En el Podcast «Código fuente: Podcast de hackers y para hackers» junto a epsylon

Publicado el Por dabo en Dabo | Personal, Hacking | Redes, Mi Opinión, Sobre DaboBlog

Conocí en persona a epsylon en 2013, era un encuentro denominado: «blogueros de Seguridad» dentro de las actividades del 7 ENISE. En esa mesa estaban también Pablo González y José Selvi.

Antes de esa fecha, ambos habíamos coincidido en otros temas como por ejemplo el 15 M (del que hablamos en el audio) y vaya buenos recuerdos por cierto cuando me veo ahí esas fotos de hace 10 años de AcampadaXixón (creo que fue la primera «tienda» que se montó en la plaza).

Tras ese 7 ENISE, surgió una amistad que perdurado estos años y se puede decir eso de: «hemos estado al día» en cuanto a nuestros proyectos y otros temas personales / vitales. Hago este apunte por contextualizar ya que el día de la grabación «se nos fue» un poco la duración y doy las gracias también públicamente a quien ha editado el audio ya que sé bien por mi experiencia con los podcasts, que no es fácil (y yo cometí algún error de novato;).

Podéis ver aquí en qué proyectos está trabajando epsylon actualmente (antes llevaba un «lord» delante-;). Los más conocidos son: «UFONet – Denial of Service Toolkit» y «XSSer«, un framework automático para para detectar, explotar y reportar vulnerabilidades XSS o ECOin (sí, la Mr Robot-;).

Código fuente: Podcast de hackers y para hackers»

El 17 de mayo me llegó un email suyo invitándome a participar en el proyecto que comparte con otra gente que está colaborando. Se trataba del podcast «Código Fuente: Podcast de hackers y para hackers»,con unas preguntas comunes para quienes vamos a participar, varios formatos (a la hora de grabar, en algún caso serán de «texto a voz»)  y con un sentido y objetivo común que  se cumplirá cuando estén completadas todas las entrevistas.

Por aquello de no soltar mucho spoiler ;D, no enumeraré las preguntas y respuestas, pero es interesante escuchar diferentes puntos de vista y respuestas a esos temas comunes. Ahí escucharás cuestiones de la vieja y nueva escuela, hacking, cracking, viring, phreaking, hacktivismo, Software Libre, etc.

También otras más transcendentales o filosóficas, todo ello con licencia con licencia, «Creative Commons Compartir-Igual 2.1» en Ivoox (también se escuchará en plataformas de radio analógicas) y «Dominio Público» en los audios que se están subiendo a archive.org.

En el audio mencioné la charla que di a alumnos de Periodismo en MorterueloCON 2016, hablando de Assange, Wikileaks, privacidad, etc.También de Snowden y Chelsea Manning. Hay una pregunta que no está respondida y que, por lo que comenté al principio y por temas de edición, no está en el audio y es la que «recomienda un libro», respondí «El enemigo conoce el Sistema» de Marta Peirano.

‘El enemigo conoce el sistema’, el sueño roto de una Internet libre

  • «Cada época tiene su propio fascismo, y el nuestro difiere en muchos aspectos del que describe Orwell en los cuarenta (…). A nosotros nadie nos obliga a tener la telepantalla encendida. Nosotros mismos nos esmeramos en llevarla a todas partes, cargarla a todas horas, renovarla cada dos años y tenerla encendida todo el tiempo y programada para no perdernos un segundo de propaganda»

Sinceramente os lo recomiendo y más en estos tiempos que corren de polarización, manipulación, fascismo, populismos y fake news o Periodismo de WC.

Ahí va mi entrevista, os recomiendo prestar atención al feed porque vienen sorpresas ;).

Muchas gracias a epsylon y resto de gente del proyecto por contar conmigo.

Hablando de sorpresas y podcasts, quiero volver a grabar y lo haré cuando despeje algunas dudas y ponga en orden unas cuantas ideas. Lo que me sucede con «Kernel Panic» es que al final me he dado cuenta tras tantos años y 52 episodios que también para mucha gente es el suyo.

Y sí, volveré(mos) con Kernel Panic -;)

Ya tengo desde hace como un mes un grupo en Signal con Diego aka n1mh y forat denominado: «Kernel Panic» y con su ayuda y la colaboración de mucha gente (epsylon por cierto estará ahí;) con la que charlaré sobre diversos temas. El último audio es de 2014, han cambiado unas cuantas cosas en mi vida y daré un nuevo aire al podcast pero con la esencia de siempre.

No es cuestión de Hype, tengo mucho respeto a toda la gente que está esperando que vuelva el podcast y solo quiero aprovechar la ocasión para daros también las gracias por vuestra paciencia y apoyo.

Actualización 11/08/2021, gracias a las chicas de La 9 de Anonymous por aceptar mi invitación para participar en el proyecto    Podéis escucharlas como ellas mismo dicen «enlatadas» ;D y…de todo menos muertas !

 

Seguridad y Optimización en Servers VPS en CoronaCON (vídeo y enlaces)

Publicado el Por dabo en Dabo | Personal

EL pasado 12 de abril tuve el placer de participar en CoronaCON, un evento online destinado a recaudar fondos para Cruz Roja destinados a la lucha frente a la COVID-19.

Con casi 100 ponentes y a través de Twitch con 4 salas simultáneas, se consiguió una importante cifra

A 24/05/2020:

Intervine en el evento en representación de APACHEctl y el objetivo era abordar la problemática y dar soluciones  a los que se enfrenta una PYME o autónomo a la hora de montar un e-Commerce. Bien si está pensando en llevar su negocio a Internet o si ya lo tiene y está teniendo un crecimiento en su tráfico.

Todo ello, intentando a aprovechar al máximo las posibilidades de configuración que tenemos a nuestro alcance y pensando como digo en el vídeo, en el mejor compromiso prestaciones / coste para el cliente, con la premisa de contener el precio mensual de hosting y no sobre-dimensionar  la infraestructura web innecesariamente (como muchas veces sucede).

Desde la organización, han subido a su canal de YouTube todos los vídeos y os recomiendo repasar la lista (que por cierto, yo tengo que ver unos cuantos). Os dejo con mi vídeo:

Seguridad y Optimización en Servidores VPS

Enlaces y recursos mencionados en las diapositivas

6 – Protonmail para empresas | iRedMail | MXToolbox

7 – Cloudflare (planes y precios) | CloudFail | DNSdumpster

9 – Monit | Pandora | Grafana | Munin | Nagios | Icinga

10 – Comparativa de Paneles de Adminstración

12 – Debian GNU/Linux, mi charla sobre «Seguridad y Software Libre»

14 – Apache vs NGINX

15 – MPM Prefork | MPM Worker | MPM Event | Directiva «ListenBacklog»

18 – Cabeceras y Seguridad en Apache: Security Headers

20 – Optimizando con Apache2Buddy | Rel: curl -sL apachebuddy.pl | perl

21 – Optimización de Apache2 y PHP-FPM

22 – Calculando procesos hijo en PHP-FPM

23 – Activando y optimizando OPCache | Funciones en PHP a deshabilitar

disable_functions =
pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopp
ed,pcntl_wifsignaled,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_si
gnal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocma
sk,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setp
riority,system, exec, passthru, shell, shell_exec, popen, pclose, proc_nice,
proc_terminate, proc_get_status, proc_close, putenv, pfsockopen, leak,
apache_child_terminate, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid,
posix_setuid, escapeshellcmd, escapeshellarg, phpinfo, proc_open,
show_source, passthru

24 – Cómo optimizar MySQL con MySQLTunner

26 – Instalar y configurar Mod Evasive | Rel: más info en «The HackerWay»

27 – OWASP Top 10 (PDF) | «Top 10 Web Application Security Risks»

28 – Cómo asegurar SSH (en Kernelwikia) | Seguridad por Oscuridad (ForatDotInfo)

30 –Instalar APF Firewall desde el código fuente  (En Debian o Ubuntu, está vía apt o aptitude install apf-firewall) recomendable leer el «readme» de R -fx Networks, sus creadores.

31 – «Detectando y deteniendo escaneos de Red con Portsentry»

33 – Asegurando VPS con JackTheStripper | Libro Onna Bugeisha

34 –Rkhunter | Unhide | Logwatch | Logcheck | LMDE | Snort | ModSecurity

35 – Automysqlbackup (hay opción de cifrado) | Rsync | Kernel «GRsecurity»

36 – «Seguridad y Optimización de Servidores GLAMP» (pág 40) | Podcast «Especial SysAdmin» | Autobombo !?

También os recomiendo «sí o sí» instalar Fail2ban para parar ataques de fuerza bruta, además de usar los certificados SSL deLet’s Encrypt (junto a Certbot)

Y os recomiendo repasar este post sobre mi intervención en QurtubaCON 2017 en Córdoba.

Espero que toda esta información os resulte de utilidad junto al vídeo. Por mi parte, comentar para acabar que fue un placer participar en este evento y que la mejor noticia sería que no volviese a repetirse nunca (al menos por este motivo -;).

Hablando de (in)Seguridad en Servidores y Aplicaciones Web en La Laboral

Publicado el Por dabo en Dabo | Personal, Eventos | Prensa, Hacking | Redes, SysAdmin

El pasado 4 de noviembre tuve la oportunidad de participar en el evento «Ciberseguridad CIFP La Laboral«, con la colaboración de Fundación Tac e Incibe. Allí hablé de varios temas relacionados con la (in)Seguridad en Servidores y aplicaciones web, desde mi experiencia tanto protegiendo Servers e infraestructuras web en APACHEctl, como desde un enfoque más ofensivo cuando realizo auditorías de Seguridad (por lo general, Pentest caja negra).

Ciberseguridad La Laboral

 

Tal y como se podía leer en la información original del CIFP:

El objetivo es sensibilizar sobre las amenazas a la ciberseguridad, promover la ciberseguridad entre los ciudadanos y las organizaciones y proporcionar recursos para protegerse a sí mismos en línea, a través de la educación y el intercambio de buenas prácticas.

Además de compartir espacio con Maria Goitia, Directora del Centro y Juan Carlos García, Presidente de la Fundación TAC (que hizo una presentación inicial hablando también de cuestiones de Seguridad) e Inés Menendez, profesora del Departamento de Informática del centro que clausuró el evento, tuve el placer de ver en acción al otro ponente invitado, César Granda (@CacharroHacks).

Clic para ampliar

La verdad es que me encantó su ponencia e hizo honor a su nick «Cacharro Hacks» ;) con un maletín lleno de material para Hackear (Piña Wifi, Bad USB, RFID, NFC, etc).

Después fue mi turno para hablar de problemas de seguridad comunes en Servidores y Aplicaciones web. Tras una exposición inicial, luego realice una demo con varios ataques usando tanto la Debian que corre en mi portátil, como otras dos en máquinas virtuales (sí, esta vez no opté por usar algún servidor en producción, sé que le da un toque más «real», pero ciertamente todo se pudo ver perfectamente y en un entorno más controlado).

Clic para ampliar

Creo que lo mejor para que podáis ver el planteamiento y demo que hice, es que os paséis por esta entrada sobre mi participación en Qurtuba Security Congres de hace dos años, donde tenéis la información necesaria para seguir el hilo y poder ver varias de las herramientas y técnicas que expuse (válida hoy en día).

También hice alusión al Software Libre y su seguridad. En este post de mi participación en las pasadas jornadas de Software Libre y Seguridad organizadas por HackLab Pica Pica, podéis ver la presentación en PDF (que contiene varios enlaces dentro) que mostré en mi introducción.

Para acabar, dar las gracias a la organización y asistentes por contar conmigo para estas jornadas de Ciberseguridad, en especial a José Antonio Sánchez que fue quien contactó inicialmente conmigo y con quien tuve el placer de coincidir impartiendo unas horas de formación en el Curso de Experto de Seguridad Perimetral de la Universidad de Oviedo.

 

Hablando de Software Libre y Seguridad en Oviedo

Publicado el Por dabo en Dabo | Personal

El pasado 20 de octubre tuve la oportunidad de dar una charla para el HackLab Pica Pica en unas jornadas sobre Software Libre organizadas por ellos (fueron también ellos quienes han hecho posible que venga Richard Stallman en dos ocasiones a Asturias).

Allí hablé de unas cuantas cuestiones sobre Seguridad. Desde planteamientos técnicos a otros más conceptuales. Os dejo un enlace al PDF de mi presentación con varios links dentro de él para que os podáis hacer una mejor idea de los temas que abarqué en el evento.

Un evento muy especial ya que mi hija de 6 meses estaba entre el público ;). La verdad es que con la gente de Pica Pica da gusto hacer cualquier tema. Son personas muy (muy) comprometidas con el Software Libre y a las que hay que apoyar sí o sí. Muchas gracias a ellos y a varios amigos que se pasaron por allí.

Entrevistado en el blog de Ontinet por María José Montes (ESET)

Publicado el Por dabo en Dabo | Personal, Mi Opinión

apachectlMi amiga María José Montes, Responsable de Ciberseguridad de ESET y participante activa en múltiples congresos de Hacking y eventos solidarios, me envío una serie de preguntas para el blog del Laboratorio de Ontinet. Hacía alusión a cuestiones profesionales de mi trabajo en APACHEctl y otras de índole más personal.

Sin más, os dejo con la entrevista. Respondí sin pensar mucho y dejándome llevar (que así las cosas salen con más espontaneidad-;).

Gracias amiga !!!

 

En «Podcast Linux» Episodio 58 (entrevistado por Juan Febles)

Publicado el Por dabo en Dabo | Personal

Tras (mucho) tiempo sin ponerme al micro, he estado en «Podcast Linux» dentro de la sección «Linux Connexion» junto a Juan Febles. Allí he respondido a algunas preguntas sobre mi podcast (algo de historia, el parón, la posible vuelta, etc), además de otras cuestiones de índole personal y profesional, siempre con GNU/Linux y el Software Libre como hilo conductor.

A título informativo, comentaros que no «pactamos» o preparamos ninguna de las preguntas por lo que fue una charla totalmente espontánea.

La verdad es que estuve muy a gusto y Juan tuvo bastante paciencia para cuadrar fechas ya que esta grabación me pilló junto a mi recién estrenada paternidad y no tuve la disponibilidad habitual. No os quiero ya contar lo que sentí cuando escuché nuestra intro de siempre (Venus in Cancer) en este episodio. Era como «estar en casa» y me vinieron a la cabeza un montón de recuerdos, todos ellos positivos.

Pero creo que lo mejor es que lo escuchéis y…hablando de escuchar, espero que nos escuchemos no tardando mucho (menos de estos años sin grabar-;) en «Kernel Panic».

Además de todo, tuve la suerte de conocer en persona a Juan y otros linuxeros de pro en su viaje por Asturias y hablar de lo que más nos apasiona en buena compañía.

(con Nacho Alba), , y

La labor que está haciendo Juan desde «Podcast Linux» es digna de mención y os recomiendo que os suscribáis a su canal, Los contenidos, formato y variedad os mantendrán pegados al Feeed.

Nos escuchamos !!!

El día en el que conocí a Richard Stallman…

Publicado el Por dabo en Dabo | Personal, Eventos | Prensa, Mi Opinión

Esta es una entrada breve a modo de recordatorio que está ampliada en DebianHackers con fotos del evento y las preguntas que le hice sobre Debian y la postura de la FSF respecto a la distro de la espiral.

Me habían hablado mucho de él, había visto tus vídeos, entrevistas y obviamente sigo su trayectoria desde hace tantos años que ni me acuerdo, pero estar ahí con él (en la foto está firmando mi portátil) y poder preguntarle por cuestiones que para mi tienen su peso y relevancia, fue toda una experiencia.

Eso sí, también lo sabía pero no es de trato fácil y habiéndole visto en directo, dudas entre quedarte con la persona o el personaje. El día que conocí a RMS fue uno de esos para no olvidar ya que sin gente como él, quizá no estarías ni leyendo esta entrada del blog ;).

Toda una experiencia que os recomiendo sin duda.

En Qurtuba Security Congress 2017 con: The ¿Perfect? Server

Publicado el Por dabo en Dabo | Personal

Disclaimer:

Esta entrada ha tardado más de lo que tenía pensado porque en mi cabeza estuvo hablar también de lo que supone en cuanto a cambios Debian 9 respecto a la versión 8 (configuraciones, herramientas, paths, etc), pero tras varios servidores instalados en APACHEctl con Debian Stretch, creo que lo mejor es hacerlo en una aparte para poder explicarme mejor y dar un repaso a lo que más dolores de cabeza puede causar.

En el anterior post sobre mi participación en Hack&Beers Oviedo, ya os comenté que estaría de nuevo en Córdoba hablando de Servidores Web y cuestiones de seguridad. Pero a diferencia de 2015, año en el que impartí un taller de Hardening, esta vez tocaba subirse al escenario con: The ¿Perfect? Server, con una parte teórica y la «mítica Demo» (sí, esa del temido «efecto» que esta vez no sobrevoló el auditorio:).

Qurtuba Security Congress 2017

Foto cortesía de @soydelbierzo

 

Como dije en un vídeo que grabé con Oreixa frente al Mont Blanc desde el Aiguille du Midi a casi 3900 m, allí estaría «sí o sí». Desde la organización me facilitaron mucho las cosas en cuanto a la temática y pensando sobre qué podía hablar, les envié esta descripción

The ¿Perfect? Server

Aún recuerdo cuando seguía los míticos tutoriales de instalación de un servidor Web de Howtoforge publicados como «The Perfect Server». Falko, responsable del site y principal autor, ponía énfasis en una instalación básica en la que todo funcionaba, dejando a un lado cuestiones importantes como poder admitir un tráfico elevado, o cuestiones de seguridad.

A mi me parecían lo más lo más y me ayudaron mucho en su momento como punto de partida. Luego, con el tiempo, vas adaptando las instalaciones a las necesidades del proyecto y también aprendiendo sobre lo que no debes hacer, y los pasos que «sí o sí» tienes que dar.

Partiendo de la base de no creo que exista un «Servidor Perfecto», intentaré aportar mi punto de vista sobre cuestiones de instalación, configuraciones, optimización y seguridad fundamentales para un servidor dedicado.

Y basándome en ella, intenté aportar desde la experiencia de unas cuantas batallas, mi visión sobre lo que bajo mi punto de vista sería la instalación adecuada de un servidor web para quien esté empezando en este mundillo y necesite seguridad, estabilidad y/o rendimiento (que unas cosas llevan a las otras) así como para gente que llevaba más tiempo en el tema y pudieses aportarles algo de conocimiento adicional.

Di un repaso al «mundo Debian» explicando sus diferentes ramas, versiones de Software según Release, LTS, etc, dejando claro que para mi es la mejor elección a la hora de montar un servidor web.

Hablé de la elección de un sistema de ficheros y del particionado ideal, también del LVM, además del RAID y el cifrado de las particiones según el uso del server (aunque con lo que viene en el RGPD, cada vez es algo más) al igual que proteger GRUB en el arranque. Aquí os dejo un enlace a las guías de instalación oficiales, de recomendable lectura.

Y sobre las diferentes versiones de paquetes y las ramas de la distro, aquí tenéis el resumen que expuse en una de las diapositivas, enumerando las versiones del «stack» GLAMP / GLEMP, y los repos más comunes de Debian.

 

¿Qué pasa? que mucha gente cuando está haciendo un pentest, se lía un poco a veces con estas cuestiones y puedes llegar a pensar que has encontrado una vulnerabilidad si ves en la salida de tu Nmap un Nginx versión 1.6 (Debian 8) y vas a la página oficial y ves que la última versión de la rama 1.6x  fue la 1.6.3 de Abril de 2015 (es sólo un ejemplo), cuando realmente esa versión 1.6 es la de Debian y está actualizada y no es vulnerable.

También hablamos de Apache Vs Nginx y expuse varias comparativas (aquí una en la que se analiza uno frente al otro con contenido estático y dinámico) que venían a decir que sirviendo contenido estático, Nginx le superaba por goleada a Apache, pero que en un nivel de «performance» similar (PHP-FPM, PHP 7x + Zend OPcache, Pagespeed) la cosa cambia ya según desarrollos u otros temas relacionados.Por cierto, aquí una comparativa extensa de funciones y otros aspectos.

No dejé a un lado las importantes diferencias del MPM elegido para la puesta en producción de Apache. Centrando el foco en MPM Event y explicando las diferencias y relación con Worker,  funcionamiento asíncrono y las mejoras en las conexiones Keep Alive y alguna de sus directivas más comunes:

### Apache MPM Prefork, multiproceso, procesos “hijo” y sin hebras

StartServers: Número de procesos hijo creados en el arranque .
MinSpareServers: Número mínimo de procesos hijo a la espera de peticiones.
MaxSpareServers: Número máximo de procesos hijo a la espera de peticiones.
MaxRequestWorkers: Número máximo de conexiones simultáneas (se aumenta con ServerLimit).
MaxConnectionsPerChild: Número máximo de peticiones que sirve un proceso hijo de Apache

### Apache MPM Worker, multiproceso, procesos “hijo” y hebras o hilos

MinSpareThreads: Número mínimo de hebras en espera para atender peticiones.
MaxSpareThreads: Número máximo de hebras en espera.
ThreadLimit: Límite estricto del número de hebras del servidor.
ThreadsPerChild: Número de hebras creadas por cada proceso hijo.
MaxRequestWorkers: Límite estricto de peticiones simultáneas que serán servidas.
Ojo con la directiva “ListenBacklog” y los DoS  cuando MaxRequestWorkers llegue al límite.

Hice mención a las diferencias y mejoras en velocidad de MariaDB frente a MySQL (la rama 10x de MariaDB, es «un 10» también en rendimiento).

Mencioné las mejoras de PHP 7 frente a PHP 5x en rendimiento y memoria: comparativa 1, infografía, comparativa 3 junto a HHVM Aka: «el PHP de Facebook». También es importante tener claro qué implica la migración de la 5 a la 7 y os recomiendo esta entrada en la que enumeran 10 cuestiones a conocer sobre PHP 7.

Sobre seguridad en PHP, hardening / pentest, etc. Os recomiendo ver repasar los enlaces y contenidos de esta entrada.  No faltó un repaso al OWASP Top 10 2017 y cómo había evolucionado respecto al de 2013 (donde vemos cuestiones comunes y otras nuevas relacionadas con problemas de configuración y una protección proactiva frente a diferentes tipos de ataques).

Sobre los ataques DoS / DDoS

Volví a insistir en aquello de «por qué lo llaman DoS cuando son problemas causados por configuraciones ineficaces» y hablando de DDoS, recomendé el uso de UFONet, una gran herramienta creada por el amigo Epsylon que aprovecha vulnerabilidades «Open Redirect» con múltiples opciones y como dice su autor «no es para usarse con fines educativos;).

La herramienta «ab» incluida en «apache utils» (aptitude install apache2-utils) es de gran utilidad para realizar pruebas de estrés o simular ataques DoS desde uno o varios servidores. Aquí os dejo unos consejos interesantes para mejorar el rendimiento. También puede ser interesante usar Apache Benchmark y las gráficas de GNUPlot. Básicamente el uso sería:

ab -c 300 -n 1000 http://webdeejemplo.com/index.php/

Donde c 300 sería el nivel de concurrencia y n 1000 el número de peticiones (os recomiendo ver todas las opciones disponibles). Si estáis haciendo un test con Apache Benchmark y veis este mensaje de error al intentar subir los valores de concurrencia o peticiones:

socket: "Too many Open Files"

Con aumentar los límites con el comando ulimit (página del manual) ya lo tendréis resuelto:

ulimit -n 5000 (por ejemplo)

En el servidor atacado, podéis ver el número de peticiones que llegan desde las IPs de origen por ejemplo con este comando:

netstat -plan|grep :80 | awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -n

Otra herramienta DoS que siempre tengo siempre a mano es GoldenEye, intuitiva, efectiva y fácil de usar.

Volviendo a UFONet, aquí os dejo un ejemplo de uso, sería ya el concepto de un ataque distribuido y con un impacto mucho mayor llegado el caso o dependiendo de los «zombies», así que ojo y a documentarse bien (teniendo en cuenta que según la legislación de vuestro país de origen, aprovecharse o explotar esas vulnerabilidades «Open Redirect», si hablamos de España, lugar donde el hacking / conocimiento está cada vez más criminalizado, puede meterte en apuros, así que más ojo si cabe).

Mi intervención que fue de en torno a una hora, acabó con una demo realizando ataques DoS desde varios servidores hacia un subdominio que monté en un VPS y estuvimos viendo cómo se comportaba, analizando peticiones, origen de los ataques, (principalmente con Mod Status) así como aplicando medidas paliativas con Mod Evasive y otras configuraciones.Aquí tenéis un ejemplo de lo que os comento y que podéis ver en la siguiente imagen:

Test de estrés o DoS a servidor Apache

Apache Server Status

Para ver en tiempo real las IPs y peticiones que se están realizando al servidor, en vuestro navegador:

http://IP-Servidor/server-status?refresh=2 donde el refresh=2 es el número de segundos para refrescar los datos.

No faltó una mención a Cloudflare con algún ejemplo, también a herramientas como «Cloudflail» y algún ejemplo de lo visto en cuanto a ·»fingerprinting» y configuraciones muy permisivas buceando con DNSdumpster (recurso que gustó mucho). Para acabar con el tema de las pruebas de estrés, un recurso web que puede ser interesante es Load Impact, donde tenéis diferentes planes de precio en modo «suscripción» o también está opción de pagar por tests puntuales según concurrencia y duración del mismo..

Un evento para no olvidar…

Sobre el QurtubaCON, no me cansaré de repetirlo, increíble esfuerzo por parte de la organización (con «súper Paco» a la cabeza) y no daré nombres porque siempre te dejas a alguno en el tintero. Un equipazo que está encima de cada detalle para que te sientas como en tu casa, y una CON de las que te deja huella en lo técnico y humano. Disfruté y aprendí mucho viendo al resto de ponentes, además de con la ciudad una vez más y su gente. De veras, eso de «somos una familia», en Qurtuba, además de algún otro evento en los que he estado, no es una frase hecha.

Muchas gracias a las personas de la organización, resto de participantes y a los asistentes al evento (guardo con cariño los detalles de algunos de vosotros y no me olvido de vuestras palabras, recuerdo incluido hacia el Podcast, que verá la luz de nuevo) ¿Lo próximo? Servers y Debian 9.