Siempre empieza igual. O bien alguno de los monitores de sistema que tienes montado te avisa o lo hace el más rápido de ellos: Tus clientes. Y en este caso han sido ambos. Estoy acabando de desayunar cuando aprovecho para quitar el modo avión del móvil. Empiezan a entrar whatsapps y emails. En los emails, notificaciones de que la web del cliente no está accesible. Al rato vuelve a estarlo y al rato a no estarlo. No pinta bien. En el Whatsapp, el cliente comentando que algo anda mal. Primera prueba, navegar el site. Efectivamente el tiempo de carga es lento. Te logueas en el servidor y te encuentras con un montón de procesos Apache2 lanzados y bastante sobrecarga en el demonio Mysql. A priori parece un ataque. Se necesita más visibilidad para saber que está pasando así que si no lo tienes ya mejor instalar el Módulo mod_status de Apache, el cual nos va a permitir ver, entre otras cosas, que URLs se están pidiendo. Pasos: Activar el módulo con sudo a2enmod … [Read more...] about Como proteger el WordPress de un ataque DDOS mediante xmlrpc.php
seguridad
Como analizar el log de mails buscando el origen del spam (parte III)
En el post anterior identificábamos cual era el dominio que está generando el spam. Vamos a contrastarlo con el log del servidor de mail. En Plesk, los logs, los podemos encontrar en /usr/local/psa/var/log/ En concreto este comando nos permitirá verlo en tiempo real. tail -f /usr/local/psa/var/log/maillog Aquí os dejo un bloque de ejemplo de una operación de envío completa: Oct 3 16:50:19 dv qmail: 1223077819.930048 new msg 163786382 Oct 3 16:50:19 dv qmail: 1223077819.930096 info msg 163786382: bytes 860 from <> qp 24106 uid 2522 Oct 3 16:50:19 dv qmail: 1223077819.937789 starting delivery 2: msg 163786382 to local 2-user@example.com Oct 3 16:50:19 dv qmail: 1223077819.937835 status: local 1/10 remote 0/20 Oct 3 16:50:19 dv qmail-local-handlers[24107]: Handlers Filter before-local for qmail started ... Oct 3 16:50:19 dv qmail-local-handlers[24107]: from= Oct 3 16:50:19 dv qmail-local-handlers[24107]: to=user@example.com Oct 3 16:50:20 dv qmail: … [Read more...] about Como analizar el log de mails buscando el origen del spam (parte III)
Análisis forense de una web hackeada (primera parte)
Recientemente he dado alojamiento web a un cliente nuevo que disponía de un portal realizado, por lo que he podido deducir, from scratch. Ya en su momento, después de realizar algunas modificaciones, observe que el acceso al backoffice se realizaba con una contraseña en claro que se encontraba en la base de datos. ¿A estas alturas aún hay contraseñas en claro?... Piensa uno. El caso, es que semanas después de la migración al nuevo servidor el portal fue vulnerado y aparecieron algunas modificaciones en sus contenidos donde el hacker en cuestión se hacía publicidad. Después de un vistazo rápido a los logs, compruebo que las modificaciones a los contenidos se realizaron limpiamente desde el backoffice, es decir, el hacker no accedió directamente a la base de datos, ni vulneró el Panel de control del servidor u otro servicio. Simplemente se colo utilizando el formulario de autenticación. No creo que el hacker llegara a deducir la contraseña, aunque esta estuviera … [Read more...] about Análisis forense de una web hackeada (primera parte)
Migrar un proyecto web entre servidores Plesk
Estamos migrando la casa. Comparto servidor con un colega. Teníamos un VPS que hasta no hace mucho cubría nuestras necesidades pero que poco a poco se ha ido quedando corto así que nos decidimos por un dedicado. Lo hemos configurado con una Ubuntu Server 10.04 LTS 64bit con un panel Plesk 10. Podíamos elegir entre Cpanel y Plesk y de hecho dudamos pero el anterior servidor tenía un Plesk 8, el cual no me resultaba incómodo, y además nos aseguraba la compatibilidad... y efectivamente ha sido una buena elección. El Plesk 10 modifica un poco la forma en que refleja los planes de alojamiento en el sistema de ficheros pero aún sigue la linea de su predecesor, lo cual tiene sus ventajas. Para probar el rendimiento del nuevo servidor he movido un subdominio, pongamos test.example.com, de una tienda virtual, en concreto un Prestashop, que utilizo para que el cliente valide los cambios de desarrollo antes de subirlos a producción. El dominio principal (example.com) sigue alojado … [Read more...] about Migrar un proyecto web entre servidores Plesk
Como regenerar las claves SSH
Para los que no lo sepáis, en el 2006 a alguien de Debian se le ocurrió eliminar una linea de código del OpenSSL para evitar los avisos incómodos que se producían al utilizar herramientas de depuración de código. El tema es que esa linea era la que se encargaba de asegurar la calidad de la siembra del generador pseudoaleatorio que utiliza varios criterios y paso a utilizar el identificador de proceso del sistema (PID) como único criterio, reduciendo el espacio de claves de 2^1024 a 2^15, exactamente 32768. El problema es que no vale solo con actualizar los paquetes, ya disponibles, pues aquellas claves/llaves generadas despues del 2006 han sufrido la vulnerabilidad y son previsibles. Tened en cuenta que uno de los principales usos de este paquete es la generación de las claves para los servidores SSH lo cual deja a muchas máquinas vulnerables. Como se comentaba en un blog... "os podéis imaginar la cantidad de servidores en el mundo del tipo 'instalar y olvidar'" ? Para ser … [Read more...] about Como regenerar las claves SSH