Categorias Casos de éxitoDesarrollo webDominiosEstado del servicioHonestingHostingMarketingPáginas web wordpressPlanes de HostingPodcastVídeo guías

Blog

Wordfence publica datos sobre los ataques masivos de las últimas tres semanas

 

Wordfence acaba de publicar un completo informe sobre el enorme aumento de ataques de fuerza bruta que se están realizando en las últimas tres semanas en todo Internet. Es algo que hemos estado sufriendo debido a la sobrecarga que se genera en toda nuestra red y servidores.

Por nuestra experiencia, podemos confirmar todo lo que ahí se detalla. Ahora mismo, mantenemos bloqueados por completo varios paises: Ucrania, China, Indonesia y en algunos servidores, Marruecos.

Si por ejemplo, desbloqueamos Ucrania en un servidor, automáticamente aumenta la carga en más de un 60%.

Es uno de los ataques más grandes y organizamos que hemos visto en los 14 años de existencia de Honesting y estamos contentos de haber podido resistir, aprender y mejorar. Internet sigue siendo un sistema vulnerable y que necesita evolucionar. Queremos contribuir a ello y por eso vamos a empezar a ofrecer certificados SSL gratuitos para los planes PRO y Empresa.

Aquí el informe completo de Wordfence.

Mantenimiento de mejora programado

Para mejorar la calidad de la red, realizaremos tareas de mantenimiento el próximo miércoles 14 a las 6h de la mañana. Esperamos la pérdida de algunos paquetes (conexiones) durante un periodo de 5 minutos.

Viernes de bloqueos

El viernes es el día elegido tradicionalmente por los hackers para realizar los intentos de hackeo. Disponen de todo el fin de semana para hacer pruebas y normalmente hay menos personal en las empresas para estar pendiente de avisos o alertas.

Hoy viernes, hemos detectado un alto número de IPs que trataban de conectar a páginas de administración de WordPress, en concreto al fichero /wp-config.php

Aquí publicamos el TOP 3 de IPs atacantes:

  • 3.909 intentos desde 91.200.12.86 (Ucrania).
  • 1.266 intentos desde 199.15.233.162 (Estados Unidos).
  • 719 intentos desde 195.154.250.216 (Francia).

En Honesting, seguimos trabajando para mantener tu página web y email en marcha.

Así se hackea wordpress con indoxploit

El aumento en los últimos meses de hackeos a páginas web hechas en wordpress y joomla nos ha hecho dedicarle más tiempo del que nos gustaría a investigar cómo lo hacen, con el fin de prevenir nuevos ataques.

Como empresa de hosting, hacemos todo lo posible para mantener los servidores seguros y utilizamos las aplicaciones líderes del mercado, tales como cPanel, Kernelcare o CloudLinux.

Gracias a esto, podemos asegurar que no se ha comprometido ningún servidor.

Pero aún así, las molestias están ahí. Casi todo el mundo utiliza wordpress para algún proyecto. Según las últimas estadísticas, el 26% de la web mundial funciona con este gestor de contenidos.

Primero lo más importante:

¿Cómo protegerse frente a indoxploit?

En los test que estamos realizando, hemos podido verificar que mover el fichero wp-config.php un nivel superior a la carpeta principal, evita que se pueda acceder al mismo.

  • Entra en tu cPanel > Administrador de archivos > y selecciona el fichero wp-config.php que se encuentra dentro de la carpeta /public-html
  • En el menú superior, click en Mover y cambia la carpeta /public_html por sólo /

La línea con la que se accede al fichero dentro de indoxploit es:

$baca = file_get_contents(«/home/$user/public_html/wp-config.php»);

Ésta solución parece algo sólo temporal ya que fácilmente podrían realizar la búsqueda en la carpeta inicial. Desde Honesting, hemos notificado este fallo a los programadores de WordPress para que puedan revisar y publicar una solución lo antes posible. Según nuestras pruebas, no hemos podido asociar su efectividad con algún plugin o tema gráfico en concreto.

Verificacion de datos de dominios

Desde enero de 2014 el organismo encargado de la administración y gestión de los dominios a nivel internacional (ICANN) introdujo un sistema de seguridad y verificación de los datos de registro de dominios.

  • Afecta a todos los dominios salvo los territoriales (.es .cat .fr, .co.uk etc).
  • Para los dominios genéricos tipo .com .net. org lo es desde 2014 y probablemte también lo será en las nuevas extensiones de dominio tipo .abogado, .marketing etc.

Este mail se envía al registrante o titular del dominio solicitando la verificación del email pinchando un link que se adjunta.

El asunto del email es: IMMEDIATE VERIFICATION required for (nombre de dominio) o similar. Llega en varios idiomas.

Se envía a nuevos contactos asignados o a un contacto que se modifique y no haya sido ya verificado. Por lo que en la práctica puede enviarse cuando se registre, renueve, transfiera, se haga algún cambio de datos o simplemente si no ha sido antes verificado el email de contacto. Es necesario e imprescindible verificar pinchando en el link.

Si el enlace anterior no funciona, copia y pega la siguiente dirección en tu navegador para completar el proceso de verificación.

La ICANN da 15 días de plazo desde que envía el email para aceptar la verificación, de lo contrario el dominio se desactiva por lo que dejan de funcionar todos los servicios relacionados (email, web, acceso ftp). De todas formas si hay dudas puedes reenviarnos el email, así comprobamos y aceptamos si es necesario.

En el caso de que ya esté desactivado debido a la no verificación, es necesario que te pongas en contacto con nosotros y así solicitamos que lo vuelvan a enviar.

Desde nuestro punto de vista, esta medida es muy engorrosa y problemática, el email puede confundirse fácilmente con spam, complica el día a día de las personas y no todos están pendientes del email con tanta regularidad.

A nivel global creemos que no mejora la seguridad ni evita el spam o los timos.

Activamos CageFS

Tras unos meses de pruebas y comprobado que mejora la seguridad, hemos pasado a activar CageFS en todos los servidores. Es una extensión de CloudLinux que crea un sistema de archivos virtual manteniendo a cada usuario en su propio entorno.

  • Crea copias de ficheros binarios seguros.
  • Evita la detección de usuarios.
  • Protege el acceso a los ficheros de configuración de Apache.
  • Limita el listado de procesos en marcha.

No es necesario que hagas ningún cambio en la configuración de tu web para disfrutar de estas ventajas, está incluido de serie en todos nuestros planes de hosting.

Modificamos penalización por envío de spam

Con el fin de mejorar el servicio, hemos decidido dejar de aplicar la penalización por envío de spam con el primer envío. De esta forma el perjudicado tendrá tiempo para revisar y solucionar el caso sin incurrir en gastos adicionales.

Si se realiza un segundo envío de spam en los siguientes 6 meses, seguiremos aplicando la penalización de 25€ + IVA.

Hemos actualizado las condiciones de uso para que reflejen este cambio.

 

Explicación detallada

Cuando una cuenta envía spam lo hace desde la dirección IP que se comparte con otros usuarios. Ésto puede provocar bloqueos en proveedores gratuitos tipo @outlook @hotmail @gmail y otros servidores, haciendo que el email no llegue a su destino.

Cuando empezamos a ofrecer servicios de hosting (año 2002) no aplicábamos ninguna penalización y dábamos tantas oportunidades para solucionar el problema como fuera necesario. Lo que era bueno para el propietario de la cuenta atacada, era malo para el resto de usuarios pues podían encontrar que sus emails no se entregaban. Además, incurriamos en incontables horas de trabajo buscando las listas donde se nos había bloqueado el acceso y solicitando la revisión del caso. También teníamos que provisionar direcciones IPs adicionales en todos los servidores para ir moviendo los usuarios con problemas.

Entre todas las soluciones que hemos probado para luchar contra el (maldito) spam, cobrar una penalización ha sido sin duda la más efectiva. Conseguíamos que el propietario de la cuenta viera la importancia de mantener su espacio limpio y tomara medidas para evitar que volviera a pasar.

Sin embargo, también creaba desconfianzas y malos entendidos con:

  • Las webs que se hicieron hace años y no tienen ningún mantenimiento en su código.
  • Los equipos que están llenos de virus y conectan con el servidor.
  • Las webs que se hackean para recopilar datos bancarios, de ebay, paypal, etc.

Puedes tener tu web actualizada, los equipos protegidos con antivirus, copias de seguridad y todas las demás recomendaciones y aún así, tu cuenta puede ser comprometida ¿cómo?

  • Puede que un plugin que utilizas y esté actualizado, haya dejado de tener desarrollo con lo que se encuentra vulnerable.
  • Fallos en el código no conocidos o reportados.
  • Accesos de ex-trabajadores descontentos.

Esperamos que esta nueva medida sea de tu agrado y ayude a mantener los servidores e Internet limpios de basura.

Problema en discos del 7.honesting.com

Domingo 1:30h

El sistema de discos virtualizado de este servidor está fallando. Estamos tratando de solucionarlo y mientras iniciamos la puesta en marcha de un segundo servidor de respaldo.

5:56h

Dado que sigue sin responder, hemos empezado la restauración en un nuevo servidor con las copias de seguridad del 6/11 y actualizado las DNS para que tomen el nuevo valor cuanto antes.

13:04h

Hemos conseguido restablecer el servicio en el sistema de discos. Cambiamos las DNS de nuevo. Tan pronto como se propague el cambio, volverás a poder conectar con normalidad. Cada proveedor de acceso a Internet actualiza las DNS cuando lo cree conveniente, siendo lo normal un par de horas, llegando en algunos casos hasta 24h.

Damos por terminada la intervención.

Estadísticas de bloqueos en las últimas 24h

Hoy queremos publicar una imagen de las estadísticas de bloqueos del cortafuegos en las últimas 24h.

Lo primero que podemos ver, es que la mayoría de bloqueos provienen de Rusia, algo habitual últimamente. El segundo país es España, donde está la mayoría de usuarios del servicio. Muchos de estos bloqueos se están produciendo a consecuencia de las restricciones que hemos aplicado para fallos o conexiones simultáneas.

Por ejemplo, antes de un ataque, permitimos hasta 200 conexiones desde la misma IP. Durante un ataque, lo solemos reducir a 100 o 50 para que las IPs atacantes se bloqueen antes.

En el tercer puesto, China ¡no podía faltar en esta lista! tradicionalmente ha sido el país que más ataques de todo tipo realiza pero parece que Rusia está viendo un filón en hackear webs, enviar spam y molestar a empresas americanas con operaciones de pishing y robo de datos.

Ukrania, Francia y Estados Unidos siguen en ese orden. En Francia destaca principalmente que la mayoría de ataques vienen de 1-2 proveedores, conocidos por tener unos precios ridículamente bajos y acaparan la mayor parte de tráfico basura del país.

En total, el cortafuegos ha bloqueado 5.196 IPs sólo en las últimas 24h. Un dato para reflexionar y hacernos dedicar todos nuestros esfuerzos en la mejora constante de los sistemas de seguridad.

Nueva información sobre ataques a WordPress y Joomla

Como venimos anunciando desde el pasado 17 de octubre, todos nuestros servidores están siendo escaneados constantemente desde diferentes direcciones IP atacantes en busca de instalaciones vulnerables.

En un primer momento pudimos reducir la carga extra que estos ataques suponen bloqueando aquellos países que originaban la mayor parte del tráfico como Rusia o Ukrania. Con el paso de los días, fueron modificando sus operaciones para realizar ataques desde Estados Unidos, Francia e incluso España.

En este momento (11:54h del 5/11/2016) el servidor 7.honesting.com es el que sigue recibiendo el mayor número de intentos de hackeo bloqueando alrededor de mil IPs diarias.

Hasta ahora, veníamos recomendando restaurar con una copia de seguridad limpia o realizar una instalación nueva, siguiendo a continuación los pasos habituales para proteger un gestor de contenidos. Sin embargo, un usuario nos acaba de enviar un listado de cuentas comprometidas que se encontraba dentro de su espacio comprometido, que incluye los usuarios/contraseñas de acceso a las base de datos de otros wordpress/joomlas.

Por lo que sin cambiar ese dato, se sigue estando vulnerable a ataques.

 

¿Cómo corregir esto?

  1. Entra en tu cPanel desde la zona de usuarios de Honesting o bien con la dirección de tu dominio/cpanel
  2. En la sección de Bases de datos, al final del todo, tienes un listado con los usuarios creados. Cambia la contraseña para el usuario que estés utilizando en tu web.
  3. Busca y modifica el fichero de configuración de tu gestor de contenidos con los nuevos valores.

 

Si tienes algún tipo de mantenimiento contratado con la persona que te hizo la web, puedes contactarte para que haga estos cambios por ti. Si necesitas ayuda adicional, también puedes escribirnos y te iremos guiando paso a paso.

 

Otras aclaraciones

  • No se ha hackeado ningún servidor.
  • El servicio se mantiene activo en todo momento con alguna sobrecarga durante la mañana de hoy.
  • Si tu web está siendo escaneada en busca de fallos, es normal que el uso de memoria y procesadores sea alto o llegue incluso al límite. En ese caso, te recomendamos que busques medidas adicionales para proteger tu instalación como limitar el acceso a algunos paises o instalar un cortafuegos o limitador de intentos de acceso.
  • Hemos notificado a los propietarios de las IPs atacantes para que tomen medidas y entre todos, consigamos tener un Internet con menos basura.