¿ Por qué debemos trabajar en la seguridad hasta de un servidor de pruebas ?

Esta historia sucedió a finales de 2014, mientras probaba la estabilidad y configuración de algunos programas en un servidor antes de llevarlos al servidor de producción. Como era un servidor de pruebas, y los datos que manejaba no eran privados, decidí no hacer nada para su seguridad. Es decir, usé contraseñas muy sencillas, firewall desactivado y todo con la configuración por defecto.

Pruebas antes de utilizar en producción

En general, esto es lo recomendable. Es decir, aunque tengamos un servidor de test para probar los últimos cambios en nuestras plataformas y un servidor de producción en el que nada puede fallar ya; en ocasiones cuando necesitamos un software nuevo y podemos meter la pata está bien hacer pruebas en otro servidor externo, sin relación con los anteriores, para ver cómo va. Y cuando esté todo claro, lo trasladamos a test y luego a producción.

La teoría está muy bien, y aprovechando que los servidores VPS están muy baratos, un día de alquiler de un servidor pequeño puede salir por menos de 20 céntimos, por lo que puede ser una manera interesante para realizar las pruebas. Aunque siempre surge aquella prueba que no vas a tardar mucho y te lanzas a probar…

¿Qué necesito?

Yo necesité 4 servidores Ubuntu Server, muy pequeños, ya que mi experimento tenía que ver con el intercambio de información entre servidores (utilizar varias máquinas virtuales en mi ordenador tal vez hubiera sido muy costoso para mí). Y a lo mejor 2 o 3 horas de tiempo online.

Seguridad

Y, ¿como contraseñas? pues 111111, 222222, 333333, 444444 dependiendo del servidor. ¿Claves RSA? Pues no, porque tenía que generar claves en todos los servidores y copiar las claves públicas, y da pereza. ¿Firewall? Desactivado completamente, como era un tema de comunicación entre servidores y no conocía bien el software, no sabía qué puertos necesitaba para realizar la comunicación, es lo que pasa cuando vas a saco.

El problema

Después de 2h de trabajo, me voy a comer, y, como he hecho mucha configuración al vuelo, y al reiniciar las máquinas dicha configuración se perderá, lo dejo todo encendido, total, 1 hora más por máquina, no son 3 céntimos, pues pa’lante.

Después de comer, veo que hay una máquina que no responde. Mi primera sospecha es el software que estoy probando que ha dejado frito el server, pues nada, reinicio y sigo probándola, pero la máquina no funciona como antes, tarda un poco más en responder y me pongo a revisar toda la configuración. Descubro que hay un par de archivos ocultos en la home de mi usuario que no reconozco.

De repente veo mi e-mail y encuentro tres mensajes de mi proveedor de VPS diciendo que las IPs de 3 de mis máquinas están denunciadas por phising, ¡ toma ya ! Ahora me dedico yo a sacar contraseñas de usuarios de un banco italiano por la cara. En ese momento, otras dos de mis máquinas se desconectan. ¡ Impresionante ! E impresionante era mi estado de nervios en ese momento, cuando pensaba que en cualquier momento la Guardia Civil entraría por mi puerta…

Resulta que un atacante, vio mis servidores, escaneó puertos, se dio cuenta de que el puerto SSH estaba abierto, probó usuarios (el usuario admin, por ejemplo) y se puso a probar contraseñas, las mías eran de diccionario, vamos. Seguidamente, y con acceso, ejecutó un pequeño script que instalaba un servidor web muy pequeño y la web en cuestión y ya tenía un demonio de phising activado y funcionando. Luego, redirigiría las DNS de algún subdominio parecido al del banco que queremos atacar y fuera. El servidor no es suyo, por lo que si contactan con la dirección de abusos correspondiente a la IP saldrá mi proveedor, y mi proveedor me echará la bronca a mí porque la IP la tengo contratada yo.

La dirección de abusos la podemos obtener haciendo whois a la IP que queremos analizar. Además de la información sobre el proveedor, el país, el rango, etc. Nos saldrá una dirección de e-mail con la que debemos contactar si creemos que desde esa IP se está haciendo un uso indebido.
Esta herramienta, whois también podemos utilizarla en dominios, y el mensaje lo recibe el registrador. Por otro lado, si estás en España, y crees que existe un delito es conveniente que, al menos, informes a la unidad de delitos informáticos de la Guardia Civil.

Al final se portaron muy bien, mi proveedor se tomó muy en serio la queja, tras un par de mensajes, cerraron todo acceso externo al servidor (quitando el puerto de SSH) para que me diera tiempo a salvar la información importante. Bueno, y al ser la primera vez sólo me dieron un toque de atención, sabían que yo no era el malo de la película, sólo la víctima, aunque según las condiciones de servicio, se pueden tomar la libertad de echarte si ven que te pasa mucho. Yo, por si las moscas, copié los ficheros que me interesaban de cada servidor y los desactivé.

Moraleja

Aunque tarde un poco más, intentaré proteger un poco más la instalación SSH, tal vez no hacer algo demasiado extremo, pero al menos, configurar pares de claves pública y privada para los servidores, aunque tarde un poco más y dé pereza, está claro que nada más tener conectada una máquina a Internet, puede ser víctima de ataques.

Foto: Wesley Wilson

También podría interesarte....