¿Has hecho backup hoy?

17 de Agosto de 2009 17 Comentarios

La historia que nunca me decidia a escribir pasó hace un par de días cuando me levante y tenía una mención de Matias que me informaba que mi blog personal estaba hackeado, no hice mas que entrar y ver un index muy choto.

Entré al ftp, elimine el index y empezé a bajar los logs de errores y de acceso, mientras tanto empezé con la rutina de entrar a ver las estadísticas, el index y un single, como hago todos los dias en todos los sitios para verificar que todo ande bien, el problema fué que nada andaba bien, porque todos los sitios que estan alojados en el servidor habían sido defaceados, volver todo a la normalidad no llevó mucho, fué solo borrar el index que este par de lamers habían subido y los sitios estaban funcionando normalmente, a exepción de uno que había sido borrada la base de datos.

Todo esto empezó a las 8am y recien pude dar con los logs de errores correctos a las 4pm, ya que media temple hace logs cada 1 hora y no podía dar con el log correcto, sumando a eso que yo tengo una conexión de mierda y los bajaba a 30kb como máximo, al final pude saber cómo, en dónde y de que manera entraron al servidor.

El ataque:

Total imprudencia mía, viene a raíz de una modificación de dns que yo había hecho el día anterior de un .com.ar, yo había subido los archivos al servidor y como estaba cansado pensé en subir la base de datos “después”, a nic.ar le atacó la locura y me lo delegó en 24 horas -o menos-, cuando generalmente tarda 2, 3 o más días en hacerlo.

Resulta que esta “persona” entro a un blog buscando en google -justo a ese que le había modificado los dns- y se encontró obviamente con el install de WordPress.
Instaló wp, subió una shell en php desde el dashboard, entró a la shell y de ahí por problemas de permisos fué escalando directorios y entrando a todos los dominios del servidor -24 en total- y logrando así cagarme el día.

El dominio que yo creía en principio que había sido borrada la base de datos no fué así, ya que no habia nada instalado, la restauración fué fácil, borrar lo que el lamer había hecho y subir la base de datos mía.

Recomendaciones y lo que dejó todo esto.

Obviamente hacer backups de todo, en caso que venga alguien y te borre todo no hay mas que volver a subirlo.
Después de instalar WordPress borrar el install.php, me ha pasado en este servidor que a veces por tráfico o lo que sea se satura mysql y como que no tiene conexión la base de datos y me muestra para instalar WordPress, uno nunca sabe con quien se va a encontrar.
Tener los permisos correctamente.
Luego de modificar las dns de un dominio, tambien subir la base de datos, o subir db y archivos o no subir nada.

Tambien he aprendido muchísimo de apache y demás cosas raras que no vienen al caso.

Sobre los atacantes:

El log de acceso y de errores es para hacer una película, estuvieron mas de 6 horas para subir unos index.
No borraron logs de acceso y de errores, algo que ningún principiante de kaker debe permitirse.
En el deface dicen GNU linux, Backtrack, Red hat, cualquiera podría imaginarse que la tienen clara, lamentablemente uno usa Windows xp con opera y el otro Ubuntu. (Windows que distro de linux será?).
Pude averiguar que uno fué -me da lastima dar su nombre-, residente de México, más concretamente en Veracruz, 23 años. el teléfono tampoco viene al caso, aunque me gaste unos pesos y lo llame para preguntarle si así era su nombre y demás, el tonto inocente -que pocas neuronas debe tener- me contestó todo que si.
Un par de fotos de este engendro:

kaker

kaker1

Terrible.

Para ir terminando.

Muchas veces pensamos “a mi no me va a pasar”, ya que tenemos blogs chicos, pero la verdad es que le puede pasar a cualquiera, solo hay que estar preparado.

Esta semana fué bastante activa hablando de hacking, ya que hackearon el sitio del gobierno de buenos aires en forma de protesta al impuestazo, también hackearon algunos sitios de Fabian, y finalmente hoy mientras desayunaba, hallecsyz pedía ayuda en Twitter, sin saber que le había pasado le pregunté y tambien lo habían hackeado.

¿Precisás algo más para decidirte a hacer backups?

Agradecimientos.

Mientras no podía determinar como habían ingresado al servidor porque no tenía los logs agregué a Julio al gtalk, que se conectó después que supe como habían defaceado el servidor pero que me dió varios consejos y tuvo buenísima predisposición, también agradecer a los que dieron apoyo en Twitter y a los que vía chat ayudaron,como por ejemplo Fabián, el Teto, Guille y mas que nada a Emiliano que cargó con todo cuando yo ya estaba por tirar la toalla .

Personal

Universico festeja su primer año de vida regalando una cámara digital

La importancia de la comodidad

17 Comentarios en “¿Has hecho backup hoy?”

Guillermo 17 de Agosto de 2009 a las 3:05 pm

Menos mal que está todo online nuevamente. Dicen que “no hay mal que por bien no venga, menos la muerte” y este caso en lo personal me ayudo a ser un poco más paranoico con la seguridad.

Saludos Neri
Joaquin 17 de Agosto de 2009 a las 4:55 pm

Poné el nombre de boludo, que se cague por gil.
Cristian 17 de Agosto de 2009 a las 5:11 pm

Huy gracias, pensándolo voy a tratar de hacer una copia… así no tengo que contar una historia como esta. Que cara de salames que tienen los dos kaker. Y encima medio tocándose en la fotito.
Patricio de Moreno 17 de Agosto de 2009 a las 6:29 pm

Qué cara de reverendo pelotudo tiene el chabón ese!

Saludos Neri!
Francisco 17 de Agosto de 2009 a las 11:04 pm

Que bueno pudiste restaurar todo relativamente rápido y es un buen recuerdo de que nos puede pasar a todos.

Lamers como ese no faltan y mejor estar prevenido.
jProgr 18 de Agosto de 2009 a las 1:22 am

Pero que tonto…. quien deja los logs…. kaker(me gusta tu termino =D) hasta la medula, peor aun: te dió su nombre y hay fotos de el >_>
La verdad me dan lastima este tipo de personas. Por suerte yo nunca he sufrido lo que tu, pero aun recuerdo que una vez hice un banner y a los pocos dias lo encontre en un blog de no se que kaker presumiendo que el lo habia hecho. Tan facil fue rastrearlo que verguenza me dió, era un Texano gay(este decia que era gay), pero en vez de ponerme a su altura y tomar venganza, simplemente le mandé un email diciendole que se deje de tonterias y se busque una vida.

El Frente Bloggers unidos contra kakers o BUCK(?) te apoya en tu dolencia.

XD si le pones una f suena como Facebook
Bruno 18 de Agosto de 2009 a las 9:03 pm

uy bolú!! me acabo de enterar!! es que este finde estuve en un tupper…

Estos kakers son una lacra lamentable, por un lado creo que está bien que des el nombre, porque estos giles creen que así se harán famosos, lamentable.

Me imagino la sensación que debés haber sentido… he tenido unos problemas menores con bases de datos y se te hace un nudo al estómago hasta que lo solucionás, que se le va hacé!!

Ya me pongo a backapear!! Che, de paso, me encantó este diseño para el blog, le pongo 5 quintines!!
julio 20 de Agosto de 2009 a las 3:45 pm

Advice for a Hacked Site

http://tinyurl.com/lzvg3q
JLC 25 de Agosto de 2009 a las 11:51 pm

Me gustaría saber como hiciste a partir de una IP (que estimo que es el único dato significativo que tenías del apache), para llegar a identificar al defacer.
Pregunto porque quizás te convenga aclarar éste punto, ya que alguien puede pensar que la info que ponés del atacante es cualquiera.
Gracias.
Saludos.
Martin 26 de Agosto de 2009 a las 5:04 am

uy que feo lo que te ocurrio, pero al menos pusiste en evidencia a los delincuentes y es algo en lo cual también tengo curiosidad al igual que JLC me interesa saber como es que se puede llegar a identificar a personas como estas a partir de un IP.
Neri 26 de Agosto de 2009 a las 12:08 pm

Jlc y Martin: no preciso que nadie me crea ni tengo que validar nada, el que no crea lo que escribo que no me lea, no necesito convencer de nada a nadie, saludos.
Martin 26 de Agosto de 2009 a las 3:07 pm

jeje Neri no se trata de creerte o no, por ahi no iba mi pregunta, de hecho yo he creido lo que has contado en tu post como también creo en los delincuentes que has puesto en evidencia, mi pregunta iba mas bien al como se hace para llegar a dar con la persona que te hacen este tipo de males a traves de su IP (que supongo al igual que JLC era el unico dato que manejabas) esa era mi pregunta, me interesa este tema porque yo recien estoy aprendiendo esto de servidores y con tu post aprendi muchas cosas, pero me quedo esa duda de como dar con unos ciber delincuentes descuidados como estos.

Saludos…

PD: Con que lees tus logs?
Neri 26 de Agosto de 2009 a las 3:11 pm

Como te dijo julio en su blog, “La opcion mas sencilla es por medio de la herramienta whois, existen otras posibilidades pero no da para explicarlo en un comentario”

y en cuanto a logs los leo con notepad ++, aunque estoy probando algún que otro programita que me facilite las cosas
David Ortega 26 de Agosto de 2009 a las 10:44 pm

Pues menos mal que al fin y al cabo todo salió bien y bueno sobre las fotos de ese lammer… mejor no comento por que es “de traca”.
Argento 30 de Agosto de 2009 a las 1:52 am

Lammer???? quien??? el que te hizo esto??? o tu por no tener la seguridad en tu blog, se mas umilde y admite tu derrota, que mal perdedor eres ademas si eres tan bueno como dices o como lo haces creer nunca habia pasado esto no crees??? lastima que personas como tu haya muchos aqui en la red
j0shu4 30 de Agosto de 2009 a las 11:29 pm

Hola !!

Bueno solo Dejo un pequeño Comentario en alución al siguiente Texto.
“(Windows que distro de linux será?)”
USo Windows Como servidor y te Digo Tiene Mejor soporte Que Linux.
y espor Eso que cada vez que sale una version De linux Se hacemeja mas a las funciones de windows

Bueno otro Tema Es Que hoy En Dia Defacear una Web Es Sumamente Facil (asta mi mi primito de 13ya defacea) las herramientas ya estan Hechas ni vuelta que darle a eso o simplemente ir a milw0rm y cojerse cuanto exploit ahiga ahi Sin desmerecer alos creadores de esos exploits.

Esa Fue mi Humilde Opinión.