Comandos básicos

(para mas información “man comando“)
man
páginas del manual (es un help muy potente)
ls listar (como dir)
rm borrar un fichero
cp copiar un fichero
pwd te dice el directorio en el que estás
cd directorio te sitúa en directorio
cd .. baja al directorio de nivel inferior
chown, chgrp, chmod, touch comandos para manejo de atributos de ficheros
find locate buscar ficheros
cat more head listar ficheros (como type)
split partir ficheros
grep buscar texto en ficheros (muy potente)

Comandos para comunicaciones y redes

who lista de usuarios conectados
finger información sobre usuario
mail sencillo programa de correo
write manda un mensaje a la pantalla de un usuario
mesg bloqueo de mensajes de write
wall mensaje a todos los usuarios
talk establecer una conversación con otro usuario
banner saca letrero en la pantalla con el texto que se escriba
cal pone el calendario en pantalla
clear limpia la pantalla
date pone fecha t hora actuales
passwd cambiar password de un usuario

Entorno gráfico Xwindow

Iniciar X startx
Abrir nuevas sesiones startx — :2:3 :4 etc.
Configuración de XF86 /etc/X11/XF86Config
Configuración de servidor X /etc/X11/Xserver
Configurar X XF86Setup (entorno gráfico tienes que instalar xserver_vga) /usr/sbin/xbase-configure (entorno línea de comandos)
Salir de las X ctrl-alt-backspace
Fichero donde está el programa que arranca las X /etc/X11/window-managers

Comprimir y descomprimir
Descomprimir un *.tar.gz tar -xvzf archivo.tar.gz
Descomprimir un *.tar tar -xvf
Descomprimir un *.gz gzip -d
Empaquetar un *.tar tar -cvf archivo.tar directorio/
Comprimir ficheros empaquetados gzip -9

Manejo de las unidades de diskettes y Cd-Rom

Montar diskette mount -t msdos /dev/floppy /mnt (/dev/floppy = /dev/fd0)
Montar Cd-Rom mount -t iso9660 /dev/cdrom /mnt (/dev/cdrom = /dev/hdb)
Listar unidad montada ls /mnt
Desmontar todo umount /mnt
Formatear floppy
superformat /dev/fd0 hd (msdos) (hay que tener instalado fdutils)
superformat /dev/fd0 sect=21 cyl=83
mkfs.ext2 /dev/fd0 (crea sistema de ficheros ext2)

Manejo de ficheros

Enlace simbólico entre ficheros
ln -sf /dev/ttyS0 /dev/mouse (puerto serie 1)
ln -sf /dev/ttyS1 /dev/modem (puerto serie 2)
Número de inodo
ls -i
Número de enlaces de un fichero
ls -l
Borrar enlaces
rm fichero (si no tiene enlaces borra el fichero)
Borrar directorios
rm -r
Ver espacio libre en disco
df (disco entero)
du -sh (directorios y ficheros)
Buscar un fichero
find / -name mime.types (la / es la raiz donde quieres buscar)

Uso del sistema

Ver pid de trabajos ejecutándose ps
Inicialización de puertos serie /etc/rc.boot/0setserial
Inicio del sistema /etc/init.d/boot
Listar el hardware reconocido dmesg dmesg | more
Ver módulos cargados en el kernel lsmod
Prompt export PS1=”\W$”
\W te saca el nombre usuario
\H te saca el nombre del Host
\T te saca la hora
\V ???
export
PS1=”usuario$ “
Información del sistema uname -a
Librerías instaladas /sbin/ldconfig -p
Librerías que utiliza un programa ldd /ruta/programa
Salir del sistema
shutdown -r 0 (reinicializa el ordenador)
shutdown -h 0 (cierra el sistema y se para)
Eliminar Lilo fdisk /mbr (entrando por símbolo del sistema en msdos c:)

Manejo de la impresora
Dispositivo /dev/lp1
Probarlo ls > /dev/lp1
Para imprimir se necesita lpr Magicfilter y Mpage
Hay que configurar un filtro para la impresora Utilizar
Magicfilterconfig –force (para mi hp690 C elijo el filtro hp550c)
Ver colas impresión lpq
Estado impresoras lpc status
Eliminar colas en impresión lprm

Comandos de IRC para IrcII

/server conectar con un servidor (/server irc.servidor.com)
/channel /join conectar con un canal (/channel #linux)
/admin datos de servidor o nickname
/list listar canales irc
/names nicknames de todos los usuarios
/msg mensaje privado a nick
/who quien está conectado y sus datos
/whois verdadera identificación de alguien
/quit desconectar

Instalación y manejo de paquetes en Debian
dpkg -i Instalar paquete
dpkg –info Información del paquete
dpkg -c Muestra la lista de ficheros contenidos
dpkg –contents Lista todos los ficheros contenidos con sus directorios
dpkg -f Muestra información de versión del paquete
dpkg –unpack Desempaqueta
dpkg –purge Borra un paquete incluidos los ficheros de configuración
dpkg -r Borra un paquete pero no borra los ficheros de configuración
dpkg -L Lista el paquete si está instalado
dpkg -l Lista los paquetes instalados

Convertir paquetes de RedHat a Debian
alien -d fichero.rpm convierte fichero rpm a deb
alien -d fichero.tgz convierte fichero tgz a deb
alien -i fichero.rpm convierte fichero rpm a deb y lo instala
alien -i fichero.tgz convierte fichero tgz a deb y lo instala

Fuente: www.portalhacker.net

Conficker es uno de los virus más dañinos de los últimos tiempos, un gusano que se apodera de tu PC, monta una especie de servidor web y empieza a atacar otros ordenadores de tu entorno.

Conficker, también conocido como Downadup, Downad y Kido.ih, se aprovecha de una vulnerabilidad en el servicio RPC de Windows, solucionada por Microsoft el pasado octubre mediante un parche especial. El ataque tiene lugar enviando una petición inicial al ordenador. En caso de ser vulnerable, se envía un archivo malicioso al ordenador de la víctima. Entonces, dicho archivo instala un servidor http y el ahora infectado PC envía otras peticiones de comprobación a otros equipos, y al igual que en el caso anterior, se procede al envío de nuevos archivos infectados en el caso de no tener cerrado el agujero de seguridad.

Además, Conficker se propaga en redes locales protegidas con contraseñas débiles y utiliza el mecanismo de autoarranque de dispositivos USB extraíbles, como discos duros, sticks, cámaras y similares. Esta combinación convierte a Conficker en el gusano más eficaz de los últimos doce meses, llegando a afectar a algunos de los 3.000 ordenadores del gobierno de Carintia, a numerosos hospitales en Austria e Inglaterra e incluso a partes de la marina francesa.

Al completar con éxito la infección, se descargan más archivos de malware desde diversos dominios, que instalan, entre otras cosas, scareware. Como el contacto con los servidores botnet no se pierde, Conflicker genera 250 nuevos nombres de dominio al día, basándose en la fecha.

La actual ola de infección sugiere que los creadores del gusano Conficker están preparando una nueva generación de botnets. En este momento, las máquinas infectadas parecen estar “listas para la batalla”, y posiblemente los cibercriminales darán pronto la señal de pasar al ataque, desencadenando una acción concertada con las botnets preparadas.

¿Cuántos ordenadores han sido infectados?

Las estimaciones varían enormemente y van desde unos pocos cientos de miles de equipos infectados hasta unos 10 millones. Es difícil hacer una estimación precisa. Muchos de los ordenadores infectados están conectados a varios servidores de control, por lo que pueden ser contados varias veces. Por otra parte, cientos de PCs infectados en redes corporativas pueden figurar de cara al exterior como un único equipo. Aún así, incluso siendo conservadores nos enfrentamos a una de las botnets de mayor capacidad.

¿Cómo protegerse?

El caso de Conficker demuestra en toda su crudeza la importancia de contar con un sistema de gestión de los parches. La existencia de un agujero de seguridad en el sistema operativo Windows, que Conficker busca constantemente y explota una vez da con él, es de dominio público desde octubre de 2008. Desde entonces, Microsoft ha ofrecido la actualización necesaria para solventar dicho agujero, pero por desgracia muchos responsables de red no han reaccionado a tiempo ni descargado y aplicado el parche disponible.

Un factor digno de mención, y todavía más decisivo, es la utilización de contraseñas adecuadas de red y de cuentas de usuario. Una contraseña sencilla como “12345” o “admin” no proporciona seguridad alguna, algo de lo que los creadores de Conficker se aprovechan sin problemas. Es más, en muchas empresas ni siquiera existen políticas de utilización de dispositivos extraíbles como los sticks USB, uno de los principales caminos para la difusión de Conficker. El mecanismo de autoarranque está activado en muchos ordenadores y no lo utiliza sólo Conficker para propagarse, sino también muchos otros programas de malware. Aun así, al desactivar la función de autoarranque se impide la facilidad de uso de CDs.

OpenDNS proporciona un servicio interesante al respecto: reconocen los PCs de una red que han sido infectados por Conficker y bloquea el acceso a los 250 nuevos dominios botnet que se crean cada día. De esta forma, los PCs zombie infectados no reciben instrucciones de quien pretende controlarlos de forma remota, por lo que permanecen inactivos.

¿Cómo saber si Conficker ha infectado un ordenador?

Una suite completa de protección antivirus con firmas de detección actualizadas es capaz de detectar Conficker. Cualquiera que no haya hecho sus deberes y haya dejado puertas traseras internas del sistema abiertas o que no haya aplicado los parches críticos tendrá que realizar un gran esfuerzo para desinfectar su ordenador.

Conficker utiliza secuencias aleatorias de caracteres como nombre de archivo, por lo que resulta difícil localizar la infección. Se registra como un servicio del sistema con nombres aleatorios y modifica el registro en los siguientes puntos:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

Services\ [Random name for the service]

Image Path = „%System Root%\system32\svchost.exe -k netsvcs“

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

Services\[Random name for the service]\Parameters

ServiceDll = „[Path and filename of the malware]“

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Windows NT\CurrentVersion\SvcHost

También puede detectarse al comprobar que determinados servicios relacionados con la seguridad ya no funcionan:

• Windows Security Center

• Windows AutoUpdate

• Windows Defender

• Error Reporting Service

Asimismo, se impide el acceso a sitios web con las siguientes secuencias de caracteres, entre los que se encuentran las webs de los fabricantes de antivirus más importantes (como G DATA) y portales de información sobre malware:

“virus”, “spyware”, “malware”, “rootkit”, “defender”, “microsoft”,

“symantec”, “norton”, “mcafee”, “trendmicro”, “sophos”, “panda”,

“etrust”, “networkassociates”, “computerassociates”, “f-secure”,

“kaspersky”, “jotti”, “f-prot”, “nod32″, “eset”, “grisoft”,

“drweb”, “centralcommand”, “ahnlab”, “esafe”, “avast”, “avira”,

“quickheal”, “comodo”, “clamav”, “ewido”, “fortinet”, “gdata”,

“hacksoft”, “hauri”, “ikarus”, “k7computing”, “norman”, “pctools”,

“prevx”, “rising”, “securecomputing”, “sunbelt”, “emsisoft”,

“arcabit”, “cpsecure”, “spamhaus”, “castle”wilderssecurity”, “windowsupdate”

Los administradores de red pueden saber cuáles son los ordenados infectados al incrementarse el tráfico en el puerto 445. Tras la infección, Conficker obtiene la dirección IP del ordenador infectado recurriendo a las siguientes páginas:

• http://checkip.dyndns.org

• http://getmyip.co.uk

• http://www.getmyip.org

En base a la fecha, se calculan distintas direcciones actualizadas a través de los siguientes dominios:

• ask.com

• baidu.com

• google.com

• msn.com

• www.w3.org

• yahoo.com

Los ordenadores que accedan a estos dominios pueden estar infectados.

Forma visual de como trabaja Conficker

¿Cómo deshacerse de Conficker?

A través de la siguiente dirección de Microsoft puede consultarse una completa guía para la desinfección manual de los sistemas afectados:

http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker.

Además si su computadora está infectada con el gusano Conficker, usted podría tener problemas para descargar ciertos productos de seguridad, como la Herramienta de Eliminación de Software Malintencionado o acceder a otros sitios web, como Microsoft Update. Si usted no pueden acceder a esas herramientas, intente usar el Examen de Seguridad de Windows Live Onecare. Si eso no funciona, lea los siguientes artículos de Ayuda y Soporte Técnico de Microsoft para computadores infectados.

Alerta de virus acerca del gusano Win32/Conficker.B

Implementación de la herramienta MSRT e un ambiente empresarial
Principio de la páginaPrincipio de la página

Como el programa malicioso posee una configuración compleja y ataca múltiples puntos del sistema de forma simultánea, la limpieza manual puede ser una lucha titánica. Por ello, recomendamos que los usuarios menos experimentados recurran a las rutinas de eliminación de su software antivirus o a la última versión de MSRT (“Malicious Software Removal Tool“):

http://www.microsoft.com/germany/technet/sicherheit/tools/msrt.mspx

Fuentes:

http://www.muycomputer.com/

http://www.microsoft.com/latam/protect/default.mspx