DaboBlog

lsb_release -a > Debian GNU/Linux. Por David Hernández (Dabo) ¿Ciframos? GPG Key 0xBC695F37

Linux | Hacking | SysAdmin.

Publicado el Por en En mi Twitter, GNU/Linux, Hacking | Redes, Sec Tools, Según leo en..., Seguridad Informatica, Webmaster

A continuación, os dejo un resumen de lo que va llamando mi atención sobre (IN) Seguridad informática, los Servers o GNU/Linux. Son de la semana pasada y están recopilados desde mi Twitter (también usados como mi propio «almacén de links» ;).

También recordarte si te interesa la seguridad informática, que en Daboweb (puedes seguirnos vía RSS o Twitter ) publico regularmente y junto a mis compañeros, nos hacemos eco de una forma más elaborada sobre temas similares. También te animo a participar en nuestros foros.

Y si lo tuyo es Debian GNU/Linux, nos vemos por DebianHackers, saludos ;).

En mi Twitter, @daboblog, sobre GNU/Linux, Hacking, SysAdmin, semana 02/2013: (Anteriores).

(Del 7 al 13 de enero) Primero van los más recientes.

Recomendable post de @josemaria: «Instalación y configuración básica de Cacti en #Debian para monitorizar un host» –> http://bit.ly/X5tAPS
In @aboutlinux «Book Review : PGP & GPG : Email for the Practical Paranoid» –> http://bit.ly/X5sLqz #Privacy
En @fluproject Flu 106: http://bit.ly/X5r9Nq | @secbydefault SECmana 157: http://bit.ly/X5r38t | @mkpositivo LOPD 162: http://bit.ly/X5rfVg
@NexoLinux Somos Legion – La Historia de los Hacktivistas (Subtitulado) – http://goo.gl/cZNdU
Por si os lo perdisteis anoche «Manifiesto de la Guerrilla Open Access, en memoria de Aaron Swartz» @soydelbierzo
«SQL Injection to Shell with #SQLMap» –> http://bit.ly/10lTx5v | De Hacking «puro y duro» y servidores web (K.O) Gran post de @calebDrugs ;)
@fluproject Automated Malware Analysis by @ifsecurity
Reverse proxy con Pagekite (En GNU/Linux) –> http://bit.ly/10lSJh2 | Por @seifreed
‏@oreixa [post]: He visto cosas que…. Phishing burdo http://bit.ly/XVrd8r #phishing
PelicanHPC 2.9 -> http://bit.ly/Xn823g | Debian Live Based image that let’s you set up a high performance computing cluster
@segura201093 en el «White Hats» de Twitter https://twitter.com/about/security por ese #XSS reportado –> http://bit.ly/UOQDUf
Gran post de @Zerial sobre fallos de seguridad y ataques en #Prey –> http://bit.ly/VMI1eM (Y respuesta ejemplar del amigo @tomaspollak)
Buen tip de @donnieRock sobre ataques «SQL Injection» y PHP –> http://bit.ly/ZvgsFl | Rel: PDO http://www.php.net/manual/es/intro.pdo.php … #SQLi
@cyberhadesblog LAMPSecurity Training http://cyha.es/UBvjfv
@Seguridadjabali Crack 100% MS-CHAPv2 https://www.cloudcracker.com/blog/2012/07/2
0V3RL04D 1N TH3 N3T: ¡Estrenamos Radio! http://0verl0ad.blogspot.com/2013/01/estrenamos-radio.html
@lostinsecurity empieza fuerte ;) http://www.lostinsecurity.com/blog | Vídeo CPNI, «Shape Security Facts», Memcached injection
Critical Bugss in #Asterisk (HTTP, SIP and XMPP protocols. Only the XMPP vuln requires an active session) –> http://bit.ly/UVCLVq (Fixed)
Debian DSA-2602-1 (#Zend Framework) Vuln: XML external entity inclusion. Remote. Fixed in 1.10.6-1squeeze2 and 1.11.13-1.1 (Testing / Sid)
Boffins hide messages in Skype ‘silence packets’ –> http://bit.ly/13fwDv9 | «During silence can be used to carry secret messages […]»
No sé qué es mayor, el nº de CMS y Plugins afectados por Full Path Disclosure, o los servers expuestos vía display_errors = On en php.ini…
#Nagios Core ‘get_history()’ Function Stack Based Buffer Overflow Vuln –> http://bit.ly/13fg2rr (Remote, updated Jan 08)
@neosysforensics Nueva entrada en el blog: Mi solución al Holiday Challenge 2012, parte 1
@holesec Bruteforcing a GPS Pin: http://hackaday.com/2013/01/05/brute-forcing-a-gps-pin/ …
@flosadam Autopsy 3.0.3 released http://www.sleuthkit.org/autopsy/index.php
Por @gespas «Cómo medir el ancho de banda de la red con iperf o jperf» –> http://bit.ly/XhpEh7
By @lord_epsylon: #XSSer v1.7a under development. Review public roadmap at: http://xsser.sourceforge.net/xsser/xsser-roadmap.pdf … | More info http://xsser.sourceforge.net #Hacking
@YJesus Tal día como ayer (7-1) nació hace 10 años http://www.security-projects.com con la idea de ir publicando mis programas / herramientas
#Debian / #Ubuntu Linux: Install GTK 2+ Development Environment http://www.cyberciti.biz/faq/debian-ubuntu-installing-gtk-development-environment-apt-get-command/ …
@aetsu Coqueteando con Metasploit: Meterpreter IV =>
@fluproject Liberad a wifi revolution http://www.flu-project.com/liberad-a-wifi-revolution.html … #android #wireless
.@Raspberry_Pi releases education manual for those wishing to use it in education environment. PDF: http://bit.ly/UBA1zd
@spamloco Denunciar páginas en Google http://spamloco.net/2010/04/denunciar-paginas-en-google.html … #actualizado
From «In the Loop» #Security News January 7 –> http://bit.ly/THHbPX
Enviando miles de ebooks a Dropbox –> http://bit.ly/WFfsg0 Y con Calibre, organizáis la librería y de ahí al Kindle | http://gutenberg.org
#SQLi: An Introduction –> http://bit.ly/WFd49b «According to the OWASP Project, SQLi attacks are first on the list of the top 10 web vulns»
Weaponizing Mobile Devices for Use in DDoS Attacks –> http://bit.ly/RCI10s | #Hacking
MariaDB CVE-2012-4414 Multiple SQL Injection Vulnerabilities –> http://bit.ly/RCHQSW | «Updated: Jan 07 2013»
@debianhackers Richard Stallman respondiendo en @slashdot –> http://bit.ly/WF6yzj | Rel: Entrevista en especial @HackDevMagazine –> http://www.hdmagazine.org
Una de #DebianFanBoy -;) nº 493 en Debian Counter: http://ur1.ca/cflhc Vía @DesdeLinux
GNU/Linux In The Cloud: Windows #Azure vs. #Amazon Web Services –> http://bit.ly/XEpe8i (BTW, «Conclusion surprise?» -;)
En @hijosdigitales «Nueva herramienta para configurar la #privacidad de Facebook» –> http://bit.ly/TXLLsd
#MongoDB log rotate and crashes –> http://bit.ly/XElm7e | Rel: mongo admin –eval «printjson(db.runCommand(\»logRotate\»))» –port 27017
Installing Adito/OpenVPN-ALS On #CentOS («Is not to be confused with OpenVPN») –> http://bit.ly/UBJt5E | A browser based SSL VPN […]
En el rincón de @Zerial 4 errores muy comunes a la hora de subir ficheros a entornos web en producción –> http://bit.ly/UBz5em #SysAdmin
En @hackplayers «Algunos Google Dorks para espiar webcams» –> http://bit.ly/UBwalL | Rel: http://bit.ly/UBwmkZ De @_Angelucho_
Recopilatorio en @ConexionInversa de útiles herramientas de auditoría –> http://bit.ly/Zh4D5z (En Windows, ahí necesito estar más al día)
RT @cajondesastres: Capturas de pantalla en Firefox con Abduction; http://wp.me/p1G8U-bIK
Lo mejor del 2012 en http://DragonJAR.org http://buff.ly/TRXsAB
How Nmap Helped Me in Cracking My Neighbor’s Wireless Router Password http://lnkd.in/id3Rqy
@minWi Varnish logs analized with awstats | Multiple virtual servers http://bit.ly/13bamP1
@Israelmgo AWS Management Console Amazon S3 en debian Squeeze – #Linux #Debian
Cómo Instalar WhatsApp en un Tablet Wifi Android (con un nº virtual de fonYou) http://bit.ly/Zd1fsm | Por @raulserna
«Hashcat Manual de Usuario» –> http://ur1.ca/cfbdm | 50 pág, 2.6 mb. Enhorabuena @MexicanH por el (gran) Paper #Hacking

Hacker Épico. Crónica de una novela (negra) anunciada

Publicado el Por en Dabo | Personal, Hacking | Redes, Prensa | Libros

Hacker Épico el libro Tenía en «pendiente» dejar aquí mi opinión sobre «Hacker Épico». Esta era una novela anunciada / esperada (año 2010) hace tiempo, tras el lógico proceso de creación y por sorpresa, vio la luz, pero no en un formato «tradicional».

Muchos, cuando nos enteramos que Alejandro (Ramos) iba a hacer realidad una de esas cosas que el que suscribe «algún día» llevará a cabo, teníamos claro que sería un libro con una calidad técnica fuera de toda duda y para comprar «sí o sí», pero…

Pero con lo que no contaba (error de cálculo) es que me sorprendiese como lo hizo…El prólogo de Yago (Jesús) ya era sinónimo de calidad. ¿El motivo? si le conoces, sabes que por muchos lazos que le unan con el autor no es de halago fácil (es muy amigo de sus amigos, pero coherente).

Y es que de pronto, el Hacker se hizo escritor…(y me hackeó;) como no podía ser de otro modo haciendo honor al título del libro. Un Defacement en toda regla y llevado a cabo con éxito en unas pocas horas (casi lo termino del tirón, dejé una sesión para no emborracharme con tanto Hacking).

Hablando del «ataque», estuvo co-patrocinado por Rodrigo Yepes (luego, cuando lees que sus referencias literarias son Raymond Chandler, Dashield Hammett o James Ellroy, ya empiezas a comprender…). Y si a todo esto le añadimos que la release (del exploit) fue liberada por el Maligno Team de «un tal / muy grande» Chema (Alonso) el resultado se llama «Hacker Épico».

Una novela negra como el fondo de mi consola, arriesgada como lo hace su protagonista (Ángel Ríos) por esa Yolanda que todos llevamos en nuestros recuerdos y con olor y sabor a Hacking del bueno. Recomendable para profesionales y aficionados a la (IN) Seguridad que quieran tanto refrescar conceptos, reforzarlos o aprender algo nuevo como me ha pasado a mi en varias ocasiones (USB o PDF en entornos Windows por citar dos ejemplos que me vienen a la memoria). A todo no le puedes dar y para mi el libro quedará como material de referencia de cara a un futuro que puede ser «ahora».

Pero también para educadores, colegas de otras ramas que confluyen (ISO, LOPD, TIC, abogacía, etc), bloggers que escriben sobre tecnología. periodistas «supuestamente especializados en el género» (quizás ayude a que hablen con propiedad de temas que alguno «destroza»), desarrolladores que se interesan por escribir un código seguro, o cualquier usuario con un perfil medio o bajo en cuanto a lo técnico en cuestiones de seguridad, que esté interesado en saber a todo lo que se enfrenta cada vez que inicia una sesión en su equipos hablando de móviles, fijos, portátiles, entornos web, redes Wi-fi y todo lo que sea compatible con TCP-IP y un montón de RFCs.

En este aspecto es muy revelador, ya que el que no está metido en el mundillo, imagino que aún no comprendiendo alguna técnica expuesta en el libro o vector de ataque (que por cierto, se explican muy bien en muchos casos y en otros las pinceladas bastan) ve un compendio de situaciones por las que podría pasar a lo largo de su vida (o ha pasado sin saberlo).

Todo ello en medio de una trama que engancha, con un guión lleno de pequeñas y grandes sorpresas que pide a gritos una segunda parte. Alejandro tenía dudas sobre la acogida de «Hacker Épico» y creo que mejor no ha podido ser. Dentro de lo que es la novela negra en general, está claro que puedes encontrar libros mejores, si nos vamos al lado más técnico, hay material para aburrir (o enseñarte mucho), pero… después de haber buceado por parte de mi biblioteca tanto «física» (ahí faltan casi otros tantos) como digital (cientos, contando papers en PDF) no he encontrado ninguno como este.

Me atrevería a decir que o bien han reinventado el género, o yendo más allá, directamente y haciendo un símil con mi querida montaña, abren una nueva vía de ascensión en un terreno ya conocido, pero que en mi opinión, necesitaba un nuevo enfoque. En definitiva, la apuesta era fuerte, Alejandro se la jugó y el resto de la historia ya la conocéis… (haced una búsqueda en Google y os daréis cuenta).

En el reparto del premio creo que hemos salido ganando todos. Luego si navegáis por el sitio web del libro /* Alerta Spoiler en alguna sección */, te das cuenta del enfoque tan abierto, dejando todo tipo de enlaces e información sobre los recursos mencionados en él.

Hacker Épico

Para acabar, dar las gracias a los tres por esa dedicatoria, los 100 primeros llevaban la firma de los autores, en el mío están tanto Alejandro (esa referencia a mi Debian OMG;) como Rodrigo (más que útil) y se coló por sorpresa Chema (lo seré pero no puedo llegar a tu nivel ;D;). Cuando vaya a Madrid, le pediré a Yago que me deje unas líneas y de ese modo, el libro será más épico aún. Y es que alegrarte de los éxitos de gente a la que aprecias y admiras por su trayectoria es muy humano.

El único disclaimer de esta critica (en la web han habilitado una sección) puede ser:

«Léase teniendo en cuenta que está escrita entre dosis de amistad, admiración y cercanía, pero con la mayor objetividad posible«.

Eso sí, con este libro no busques fórmulas mágicas, este es un camino largo, de paso firme y constante, pero «Hacker Épico» será sin duda un buen compañero de viaje. ¿Destino? el tiempo lo dirá, saqué un billete de ida, no sé si llegaré pero no hay retorno -;).

Pronto os dejaré unas líneas sobre otro que en ocasiones he citado, firmado por el gran Claudio Caracciolo (gracias !)

Sem 52/2012. En Twitter –> GNU/Linux | Hacking | SysAdmin.

Publicado el Por en En mi Twitter, Hacking | Redes, Según leo en..., Seguridad Informatica, Unix, Webmaster

Y si lo tuyo es Debian GNU/Linux, nos vemos por DebianHackers, saludos ;).

En mi Twitter, @daboblog, sobre GNU/Linux, Hacking, SysAdmin, semana 52/2012: (Anteriores).

(Del 24 al 30 de diciembre) Primero van los más recientes.

@HackDevMagazine Para los que recién se despiertan o recién llegan, el especial de fin de año ya está en línea! –> http://hdmagazine.org ^RP
20 Practical Examples of RPM Commands in GNU/Linux –> http://bit.ly/Vegq3A (For Red Hat based systems like RHEL, CentOS and Fedora)
@mkpositivo En mi blog: Noticias LOPD 160 http://ow.ly/2tZh0M
El lado del mal – Mi maligna selección de Enero a Junio de 2012 http://www.elladodelmal.com/2012/12/mi-maligna-seleccion-de-enero-junio-de.html … #in #hacking }:))
@mmdelrio 20 Critical #Security Controls: lo nuevo de la versión 4 http://bit.ly/UvbiGL /cc @daboblog #cybersecurity
@jordi_prats obtener estadísticas de un fichero .pcap: http://systemadmin.es/2012/12/obtener-los-metadatos-de-un-fichero-pcap …
MT @cocoworking: Recuerda > Hoy viernes a las 19:00h Charla Presentación libro @Ciberactivismo_ con @mtascon http://bit.ly/YEBhm8
20 Critical #Security Controls – Control 1: Inventory of Authorized and Unauthorized Devices –> http://bit.ly/UpX1yc
THC-IPv6 Attack Tool 2.1 –> http://bit.ly/UpWRqP | Changes: 4 new tools, features, and bug fixes.
[Paper] Insecure Authentication Control In J2EE –> http://bit.ly/UpWE6W | «implemented using sendRedirect().» PDF 8 Pages
#cPanel / WHM 11.34.0 Cross Site Scripting (actual version) –> http://bit.ly/Yl51j6 | POC Video http://ur1.ca/cb2u6
Learn more about InnoDB secondary keys improvements in #MySQL 5.6: http://pub.vitrue.com/LsbO
@SophosIberia Resumen 2012 http://sophosiberia.es/resumen-2012/ por @JPabloTG
@ObservaINTECO Te dejamos los #propósitospara2013 del equipo #BlogINTECO: Por un 2013 seguro http://bit.ly/TkOc9d
@_Angelucho_ INICIATIVA X1SONRISA (os ruego difusión) cc @1GbDeInfo
@Csirtcv Diez predicciones de seguridad TI para 2013 según Kaspersky Lab | CSIRT-cv
@kinomakino 115 artículos ya en castellano !!!! INSEGUROS: COMMUNITY PENTEST PROJECT http://kinomakino.blogspot.com
«An introduction to #Security models in GNU/Linux» –> http://bit.ly/ZBL7Xl | By @linuxaria
En «La Leyenda de Tux» Coqueteando con #Metasploit: #Meterpreter (Parte III) –> http://bit.ly/ZBKVY8 | Por @aetsu
In @TripwireInc «Top 12 Blog Posts of 2012» (About #Hacking and #Security) –> http://bit.ly/Tq4nkj | By @cindyv
Linux/x86 Remote Port Forwarding Shellcode 87 bytes –> http://bit.ly/Tq3tV1 #KISSHacking -;)
Check out #install guides we have put together for #snort and #suricata http://ow.ly/gmV8x
Ojo… «Las Apps también estaban en Google Play» RT @jorgemieres: Malware en la tienda de aplicaciones de Amazon
«Monitoriza tu servidor con Glance» –> http://bit.ly/V7TFxv | En @blogofsysroot
Mobile #Security – Basic Challenges –> http://bit.ly/Vc63jd | By @InfosecEdu
@YJesus La Unión Europea quiere obligar a las empresas a informar cuando han tenido problemas de seguridad http://bit.ly/U6IvsK

DaboBlog Podcast. Feliz 2013 !!!

Publicado el Por en Dabo | Personal, DaboBlog Podcast, GNU/Linux, GNU/Linux & MB

¿De resaca? Bueno, ya sabéis, es un día y tal -;) Como viene siendo habitual, aquí tenéis el día 1 nuestra forma de felicitaros el año y también, de daros las gracias » a nuestra manera» ;D por estar ahí, en todos los sentidos…

Feliz 2013 !!!

Al igual que en otras ocasiones, os animamos a dejar cualquier sugerencia sobre temas a tratar en sucesivas entregas del podcast, podéis hacerlo aquí o en nuestros Twitters; @antoniojperez, @daboblog, @foratinfo, @lurphoto, @n1mh,@oreixa donde los días de grabación, solemos anunciar cuando empezamos a grabar para que dejéis vuestras propuestas, comentarios o temas que os gustaría que tocásemos, pero también podéis hacerlas llegar en esta misma entrada.

(Duración 8,24 min)

Seguir leyendo

Sem 51/2012. En Twitter –> GNU/Linux | Hacking | SysAdmin.

Publicado el Por en En mi Twitter, GNU/Linux, Hacking | Redes, Sec Tools, Seguridad Informatica, Webmaster

Y si lo tuyo es Debian GNU/Linux, nos vemos por DebianHackers, saludos ;).

En mi Twitter, @daboblog, sobre GNU/Linux, Hacking, SysAdmin, semana 51/2012: (Anteriores).

(Del 17 al 23 de diciembre) Primero van los más recientes.

wget mysqltuner.pl | vim /etc/my.cnf | mysqlcheck -o –all-databases -u root -p
cat /var/log//kern.log | grep -i mda | less kernel: mdadm: sending ioctl 1261 to a partition! — uname -r 3.2.13-grsec-xxxx-grs-ipv6-64
Now in a #Server find . -type f | xargs chmod 644 (for files «f») | find . -type d | xargs chmod 755 (for directories»d») #SysAdmin
netstat -an | grep :80 | wc -l 381
In my Debian (now) /USR/SBIN/CRON[27102]: (root) CMD (/usr/local/maldetect/maldet –mkpubpaths >> /dev/null 2>&1)
TCP SYN Flooding Attacks and Common Mitigations -> http://bit.ly/Vm3tTx (Old, 2007, but valid. via @rubenhortas)
‏@meneame_net Sin dejar rastro, el ciberactivista paranoico http://menea.me/12gq7
Understanding and using htop to monitor system resources in GNU/Linux –> http://bit.ly/Vm0lHh #SysAdmin #Servers
Passing the SANS SEC504: Hacker Techniques, Exploits & Incident Handling Exam –> http://bit.ly/VlZQNe | #Hacking #Pentesting
3 Million #Verizon FiOS Customer Records Leaked –> http://bit.ly/VlZEgV | (More info and source http://bit.ly/VlZGFA )
Username Anarchy 0.2 –> http://bit.ly/VlZshO | For generating usernames when pentesting. It is useful for user/pass brute forcing
GNUnet P2P Framework 0.9.5 –> http://bit.ly/VlZ4zO | A peer-to-peer framework with focus on providing #security.#Privacy
Release: #wifislax 4.3 final –> http://bit.ly/ZqYDgo (No se basa en Slax/Porteus, desde cero y paquetería slackware 14;) #Hacking
Loganalyzer 3.6.0 Cross Site Scripting –> http://bit.ly/ZqYcmf «in the asktheoracle(dot)php» Fixed in v.3.6.1 #SysAdmin
#WordPress #BuddyPress XSS/ Content Spoofing –> http://bit.ly/ZqXQMl old? uhm (end) «2012.12.20
Forzar y ver en un #server, por una gestión pésima «down for reboot NOW!» vía SSH #WTF. Vamos con mysqlcheck -r (MyISAM)
Puedes tener un vmstat con un Idle (CPU) de 98, en «waiting» 0, una carga de 0,60, etc. Papel mojado si el anfitrión del #Cloud está K.O…
Options For User Auditing On GNU/Linux Platforms –> http://bit.ly/VYbJd6 (The methods : script, screen, sudo auditing, Native audit)
En @rm_rf_es «Cambio de IP para el ROOT SERVER D (d.root-servers dot net)» –> http://bit.ly/VYaVFf | #SysAdmin #Servers
‏pfSense 2.0.2 –> http://bit.ly/VY9Ltp («new version of the project’s specialist FreeBSD-based O.S for firewalls») Bugs & Sec fixes
Turn your #Raspberry Pi into a tiny GNU/Linux laptop –> http://bit.ly/Vc8MJz «A 10-hour battery» BTW, img ;D http://bit.ly/Vc8Ust
The Final #Knoppix 7.0 Release (v.7.0.5) –> http://bit.ly/Vc7myB (kernel 3.6.11, Debian Stable based and others .deb from Testing and Sid)
En @mkpositivo, Jesús nos pone al día con su resumen «Noticias #LOPD 159″–> http://bit.ly/Vc6LwJ (Un «sí o sí» en mis RSS-;)
Predicciones Seguridad 2013 http://www.securitybydefault.com/2012/12/predicciones-de-seguridad-2013.html … por @lawwait
Mobile #Security – Basic Challenges –> http://bit.ly/Vc63jd | By @InfosecEdu
#Snoopy Release –> http://bit.ly/Vc4KRg (Snoopy is a distributed tracking, data interception, and profiling framework) #Hacking
Hey BOFHers ! «IT Gangnam Style» –> http://ur1.ca/c8afm | The «http://f5.com » Cloud Ninja t-shirt: http://bit.ly/Vc4t0F -;)
#Android Programming for Beginners: Part 1 –> http://bit.ly/VTYQkd | @linuxfoundation
#AWS re:Invent: #Amazon Web Services Launches Cloud Database, Lowers S3 Pricing, & More –> http://bit.ly/VTYEkL #Servers
En @securityartwork «Introducción a las vuln Web: cómo detectarlas y evitarlas» –> http://bit.ly/VTYkTe | Por @bufferOverCat
Malicious Apache Module: a clarification –> http://bit.ly/T3SJyK (Linux/Chapro.A, Injected iframe, Java exploit, Zeus binary.)
Profile Spy Resurrects on Eve of Mayan Apocalypse –> http://bit.ly/T3RL5v | «A once viral scam on Facebook and Twitter […]»
An Interview with #Amazon CTO, Werner Vogels –> http://bit.ly/VTXd65 (Cloud trends, Big data, best practices for SMEs)
Penetration Testing with Smartphones Part 2: Session Hijacking & ARP Spoofing –> http://bit.ly/VTWWjq | 1 –> http://bit.ly/VTWZvw
«European Data Retention Rule Could Violate Fundamental EU Law» –> http://bit.ly/TBIhey
Cómo monitorizar #VMware ESXI en #Nagios –> http://bit.ly/TBHTMS
How to Configure SSH V2 Management on Juniper #Firewall –> http://bit.ly/TBHni8 #SysAdmin
‏#Debian Squeeze LDAP Server With OpenLDAP And phpLDAPadmin –> http://bit.ly/TBH3jn #Servers
How to harden your RHEL 5 #servers –> http://bit.ly/TBECgB | «are included in a reference card published by NSA» #SysAdmin
Website Malware. Drupal iFrame Injections Stealing User Cookies –> http://bit.ly/TBAM7h The Payload and «finding /removing»
20 ejemplos #iptables para administradores de sistemas GNU/Linux –> http://bit.ly/TBAehJ | #SysAdmin
@JosebaEnjuto Administraciones publicas, #cloudcomputing y #ENS , podemos encontrar en la Guia CCN-STIC-823:
RT @daboweb: [Post]: #Drupal 7.18 y 6.27 liberados (actualización de seguridad) http://bit.ly/SXoWro
@seguridadyredes Info #HTTP sobre servidores con #tcpflow -http.pcap -c -s port 80 | grep ‘Server:’ | sort | uniq -c
Configure Multiple IP for #Squid Proxy Server & hide Version and Hostname –> http://bit.ly/T91STs #Privacy (Good for a SSH Tunnel)
Collecting all the cheat sheets –> http://overapi.com (Python, MySQL, Apache, CSS, Ruby, PHP, JavaScript, HTML, Java, Node, jQuery, etc)
#HackerEpico http://twitpic.com/bnd03k Lo abrí a las 23 h y llegué hasta la pág 170. Engancha y es innovador (grata sorpresa;).
‏@elcodigokSQLMap Training: Actualización
@mmdelrio Se viene #2013 ¿y en materia de #seguridad? http://bit.ly/V014xv
#Linux Configure #Firewall Using Shorewall Under #RHEL / #CentOS
‏@voylinux Herramientas en línea de comandos para desarrolladores http://bit.ly/T80jpX
Mi Iceweasel sin Java, DNT, NoScript , Adblock Plus, etc MT @gespadas: Guía sobre Do Not Track (DNT) http://whatisdnt.com
Actualización #Bro_IDS 2.1 Sistema detección intrusiones basado en políticas especializadas, uso básico y avanzado ->
Go! #HackerEpico http://twitpic.com/bnd03k Las dedicatorias ! @aramosf (Debian !) @rodripol (fijo !) y @chemaalonso lo seré ;D junto a @yjesus ;)
@rubenhortas Compilar un Kernel al estilo Debian http://www.esdebian.org/articulos/23843/compilar-kernel-estilo-debian#toc5 …
To –> @bing #iptables -A INPUT -s 157.55.0.0/16 -j DROP | iptables -A INPUT -s 157.56.0.0/16 -j DROP Crawl slowly please !!!
GNU/Linux Netcat command – «The swiss army knife of networking» –> http://bit.ly/RDx3ZU #Hacking #SysAdmin
Yo estuve ahí ;D RT @oreixa: [post]: He visto cosas que… Un servidor que tarda más de 1 hora en reiniciar http://bit.ly/UCwkob
[SbD] Evadiendo Snort en IPv6: Topera http://secby.us/RDeTYp artículo cortesía de @ggdaniel y @r_a_ff_a_e_ll_o
@josla333 Metasploit: 5 Tips to Ensure Safe Penetration T... | SecurityStreet
En el blog de @sniferl4bs: «#MongoDB – La MySQL del NoSQL» –> http://bit.ly/XFdv4d | #SysAdmin
«WEB HACKING – Módulos y Librerias en servers #Apache – MOD_CACHE – Parte XVI» –> http://bit.ly/ZgeWfG | Por @jdaanial
Legislación relevante para #Seguridad de la Información –> http://bit.ly/XFasc7 | Por @miguelangelher (OMG ! una infografía útil;)
@ObservaINTECO Primer post de @Jorge_Morell en el #blog: cambios en las condiciones de uso de Facebook http://bit.ly/U6pUQ3
@IntecoCert Publicado el módulo 3: « virus» del curso «Asegurando tu smartphone o tablet Android» http://is.gd/knyWMh
Presentación «(Profecía) Inseguridad de los dispositivos móviles más allá de 2012…» (VI STIC CCN-CERT): http://bit.ly/T5yzST
Snapshots de MySQL y la Query Cache (en modo gráfico) –> http://bit.ly/SKE7UO | Rel: mysql> show status like ‘Qca%’; […]
[Release] Stable Clonezilla live (2.0.1-15) –> http://bit.ly/SKCF4S (with specialist open-source tools designed for disk cloning tasks)
#MySQL Server Command Processing Buffer Overflow –> http://bit.ly/SKwjT4 MySQL 5.5.19, 5.1.53 […] MariaDB 5.5.2.x before 5.5.28a […]
Ebook «#DDoS for Dummies» –> http://bit.ly/U8E6ca | DDoS Attacks defined, mitigation and more. PDF, 52 pages. #Hacking |
Pdnsd, DNS cache (integración con Squid). Instalación en Debian –> http://bit.ly/U8yM8B | Por @RooteandoBlog #SysAdmin
#IPv6 Neighbor Discovery #security (new documents) –> http://bit.ly/VN2Pz4 | Know-how about IPv6, NDS, security, IPv6 toolkit and more
To –> @linuxfoundation | From –> My Kernel: Many thanks for the follow !! | Under –> #GNU / #Linux -;)

DaboBlog Podcast, número 39. «Kernel Panic» y «Manzanas Traigo».

Publicado el Por en Dabo | Personal, DaboBlog Podcast, Debian, GNU/Linux, GNU/Linux & MB

!Hola! Como podéis ver, volvemos a estar «en el aire» pasado poco más de un mes desde el último. Es más que probable que grabemos el «lamentable / clásico» ;D Especial fin de año, ya os informaremos. Os dejo con el guión y sobre «Manzanas Traigo» en fin…estábamos sólos Oreixa y yo y así nos fue -;P.

Contenidos incluidos; (Duración 1,49 h)

> Intro (00:00 hasta el minuto 5:03)

(Por David Hernández, Dabo) Presentación sobre este episodio 39.

> Kernel Panic (Minuto 05:06 hasta el 1:24 h)

En Twitter; Dabo y Diego aka n1mh (Forat estará en el próximo).

En este episodio hablamos (cómo no;) del «estado de nuestras Debian», KDE, GNOME, Ubuntu Vs la FSF vS los demás, Seguridad, eventos, algún libro, Suse, Android, gNewSense, sobre Linux y Hurd hablando de Kernels, hardware, algún lanzamiento, etc. Con n1mh.

> Manzanas Traigo (1:24 h hasta 1:49 h)

En Twitter; Aj, Dabo, lur, Oreixa.

En «Manzanas Traigo»…Menos de 30 min en los que Oreixa no falló a la parte «Mac» y ahí estuvo. Un episodio muy «freak» ;D y es que…no nos podéis dejar sólos ! Ahh vale que hablamos de IOS, Google Maps, Instagram, algún iMac, «alguna App», etc ??? Junto a Oscar Reixa, (A. J Pérez y lur en este no pudieron estar y así nos fue;)

Seguir leyendo

Sem 50/2012. En Twitter –> GNU/Linux | Hacking | SysAdmin.

Publicado el Por en En mi Twitter, GNU/Linux, Hacking | Redes, Sec Tools, Seguridad Informatica, Webmaster

Y si lo tuyo es Debian GNU/Linux, nos vemos por DebianHackers, saludos ;).

En mi Twitter, @daboblog, sobre GNU/Linux, Hacking, SysAdmin, semana 50/2012: (Anteriores).

(Del 10 al 16 de diciembre) Primero van los más recientes.

Resumen: @secbydefault SECmana 153 http://bit.ly/ZApGVh | @mkpositivo LOPD 158 http://bit.ly/ZAqKZp | @fluproject 102 http://bit.ly/ZAqRUO
Por @eugeniabahit en DebianHackers: «31/12, @HackDevMagazine Especial de fin de año» –> http://bit.ly/SAP772 Hacking, Arduino, MongoDB, etc
@HackHispano Guia de supervivencia para la seguridad en GNU / Linux
En @redorbita: «Cómo ver la Televisión con GNU/Linux por internet» –> http://bit.ly/QvfY2D | (Sin tarjeta capturadora / sintonizadora)
Google #Hacking with GGGoogleScan –> http://bit.ly/VHgJm7 (Another usefull tool and post in @infosecEdu)
The 30-year-old prank that became the first computer virus –> http://bit.ly/VHgWFZ (Elk Cloner creator Rich Skrenta looks back) #Old ? -;)
In @infosecEdu: «SELinux Raises the Bar Against Intruders: Intro» –> http://bit.ly/RuCrOT | (BTW, many thanks for the follow & feedback;).
New Oracle Database Security Benchmarks –> http://bit.ly/RuBGFF (For managing security parameters of existing and new Oracle instances)
Firefox gets an all-new private browsing mode –> http://bit.ly/RuACla (more practical and useful, keeping the existing session of browsing)
Software Wars [teaser] –> http://bit.ly/RuzEoX | Story: The average computer user is unaware there is a war for freedom [..] Thx @voylinux
@seguridadyredes Creando tráfico red. Entrada #pcap, salida por interface: #netsniff-ng –in ids.pcap -m -o eth0 -s Sobre netsniff-ng
Now… netstat -n -p | grep SYN_REC | awk ‘{print $5}’ | awk -F: ‘{print $1}’ | wc -l 278 (Sweet hacking on friday please !! -;) #SysAdmin
@mkpositivo Google nos avisa cuando alguien intenta entrar en nuestra cuenta http://ow.ly/g5Xji
A hash-based #DoS attack on Btrfs –> http://bit.ly/UK7fWx | «I have created several files with random names in a directory (around 500)»
«The Linux 3.8 Kernel Can Save A Lot Of RAM» –> http://bit.ly/UK6VqA | Source @linuxfoundation
«Parsing The 20 Critical #Security Controls» –> http://bit.ly/UK60GM | Rel, by #SANS http://bit.ly/UK6rkq
Website Malware – Reality of Cross-Site Contaminations –> http://bit.ly/UK5yrT | /* It’s nothing personal, it’s just business */ #Hacking
Niagara AX Framework Software Compromised –> http://bit.ly/UK429p «Used by multiple government agencies to remotely control heating» [..]
[Arachni Framework] Una forma diferente de Escanear y Auditar Servidores Web –> http://bit.ly/UK3hwX (Buen post del amigo @CalebDrugs-;)
‏@secbydefault [SbD] Unhide 20121212-Beta is out !! http://www.securitybydefault.com/2012/12/unhide-20121212-beta-is-out.html … por @YJesus
#Debian Project News – December 2012 (Mini DebConf Paris, Debian on smartphones, in Amazon AWS, latest BSPs and more > http://bit.ly/Ucy2fD
NATO’s National #CyberSecurity Framework Manual –> http://bit.ly/Rrp16v | Free download (PDF 253 pages)
New Acunetix WVS Build Includes ISO 27001 Template –> http://bit.ly/RrocKI (and new module that tests Slow HTTP DoS like Slowloris)
Evidence and #Privacy: «ICANN and the DNS» –> http://bit.ly/Rrney2 | By Dav Piscitello, ICLN Conference 2012. PDF 14 pages.
Network Scanning Using Nessus –> http://bit.ly/XhgW0D | Great post by @infosecEdu #Hacking
@jordi_prats interfaz administración XCache: http://systemadmin.es/2012/12/interfaz-de-administracion-de-la-xcache …
How to clone and share a Git repository over SSH –> http://bit.ly/XffWKA | #SysAdmin
15 Greatest Open Source Terminal Applications Of 2012 –> http://bit.ly/XffxYs #SysAdmin | By @nixcraft
An Evaluation of the Application («App») Verification Service (failure) in #Android 4.2 –> http://bit.ly/Xfejwr
[#Honeypot ] Turning Local File Inclusion into Reflected Code Execution –> http://bit.ly/XfdzYc «An example LFI vuln in a Joomla component»
#Cloud Encryption – PCI Frequently Asked Questions –> http://bit.ly/Xfd6Fq
Cross-Site Scripting with ChEF – (A Newbie Guide) –> http://bit.ly/UVawGZ | By @infosecEdu #Hacking #XSS
Abusing SAP #Servers –> http://bit.ly/XfaLdy [eight videos] sapinfo, getClients, getApp, RFC, ext Servers, brute login, Vulns, exploiting
Malware Removal Guide for Windows –> http://bit.ly/Xf9OC7 «a self-help guide. It is not a substitute for professional malware removal» […]
@Emmalytics Qué hacer en Google Webmasters si tu web ha sido hackeada [ENG] – http://bit.ly/QVICtO | #Google #Seguridad
authentication failure; logname= uid=0 euid=0 tty=pure-ftpd ruser=anonymous rhost=http://crawl-66-249-76-20.googlebot.com : 3 Time(s) #SysAdmin ;D
‏@lawwait Para los que os lo perdistéis, aquí tenéis el episodio 4 de @dragonjarTV en el que participé con @daboblog Enjoy!
WiFi Monitor Mode with Android PCAP Capture –> http://bit.ly/12k2MQW (App by Mike “dragorn” Kershaw, developer of Kismet) #Hacking
In @linuxaria «5 ways to check your disk usage on GNU/Linux» –> http://bit.ly/12k2Gsr (baobab, cdu, ncdu, JDiskReport and Filelight)
In @LinuxUserMag: «Monitoring your server with tmux» –> http://bit.ly/12k2olp | #SysAdmin
Fwknop Port Knocking Utility 2.0.4 –> http://bit.ly/12k1DZC
Y en @spamloco la opción de Microsoft al cierre de GoogleApps free http://bit.ly/12jZZqQ (MS está sobrevalorado, Google me controla más-;)
Skype on 64 bit Debian –> http://bit.ly/U52nN6 «Skype on Debian Testing seems now to require enabling Multi-Arch support» #WTF 130MB
En @linuxzone: «Como cifrar archivos desde el menú contextual de Nautilus» –> http://bit.ly/U51BzP | #GnuPG
PDF, 54 Pág (Licencia CC-;) MT @fluproject: Publicado nuevo libro: Un #Forense llevado a Juicio (Juan Luis G. Rambla) http://bit.ly/U4YuYx
@daboweb [Post] Llega #WordPress 3.5 Mejoras en galerías, organización y subida de ficheros, Twenty Twelve y móviles, admin, etc http://bit.ly/YXlrE6
‏@SophosIberia RT @JPabloTG Ahora me toca a mi!! Seguridad Completa by SophosIberia: http://youtu.be/5zxssrC8gMI #VIDEO
Post] 23 h (Colombia 17h) en @dragonJARtv “#Servidores GLAMP, ataques y defensas básicas”–> http://bit.ly/VLsLAU Con
To –> @linuxfoundation | From –> My Kernel: Many thanks for the follow !! | Under –> #GNU / #Linux -;)

En DragonJAR TV. «Servidores GLAMP, ataques y defensas básicas» (Vídeo y slides).

Publicado el Por en Dabo | Personal, GNU/Linux, Hacking | Redes, Otras Webs | Blogs, Sec Tools, Seguridad Informatica, Sobre DaboBlog, Webmaster

Actualización: Ya está publicado el vídeo con la intervención de Lorenzo (muy grande-;) y la mía. Sólo decir que cuando hablo de SSH en lugar de «DebianVersión» es «DebianBanner no»;). Aquí –> las diapositivas de mi parte.

Muchas gracias de nuevo, hubo gente que no pudo entrar en directo y ahora lo podéis ver desde DragonJAR TV. Saludos !

Sólo quería asomarme al blog para comentaros que hoy a las 23 h (en Colombia serán las 17h) estaré en directo vía DragonJAR TV (puedes inscribirte aquí), hablando de «servidores GLAMP, ataques y defensas básicas», (control de tráfico, ataques de fuerza bruta, logs, «seguridad por oscuridad», portscans, configuraciones básicas de Apache, PHP, etc).

Una vez que recibí la invitación de Jaime (gracias-;) para asistir, la intención es compartir experiencias recopiladas tanto en APACHEctl junto a mis compañeros, como en mi actividad como consultor a título individual, pero también como lo que soy, un usuario más que está como vosotros aprendiendo cada día algo nuevo en escenarios que cambian con mucha rapidez. Procurando también a gente que os dedicáis al pentest o al hacking en general, a ver cómo se enfocan ciertos temas en el lado del servidor, o también para ayudaros a elegir un hosting adecuado (algo que no es fácil hoy en día).

No podía estar mejor acompañado y es que entre amigos, todo es más fácil. Comparto espacio con el gran Lorenzo Martínez «aka lawait» (Security By Default, Securízame) y otro grande como también lo es Jaime Andrés Restrepo (fundador de DragonJAR). Estoy aún con las diapos ya que contaba con hacer algo «en vivo» y hemos tenido que darle un giro porque con buen criterio, hemos llegado a la conclusión de la señal de vídeo es más fácil perderla que una presentación con voz detrás.

dragonjartv

Si hay tiempo (haré lo posible por no pasarme;), atenderé en la medida de mis conocimientos a vuestras preguntas, os dejo la cuenta de DragonJAR TV en Twitter y también la mía. Yo desde luego no me lo perdería ! (No es por lo mío, seguro que Lorenzo se sale -;) habrá forense «del bueno» y más de una anécdota. Sigo que tengo que mandarle a Jaime la presentación lo antes posible y mi LibreOffice está que arde. Un abrazo y hasta la noche !!