La historia que nunca me decidia a escribir pasó hace un par de días cuando me levante y tenía una mención de Matias que me informaba que mi blog personal estaba hackeado, no hice mas que entrar y ver un index muy choto.

Entré al ftp, elimine el index y empezé a bajar los logs de errores y de acceso, mientras tanto empezé con la rutina de entrar a ver las estadísticas, el index y un single, como hago todos los dias en todos los sitios para verificar que todo ande bien, el problema fué que nada andaba bien, porque todos los sitios que estan alojados en el servidor habían sido defaceados, volver todo a la normalidad no llevó mucho, fué solo borrar el index que este par de lamers habían subido y los sitios estaban funcionando normalmente, a exepción de uno que había sido borrada la base de datos.

Todo esto empezó a las 8am y recien pude dar con los logs de errores correctos a las 4pm, ya que media temple hace logs cada 1 hora y no podía dar con el log correcto, sumando a eso que yo tengo una conexión de mierda y los bajaba a 30kb como máximo, al final pude saber cómo, en dónde y de que manera entraron al servidor.

El ataque:

Total imprudencia mía, viene a raíz de una modificación de dns que yo había hecho el día anterior de un .com.ar, yo había subido los archivos al servidor y como estaba cansado pensé en subir la base de datos “después”, a nic.ar le atacó la locura y me lo delegó en 24 horas -o menos-, cuando generalmente tarda 2, 3 o más días en hacerlo.

Resulta que esta “persona” entro a un blog buscando en google -justo a ese que le había modificado los dns- y se encontró obviamente con el install de WordPress.
Instaló wp, subió una shell en php desde el dashboard, entró a la shell y de ahí por problemas de permisos fué escalando directorios y entrando a todos los dominios del servidor -24 en total- y logrando así cagarme el día.

El dominio que yo creía en principio que había sido borrada la base de datos no fué así, ya que no habia nada instalado, la restauración fué fácil, borrar lo que el lamer había hecho y subir la base de datos mía.

Recomendaciones y lo que dejó todo esto.

Obviamente hacer backups de todo, en caso que venga alguien y te borre todo no hay mas que volver a subirlo.
Después de instalar WordPress borrar el install.php, me ha pasado en este servidor que a veces por tráfico o lo que sea se satura mysql y como que no tiene conexión la base de datos y me muestra para instalar WordPress, uno nunca sabe con quien se va a encontrar.
Tener los permisos correctamente.
Luego de modificar las dns de un dominio, tambien subir la base de datos, o subir db y archivos o no subir nada.

Tambien he aprendido muchísimo de apache y demás cosas raras que no vienen al caso.

Sobre los atacantes:

El log de acceso y de errores es para hacer una película, estuvieron mas de 6 horas para subir unos index.
No borraron logs de acceso y de errores, algo que ningún principiante de kaker debe permitirse.
En el deface dicen GNU linux, Backtrack, Red hat, cualquiera podría imaginarse que la tienen clara, lamentablemente uno usa Windows xp con opera y el otro Ubuntu. (Windows que distro de linux será?).
Pude averiguar que uno fué -me da lastima dar su nombre-, residente de México, más concretamente en Veracruz, 23 años. el teléfono tampoco viene al caso, aunque me gaste unos pesos y lo llame para preguntarle si así era su nombre y demás, el tonto inocente -que pocas neuronas debe tener- me contestó todo que si.
Un par de fotos de este engendro:

Terrible.

Para ir terminando.

Muchas veces pensamos “a mi no me va a pasar”, ya que tenemos blogs chicos, pero la verdad es que le puede pasar a cualquiera, solo hay que estar preparado.

Esta semana fué bastante activa hablando de hacking, ya que hackearon el sitio del gobierno de buenos aires en forma de protesta al impuestazo, también hackearon algunos sitios de Fabian, y finalmente hoy mientras desayunaba, hallecsyz pedía ayuda en Twitter, sin saber que le había pasado le pregunté y tambien lo habían hackeado.

¿Precisás algo más para decidirte a hacer backups?

Agradecimientos.

Mientras no podía determinar como habían ingresado al servidor porque no tenía los logs agregué a Julio al gtalk, que se conectó después que supe como habían defaceado el servidor pero que me dió varios consejos y tuvo buenísima predisposición, también agradecer a los que dieron apoyo en Twitter y a los que vía chat ayudaron,como por ejemplo Fabián, el Teto, Guille y mas que nada a Emiliano que cargó con todo cuando yo ya estaba por tirar la toalla .

Generalmente los lunes son aburridos, la gente anda con mala onda, aunque el tráfico -hablando de visitas- aumenta considerablemente si tenemos en cuenta el día anterior. Después de eso, no hay muchas más cosas diferentes que caractericen un lunes.

Este lunes no es un lunes cualquiera, al menos para mí.

Hoy volvió Victor Esparza con su blog en serio después de 3 meses, y, ensima, como si eso fuera poco, me entero que kabytes suma 3 joyitas al equipo, se trata de nada mas ni nada menos que de Nahuel, Guille y Alejandro. De lo mejor que pueden haber fichado Pablito y Tamara. Sin dudas lo unico que le faltaba a Kabytes para terminar de afirmar que es el mejor blog de Argentina.

Me ha agarrado una alegría enorme el leer esos dos artículos, y para terminar con este excelente lunes, he leido después de varios meses un comentario de Mariano, que también hacía mucho rato que no leía y no sabía que era de su vida.

Demasiado por ser lunes…