Nota del autor

Si la entrada que estás leyendo carece de imágenes, no se ve el vídeo que teóricamente lleva incrustado o el código fuente mostrado aparece sin formato, podéis conocer los motivos aquí. Poco a poco iré restableciendo la normalidad en el blog.
Este blog es un archivo de los artículos situados previamente en Lobosoft.es y ha dejado de ser actualizado. Las nuevas entradas pueden encontrarse en www.lobosoft.es. Un saludo,
Lobosoft.

sábado, 9 de agosto de 2008

¿Vacaciones?


Ayer, viernes, me disponía a escribir una entrada por la noche para avisar de los posibles estragos que puede hacer el periodo vacacional en el blog. Ya sea por defecto (porque ande en otras mil cosas y no escriba demasiado estos días) o por exceso (porque me dedique a escribir compulsivamente por aquí), las dos semanas de vacaciones que tengo por delante podrían dejar su huella en el blog. Sin embargo, como estáis comprobando, no llegué a escribirla. ¿Por qué?


Porque me están tocando la moral soberanamente. Cuando me autentiqué en el blog para escribir la entrada que os comentaba, accedí al panel de estadísticas para ver qué andaba buscando la gente un viernes de agosto por la tarde. Y me encontré con que la crisis que estamos viviendo en los últimos tiempos se vuelve más y más acuciante. Tanto como para buscar créditos bancarios en un blog de informática:



Otra vez no, j@d&r.


Pues sí, va a ser que sí. El fichero footer.php modificado. Esta vez, siguiendo la pista, es una IP que viene del país de las libertades, los grandiosos Estados Unidos de América. Entre los americanos y los rusos, me tienen frito.



Esta vez no se trata de un proxy anonimizador, como hace unos días, sino que la IP no se corresponde con una máquina del proveedor de Internet americano MegaPath. El ataque, además, ha sido completamente distinto a los anteriores. El aburrido lamer que ha estado por aquí ha usado un programa para intentar obtener contraseñas por fuerza bruta mediante SQL-Injection. El user-agent estaba basado en Microsoft .NET (usaba el framework 2.0), y había realizado más de 6000 peticiones durante la mañana de ayer. A media tarde, otra máquina con IP similar había hecho algo parecido, aunque usaba otro bot más avanzado (con el .NET Framework 3.5), y parecía tener instalado InfoPath.2 en su máquina (una aplicación de Microsoft para la gestión de datos XML), posiblemente para recolectar información de las máquinas atacadas. Como resultado, a última hora de la tarde habían conseguido colar un DIV oculto en el footer.php con un par de enlaces, los que aparecían en las estadísticas.



Aunque no he encontrado vulnerabilidades reconocidas para el plugin Now Reading que uso en el blog para mostrar lo que estoy leyendo, parece que todo el ataque se ha basado en realizar consultas y actualizaciones a través del mismo. Tras no saber si reír o llorar, limpié de nuevo la plantilla de Wordpress, desactivé el plugin en cuestión y me planteé seriamente dejar de lado WP para sustituirlo por otro CMS que presentase menos vulnerabilidades. Tal y como comentaba el otro día por aquí Des, al fin y al cabo Wordpress ha sido nominado en los premios Pwnie-Awards 2008:


Discovered by: everybody who cared to look
It seems like hardly a week goes by without a new vulnerability in WordPress or one of its many plugins. Many of them are actively being exploited to own popular WordPress blogs and use them to serve spam or client-side exploits to unsuspecting visitors. The popularity of WordPress combined with the abysmal security practices of WordPress plugin developers places the entire Internet at risk and is worthy of a nomination.


De modo que ya sé a qué voy a dedicar los primeros días de vacaciones, aunque las expectativas no son del todo halagüeñas. Como tantas otras aplicaciones ampliamente difundidas, los CMS más usados presentan vulnerabilidades que son descubiertas día a día. Usar un CMS menos común no es más seguro de por sí, ya que aunque tenga menos probabilidades de ser atacado, al estar menos “rodado”, los problemas que puede presentar serían incluso más graves. Y la profusión en los ataques de las últimas semanas, no puede ser casual. Con toda probabilidad los primeros ataques efectivos provocaron que el dominio lobosoft.es entrase en alguna base de datos de sitios vulnerables para los hackers, y de ahí el incremento de los ataques de todo tipo que ando sufriendo últimamente.


Otra opción que me planteo es crear un CMS propio, tal vez aprovechando estos días y usando algún framework de desarrollo rápido como CodeIgniter, que tengo ganas de probar desde hace casi un año, y hasta el momento no había tenido tiempo. Aunque eso no me libraría de los ataques, tendría la opción de intentar desarrollar un CMS que fuese simple (justo lo que necesito para mantener el blog) y que estuviese orientado fundamentalmente hacia la seguridad.


Entretanto, y mientras decido qué hacer, he establecido unas políticas de seguridad un poco más duras sobre el sitio web, ampliando el .htaccess para que deniegue cualquier tipo de petición extraña o mal construida, y bloquee el acceso a determinados directorios del sitio web. Por eso, si obtenéis algún problema al acceder a los recursos del blog, o a cualquier a de las entradas, os agradecería que me lo comunicaseis para solucionarlo a la mayor brevedad. Esperemos, ahora sí, que el castillo aguante un poco más el asedio.


NOTA:


Temporalmente no funciona el plugin de descargas. Si necesitas algún archivo (código fuente o documento) de forma apremiante, solicítalo a través del formulario de contacto del blog.

Publicado por en
Etiquetas: , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)