Jul
14

Este blog lleva online poco más de tres años. En este tiempo tanto el blog, como su autor, aquí presente, han pasado por varias etapas de dedicación y abandono a lo largo de estos años.

Como todo en un principio, se toma con ganas de dedicarle unas cuantas horas, pero estas ganas se van desvaneciendo hasta que se llega a un equilibrio entre ganas y dejadez; pero no nos entretengamos más en tonterías.

Por motivos de estudios y trabajo, dejé de escribir en el blog de forma regular; podría decirse que lo abandoné al 75%, porque he seguido entrando todos los días para aprobar y responder comentarios, hacer copias de seguridad y mantener al día el software sobre el que corre. Aun así, y pese a este periodo abandono de más de un año, las visitas sólo decrecieron en un par de años de 500 diarias a 300 diarias y siendo constantemente enlazado desde otros medios.

Pero la dejadez no perdona, y parece que la gente se da cuenta. Esto hizo que el blog fuese atacado y crackeado debido a una mala configuración en los permisos de una carpeta (hoy en día sigue siendo el punto de mira de una serie de ataques por fuerza bruta). Esta pequeña incursión no autorizada es la que quiero comentaros hoy en este artículo.

La carpeta imágenes tenía los permisos 777 (aun no sé si este fue el descuido o la tardía actualización del software de este CMS), es decir, todo el mundo podía leer, escribir y ejecutar; primer gran error. Aun así, no tenía consciencia de esta debilidad hasta que me llegó una carta de una agencia de protección de datos diciendo que estaba infringiendo las leyes de Copy Right al alojar unos artículos de una universidad. Rápidamente borré estos ficheros (que se encontraban dentro de una carpeta wpbuzz) que yo no había subido y le cambié los permisos a las carpetas que estaban mal configuradas. Hasta aquí todo bien, no parecía más que un susto; pero aun así, subí de nuevo los ficheros del blog, cambié todas las contraseñas,… en fin,… todas esas cosas que se suelen recomendar cuando has sufrido un ataque de este estilo.

La gran sorpresa vino cuando dos días después vuelvo a recibir una carta en la que me notifican que vuelvo a tener estos archivos alojados. “Jo***” es lo primero que pienso. Me dedico a analizar meticulosamente los logs de acceso al servidor por todas las vias posibles: no había nada raro. ¿Qué podía estar pasando?

Tras un rato de darle vueltas al tema, llego a la conclusión que tiene que haber algo raro, algo que iba más allá de los ficheros que borré. Media hora después, empiezo a ver cosas raras en el sistema de ficheros. ¿qué hacían ficheros .tar en la carpeta de imágenes?, ¿funciones eval con códigos en hexa dentro de los fuentes de wordpress? Efectivamente, sospecha confirmada, esos archivos comprimidos tenían todos los archivos que violaban la propiedad intelectual y por los que me habían dado un toque. ¡Ficheros fuera!

Si estos ficheros se han descomprimido varias veces, es porque hay código que se ejecuta y que no pertenece al código original de WordPress. Tras investigar un rato encontré un código de php con mala pinta; tras borrar este archivo y unas cuantas imágenes que en teoría estaban corruptas y me dirigí al Fórum Impulsa 2012 con un portátil bajo el brazo por si acaso había que ponerse a trabajar para arreglar el problema.

Dos días después, vuelve a aparecer la maldita carpeta wpbuzz.

Sigo con la investigación por tierra mar y aire; esta vez toca analizar plugins y base de datos. En los plugins parece no haber nada raro, las carpetas tenían los permisos correctos y no había ningún archivo con código que fuese claramente sospechoso. En cuanto a la base de datos, se me volvió inabarcable el hecho de analizarla detenidamente, ya que con el trabajo no he podido dedicarle el tiempo que ello requería; estaba en un camino sin salida.

Tras darle unas cuantas vueltas decidí hacer lo que hago con el ordenador como mínimo una vez al año como tarea básica de mantenimiento: reinstalarlo todo de cero. Pero esto suponía otro problema, y es que si la backdoor estaba en la base de datos, el problema no se solucionaría y habría perdido una serie de horas que no podía permitirme el lujo de perder.

Finalmente, y tras unas horas de darle vueltas a la cabeza y probar varios programas de backup, decidí probar el que trae preinstalado WordPress y que nos permite exportar nuestro contenido en un XML con la finalidad de poder mover los artículos entre plataformas; estos datos, al fin, parecían estar limpios.

En conclusión:

  • Hay que vigilar los permisos de las carpetas de nuestro servidor y configurarlas correctamente.
  • Hay que mantener el software actualizado siempre.
  • La solución estaba frente a mis narices y no me di cuenta por no ir primero a lo simple
Categoría General, Seguridad | Sé el primero en comentar!
Apr
13

El zip bomba o zip de la muerte es un fichero *.zip de pequeño tamaño que al descomprimirse genera ficheros que, almacenados en disco, pueden llegar a ocupar una salvajada de espacio en disco. La finalidad de este tipo de ficheros es dejar inutilizado, bloquear un equipo durante un periodo de tiempo o mantener entretenido a programas antivirus.

Un ejemplo de este tipo de ficheros es el llamado 42.zip, el cual es un fichero de 42.374 bytes que almacena en suinterior otros 16 ficheros zip que contienen el mismo número de ficheros. Si repetimos este proceso 6 veces, obtendremos como resultado esta maravillosa arma de destrucción de ordenadores (entiendase la ironía). Finalmente, cada fichero final contiene un fichero de 4,3 GB, es decir, que si hacemos unos pequeños cálculos…

  • 16 x 4294967295 = 68.719.476.720 (68GB)
  • 16 x 68719476720 = 1.099.511.627.520 (1TB)
  • 16 x 1099511627520 = 17.592.186.040.320 (17TB)
  • 16 x 17592186040320 = 281.474.976.645.120 (281TB)
  • 16 x 281474976645120 = 4.503.599.626.321.920 (4,5PB)
  • Para crear uno de estos ficheros no tenemos que crear complejos algoritmos ni nada por el estilo, sino que nos bastará con crear un fichero de texto y llenarlo con valores null hasta que lleguemos al tamaño de fichero deseado, una vez comprimido el fichero se comprimirá con un ratio muy grande, de manera que somos capaces de meter tanta información en un espacio tan pequeño como 42kB.

    Pero, ¿cómo funciona?, los servidores que se encargan de controlar que a una determinada red no entran ficheros malintencionados se ven obligados a descomprimir determinados ficheros comprimidos no cifrados de forma automática, de tal manera que si tiene que descomprimir un fichero que, una vez descomprimido llega a ocupar 4,5 PB deja el servidor completamente inutilizado, no sólo por el espacio en disco que ocupa el fichero descomprimido, sino que también puede quedar colapsado por el número de ciclos de CPU utilizados.

    Categoría Curiosidades, Informática, Seguridad | Sé el primero en comentar!
    Nov
    23

    < calentamiento global >

    Este título tan largo es el mejor que se me ha ocurrido para plasmar en unas pocas palabras lo que ha pasado hace bastante poco, y es que un hacker ha obtenido acceso a múltiples ficheros almacenados en la Universidad de East Anglia y que han sido publicados en Internet, en un servidor ruso anónimo.

    Se ha accedido más de 1.000 archivos escritos entre 1991 y 2009 en los que se relatan, entre otras cosas manipulaciones de datos supuestamente hechos por algunos de los grandes “gurús” del cambio climático.

    Los datos del servidor ruso se encontraban enlazados por un blog que los enlazaba, sendo blog ha desaparecido, pero como todos sabemos una vez que algo se publica en Internet, la información se expande como la pólvora, y es muy difí­cil por no decir imposible eliminarla por completo.

    Este robo se ha producido pocos días antes de que tenga lugar la congregación del cambio climático de Naciones Unidas,  lo cual no yo ni mucha gente cree que sea casualidad.

    fuente: nature

    Categoría Curiosidades, Naturaleza, Seguridad | 1 Comentario »