinação de “nome do provedor” + “cidade” me deram a certeza de que o acesso veio de lá.

Pergunta: Ok, mas eu não tenho um site que me mostre um mapinha e dados de forma clara, tenho apenas um arquivo de log (informações) onde consta o IP da pessoa a ser localizada. Como eu vou achar o provedor dela???

Ora, através de buscas nas bases de dados das empresas que são responsáveis pela distribuição de números de IP! Molezinha! Iremos consultar os bancos de dados da RIPE NCC. De posse do IP da pessoa que se quer localizar fazemos uma busca na base de dados da RIPE e encontramos o provedor de acesso daquela pessoa. Na imagem abaixo eu fiz uma busca na RIPE usando o IP do meu visitante lusitano, e o resultado foi muito completo, confira:

Infelizmente, só com um mandado judicial é possivel ir até o provedor do nosso amigo lusitano e solicitar o endereço do gajo. Deste ponto em diante só a Polícia e a Justiça podem continuar a investigação…

É isso! Até o próximo artigo da série ENTENDENDO A INTERNET. Aliás, o próximo artigo irá falar sobre como os IPs podem ser mascarados, fazendo com que o meu IP do que está realmente no Rio de Janeiro apareça como sendo um IP chinês ou algo assim…

Tags: ip, como rastrear um computador, rastrear pc, localizar pc, localizar computador na internet, como a polícia encontra um hacker, identificar pc na internet, localizando computadores na net, net, web

Textos Relacionados:

1. Como a internet funciona?
2. Como um usuário de P2P é rastreado??
3. Google sequestrado e phising do Flickr!