sábado, 22 de junio de 2019

"Identificando" y viendo cómo de vulnerables son nuestros atacantes

Un sysadmin, entre otras muchas cosas, también tiene que comprobar logs y, mientras mira esos logs, tiene que tratar de identificar posibles accesos no autorizados. Cuando los detecta una vez, tiene que aplicar medidas para proteger los servidores y las infraestructuras, pues son los que contienen los datos, el activo más importante a proteger.



Lo ideal sería identificar a los atacantes, y aquí entro a matar a todas esas personas que utilizan la expresión "identificar al atacante". Es muy difícil, pues lo más seguro es que la mayoría de atacantes utilicen VPN o Proxy más la red Tor para esconder su dirección IP. Esto lo digo por esos mensajes de "Nos atacan desde China". No, la IP que ves en el log es de China, pero no es seguro que el atacante sea chino.


Esto fue un día que estaba analizando los logs de Fail2Ban y vi que detectó y bloqueó estas direcciones IP. Por mera curiosidad, busqué más información sobre cada dirección IP. Esto fue por curiosidad, ya que mi parte del trabajo, que es asegurarme que todo está corriendo y funciona correctamente, ya estaba hecho.


Lo que nos reporta este jscon que podemos obtener lanzando un curl, es que el ataque viene desde la República Checa, pero como he dicho eso no es seguro, no lo podemos afirmar.



Lo más interesante era que esa IP aparece en Shodan, lo que nos permite fantasear sobre lo que podría ocurrir si lográsemos tener acceso al sistema del atacante, es decir, hackear al que nos está intentando hackear. Pero sobre eso y otras cuestiones más lo analizaremos en otro artículo.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...