No se si esta es la mejor historia con la cual comenzar con este Weblog pero me parece que este incidente que me ocurrió la semana pasada es interesante y vale la pena compartirlo.
La mayor parte de los sitios desarrollados aquí en Subespacio son alojados en un servidor dedicado. Siempre creí que se trataba de un servidor seguro ya que soy la única persona que tiene acceso al mismo, lo mantengo actualizado y solo es posible acceder por SSH. Como todos los sitios utilizan Drupal, para realizar las actualizaciones diarias no es necesario ingresar al servidor solo se utilizan los formulario provistos por Drupal y en algunos casos se sftp para subir algún archivo.
El Miércoles 6 de septiembre entré al servidor porque noté que en ese momento varios sitios estaban funcionando mucho más lento que lo normal. Ni bien entré advertí algo raro, la dirección IP del último usuario loqueado no era la mía, me pareció extraño pero no sé por qué en ese instante no le di demasiada importancia. Las cosas se pusieron mucho más extrañas cuando buscando un comando en la historial de comandos de Bash con la techa flecha arriba me encuentro con comandos que no eran míos. En ese momento lo primero que se me ocurrió fue reiniciar el servidor.
Un minuto más tarde volví a entrar al servidor, cambié todas las contraseñas, modifiqué algunas reglas en el firewall y me puse a ver que es lo que estaba sucediendo. Revisando el historial de bash encontré que alguien había entrado al servidor, creado un directorio “ ” en /var/tmp/ y luego había utilizado wget para descargar el archivo udp.pl desde un sitio en la Web. Posteriormente utilizo este script de perl (udp.pl) para atacar a otros servidores.
Ya sabiendo que es lo que había hecho el intruso, mí interrogante fue cómo es que había logrado entrar en mi servidor. Revisando los logs de Apache llegué a la conclusión que tiene que haber entrado a través de una vieja instalación de prueba de Drupal que había quedado en el servidor explotando una vulnerabilidad de xmlrpc.php.
Por suerte mi servidor no era el objetivo final de este ataque, y luego de actualizar los scripts de todos los sitios a sus últimas versiones, eliminar instalaciones de prueba, actualizar todos los paquetes de Linux y ajustar varias cosas en las políticas de seguridad del servidor, creo que puedo decir que fue bastante leve.