Ahora que se informó de la vulnerabilidad de GRUB2 bautizada “BootHole”, la cual permite a un atacante insertar y ejecutar código malicioso durante el arranque del sistema, talvez consideren apropiado monitorear cambios al archivo /boot/grub/grub.cfg, que a su vez solo pueden ser realizados por un usuario privilegiado (comprometido) del sistema operativo o si tu proveedor de nube/infraestructura ha sido comprometido.

Read More

A veces resulta prático leer el contenido de un pcap desde el CLI sin descargarlo y abrirlo con wireshark, talvez porque la información necesaria se puede desplegar desde la misma línea de comandos o solo porque sí.

Tshark permite leer esas capturas de paquetes desde la misma línea de comandos usando lo que llaman “display filters” para mostrar los paquetes que coincidan con la expresión, pero que ya están guardados en el archivo. Read More

Estaba queriendo usar una instalación nueva de DBeaver para conectarme a un servidor MySQL remoto, pero obtenía los siguientes mensajes de error al querer iniciar la sesión:

2020-04-13 11:51:28.174 – org.jkiss.dbeaver.model.exec.DBCConnectException: Communications link failure

The last packet sent successfully to the server was 0 milliseconds ago. The driver has not received any packets from the server.

org.jkiss.dbeaver.model.exec.DBCConnectException: Communications link failure

Read More

Un error que suele pasar después de aplicar parches de seguridad que requieren reinicio de Sistema Operativo es él no aplicar dicho reinicio de manera inmediata en casos como:

  • No tener alta disponibilidad en el servicio que ofrece un servidor en cuestión.
  • No tener ventana de mantenimiento autorizada.
  • No notar que se requiere reinicio.
  • Simplemente olvidarlo.

No aplicar el reinicio termina siendo tan grave como no actualizar los paquetes, puesto que el Sistema sigue usando la versión anterior del paquetes, llamese este linux-image-generic, linux-headers-generic, linux-generic, glibc, etc.

Read More

Pasos para solucionar:

  • Quitar el usuario del grupo “Remote Desktop Users”.
  • Aplicar gpupdate /force.
  • Identificar el ID de sesión de usuario sin nombre (nomalmente aparece un 3 o 4  entre paréntesis). Esto se mira en el administrador de tareas.
  • Ejecutar cmd como admin y luego el comando: reset session 243 /V (aquí 243 es el ID de ejemplo).
  • Ejecutar cmd como admin y luego el comando: logoff 243 /V (243 es el ID de ejemplo)
  • Agregar al usuario al grupo “Remote Desktop Users”.
  • Aplicar gpupdate /force.

No encontré la solución en el famoso technet de Microsoft…