04 junio 2012

Monitoriza 'leaks' en Pastebin con Pastemon

Hace tiempo, nos hacíamos eco de un proyecto llamado 'pastebinleaks' que tenía como propósito buscar en pastebin 'leaks' interesantes tales como: claves RSA privadas, login / password de múltiples servicios, backups de bases de datos, etc y publicarlas en twitter.

A día de hoy parece que el proyecto está algo parado, no obstante, hoy vamos a hablar de Pastemon, un proyecto que persigue el mismo objetivo solo que, en vez de publicar los leaks en una cuenta de twitter, puedes crear tu propio servicio de monitorización de pastebin (y con ello, personalizar las búsquedas)

El creador del proyecto, Xavier Mertens, es un reputado experto en seguridad y forma parte del staff de 'BruCon', el evento más importante de seguridad en Bélgica. 

Pastemon tiene funcionalidades realmente útiles, como por ejemplo, la integración de la información en diversos SIEMs y hasta posibilidad de enviar los datos a un blog en wordpress.

Para hacerlo funcionar tan solo necesitamos tener instado el interprete de Perl en nuestro sistema e instalar un par de módulos no estándar.

Paso 1: instalar los módulos que nos faltan:

(como root)

#perl -MCPAN -e shell

cpan[1]> install WordPress::XMLRPC

cpan[1]> install Text::JaroWinkler 

Esto instalará los módulos y sus dependencias.

Paso 2: Crear los ficheros de configuración

Pastemon viene con dos ficheros de ejemplo para crear pastemon.conf y regexp.conf. El primer fichero indica las funcionalidades de pastemon (envío a correo electrónico, syslog, worpdress, uso de proxys ...) y el segundo las expresiones regulares que vamos a buscar

Aquí mi fichero ejemplo de configuración para que use syslog y guarde los dumps de información en /tmp/pastemon:

Y aquí mi fichero de expresiones regulares

Ahora tan solo queda esperar hasta que en el syslog aparezca algo como:

pastemon.pl[24159]: Found in http://pastebin.com/raw.php?i=CqDhs972 : gmail

Ha encontrado una referencia en pastebin donde aparece una dirección de correo de Gmail

Si vamos al paste, nos encontramos algo como:

payment.setRecipient("kuntal_1316186174_biz@gmail.com");