1. ¡OFERTA! con cupón "DIRVPS": hosting por $0,01 y también VPS Linux y Windows por $0,01 el primer mes por Interserver ← publi
    Descartar aviso
Descartar aviso
Al usar este sitio web, aceptas que nosotros y nuestros socios podamos establecer cookies para fines tales como personalizar el contenido y la publicidad. Más información.

Grave problema de seguridad

Tema en 'Servidores Dedicados' iniciado por silviachovar, 16 Mar 2014.

  1. silviachovar

    silviachovar Nuevo usuario

    Buenas noches
    Tenemos un gran servidor administrado 100% en teoría con todo controlado, backups, actualizaciones, seguridad.. Este fin de semana hemos sufrido un ataque masivo a wordpress y algún joomla, todos ellos con software sin actualizar, en teoría es problema del cliente, pero nosotros les restauramos la web gratuitamente y les decimos que deben actualizar y tal.
    Bien, el problema grave viene porque una de las cuentas hackeadas habían subido un script que estaba recopilando información, password de bbdd y demás de todas las demás cuentas.. esto no es un problema grave de seguridad? usamos cpanel/whm, seguro que esto se podría haber limitado de alguna forma, no?
    Buffs.. menudo agujero de seguridad.. esto es responsabilidad suya 100%, el caso es que el que estaba de guardia 24h dice que la culpa es del wordpress sin actualizar..
    Alguien sabe como solucionarlo para que no vuelva a suceder? Alguna propuesta de servidor dedicado 100% administrado cpanel/whm por aquí cerca en Barcelona.. me temo que después de esta voy a cambiar de proveedor..
    Gracias.
     
  2.  
  3. copernico.es

    copernico.es Usuario activo

    Hola Silviachovar,

    Te lo planteo con unas cuestiones que seguro que te harán entender. ¿Qué tiene que ver una aplicación de terceros con la administración del servidor? En teoría es el cliente quien debe encargarse de su contenido web, sus aplicaciones y la seguridad de estas. No es responsabilidad del administrador de sistemas encargarse de esas tareas sino del propietario o webmaster de ese sitio con wordpress. Los ataques a Joomla y Wordpress son bastante comunes como los de fuerza bruta, la mayoría se pueden evitar con una correcta configuración del aplicativo - sitio en cuestión. No creo que tu proveedor tenga la culpa de eso, habría sin embargo que conocer la opinión de tu hoster.

    Atentamente,
     
    A nonamef191118 le gusta esto.
  4. silviachovar

    silviachovar Nuevo usuario

    En efecto los ataques a Joomla y Wordpress no son responsabilidad del administrador del servidor, a mi lo que me preocupa es que se han ejecutado scripts que sacaban información de otras cuentas, creo que ahí hay un problema.. no?
     
  5. egrueda

    egrueda Usuario activo

    Definitivamente, ese servidor ha sido comprometido y se puede considerar que toda la información almacenada en él ha sido expuesta (emails, contraseñas, cuentas FTP, etc).
    Además, es posible que quede "algo" de infección en el servidor, aún sin identificar, lo que hace suponer que es un peligro latente.

    Para que no vuelva a suceder, deberás partir de un servidor 100% fiable (no infectado o hackeado). Y en este nuevo servidor deberías implementar las medidas de seguridad necesarias para que no se puedan ejecutar ataques de este tipo, de forma que aunque existan aplicaciones vulnerables, no se puedan hackear, al menos de forma tan sencilla.

    Para ello necesitarás un "web application firewall" como puede ser modSecurity. Y como recomendación personal, prueba también con el ConfigServer eXploit Scanner (http://configserver.com/cp/cxs.html)
     
  6. Hola,

    Esto es lo que pasa por no actualizar y securizar los CMS que con google hacking te lanzan un 0day automatizado y te zumban el sitio. Por mucha seguridad que tengas en tu servidor si no securizas los CMS adecuadamente y no los actualizas es culpa tuya y no del proveedor.

    Salu2,
     
  7. copernico.es

    copernico.es Usuario activo

    Me parece un poco exagerado decir que un servidor está comprometido sin tener más información del caso y sin tener datos de la configuración del mismo, sin embargo y por el contrario si que se ha hecho mención del nulo mantenimiento de los aplicativos por parte de ese usuario. Lo cierto es que un Joomla o un Wordpress sin actualizar y sin estar correctamente configurado es una bomba de relojería, como cualquier aplicación. ;)

    Atentamente,
     
  8. egrueda

    egrueda Usuario activo

    No es exagerado en absoluto, es la denominación común en estos casos.
    Si un tercero ha tenido acceso al servidor y a todos sus datos y además ha podido ejecutar código arbitrario, definitivamente tanto el servidor como su información han sido comprometidos, y aun no sabemos si ha habido elevación de permisos.

    ¿Te atreverías tú a asegurar que en este caso los daños son conocidos y están asegurados? ¿o que no han accedido a contraseñas de correo, bases de datos y hasta FTP que estén en las aplicaciones o en las bases de datos? Pues eso es lo que significa.
     
    A justice13 le gusta esto.
  9. copernico.es

    copernico.es Usuario activo

    Es exagerado en cuanto que Silviachovar no ha indicado en ningún momento que hayan tenido acceso a su máquina como root, sería importante que pudiera aclarar ese punto para saber de lo que estamos hablando. Solo ha indicado que han hackeado su wordpress y que han accedido a su contenido web puntual. Al menos esa es la lectura que yo saco de todo esto y a mi me da que es el password lo que han comprometido; por mi experiencia en la mayoría de los casos el usuario no guarda el password en lugar seguro o incluso lo expone fuera de toda lógica, no sigue un standard de seguridad mínimo y tampoco lo cambia habitualmente, no actualiza sus aplicativos o instala plugin vulnerables. Creo que por ahí van los tiros.

    Que lo aclare y si me equivoco entonces yo mismo pasaré a otro plano o teoría de conspiración ;)

    Atentamente,
     
    A AMateos y nonamef191118 les gusta esto.
  10. silviachovar

    silviachovar Nuevo usuario

    Buenas.. no, no han accedido a la máquina como root.. De hecho yo no puedo acceder como root, sólo como reseller.. Es un tema de que han subido un script a una web con un wordpress sin actualizar, y dicho script ha recopilado información de otras cuentas que ha servido para hackear a más wordpress i algún Joomla..
    Ahora me comentan que ModSecurity tiene ventajas y inconvenientes, al tener diversidad de aplicaciones distintas podría tener muchos falsos positivos.. como lo veis? Cual es vuestra experiencia con ModSecurity??
    Gracias.
     
  11. egrueda

    egrueda Usuario activo

    No me refiero a que accedan a través de SSH con el usuario root, sino a que suban un script que permita hacer una elevación de permisos y ejecute comandos bajo el usuario root.
    Respecto a modsec, es una herramienta que hay que instalar, configurar y afinar. Existen interfaces muy buenos para detectar problemas y corregirlos en cada dominio de forma fácil y rápida. Por su relación calidad/precio, es el WAF más recomendable, es casi una obligación tenerlo instalado.
     
  12. Si el servidor es administrado y tiene correctamente asegurado el directorio /tmp /dev/shm y las disable functions de php que suban un php shell para elevar privilegios de nada sirve o al menos que yo sepa.

    Salu2,
     


Alojamiento web, Hosting Reseller, Servidores Dedicados - All in Hosting


    
    
    
    
Blog · Sitios amigos: GuiaHosting · Unidominios · Interalta ·