miércoles, 3 de abril de 2019

Por muy común que sea recibir ataques de fuerza bruta, hay que tratarlo

Hay veces que, ante determinadas situaciones que se dan en un servidor y al ver la forma de actuar de algunas personas, yo me replanteo si estamos todos pensando en el bienestar del servidor. Lo digo porque hace poco en la oficina se vivió una situación en la que detecté que estábamos siendo atacados mediante fuerza bruta a un servidor en el que teníamos una plataforma de pago. Hubo una reacción que aún a día de hoy me sorprende.



Serían como las 9:30 de la mañana y yo llevaba unas 2 horas ya trabajando y me puse a analizar logs de algunos servidores que tenemos. De repente me encuentro que hay muchos intentos de loguear con el usuario root a un servidor en el que tenemos una plataforma de pago.


Desde las 06:25 de la mañana más o menos ya estábamos recibiendo ese ataque de fuerza bruta, es decir, me di cuenta a las 3 horas, algo que es bastante pronto. Me puse a investigar un poco y vi que los ataques venían desde una IP de China.


Esto no significa que nos estuviese atacando China, no. Una opción es esa, pero otra es que el atacante estviese utilizando una VPN o un proxy para realizar el ataque.

Al ver esto, lo que haría cualquier persona sensata sería banear esta IP y establecer un mecanismo para establecer bloqueos a los equipos y sistemas que traten de realizar un determinado número de conexiones a nuestros servidores con la intención de exponerlos mediante fuerza bruta.


Simplemente tuve que utilizar Fail2Ban como ya he comentado en el blog alguna vez y esperar a que se banease al atacante.

Al llegar a casa quise analizar la máquina del atacante, por lo que lancé un Nmap a ver qué encontraba y me sorprendió bastante.


Pero en esto ya me detendré otro día, en lo que me quiero parar es que al aplicar este procedimiento que es (o debe ser) básico, avisé a los demás compañeros y uno me dijo que "Lo de China es normal, recibimos ataques a diario, por eso tenemos contraseñas robustas".

Cierto, la contraseña es robuts,a pero todo lo demás es una soberana memez. Por muy robusta que sea siempre se podría llegar a sacar con el tiempo suficiente y si no se dispone de una política de cambio de contraseñas. Pero ya no es eso, lo peor es que admitió que es algo normal y no tenían ninguna política que banease a los equipos que tratasen de hacer fuerza bruta. Y esto es grave.

Así que por muy normal que sea que recibáis ataques, aplicad políticas como estas y no dejéis todas vuestras esperanzas a una contraseña supuestamente robusta, eso denota poca cultura.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...