Cientos de ataques desde servidores plesk

Durante la noche y en lo que va de mañana, estoy teniendo un elevado número de alertas en todos mis servidores por intentos fallidos de acceso por SSH. Si bien esto es algo habitual, lo que me ha llamado la atención es la gran cantidad de servidores con IP de España que se están bloqueando, que se ha multiplicado por más de 10

Todos los ataques comparten el mismo patrón: tratan de acceder por fuerza bruta con el usuario ftpuser y con el usuario admin, y al final son bloqueados por el firewall.
Cuando compruebo las IPs de origen, me responden siempre y sólo servidores plesk, versiones 9.5

¿Sabéis qué está pasando? ¿Alguien más ha notado esto?

 

Nosotros desde el día 9 de diciembre más o menos algo más de volumen de ese tipo de ataque (fuerza bruta ssh), pero no mucha historia (entre 35.000 - 40.000 hits al día). Lo que no me he puesto a mirar son las IPs españolas bloqueadas a ver qué son, pero veo IPs de todas partes con la distribución habitual (Alemania, Korea, China - as usual - , Ukrania, EEUU, Vietnam, India. Holanda....). He cogido unas cuantas IPs españolas al azar y son de ADSL.

Del que sí vemos muchísimo más volumen es del ataque de fuerza bruta contra joomla. Más de 10 veces más (por encima de 100.000 hits al día, cuando lo normal son unos 2
10.000) de las típicas botnets orientales.

 

esta madrugada empezaron en mis server's a lo bruto por ssh, las ip atacantes vienen de casi todos los países

 

Lo de los Joomlas y "Wordpresses" ya es el descojono.
Estoy harto de que todo pichi monte cualquier cosa y ahí quede, sacando raíces. "Hacer webs" con eso es fácil, pero coño, cuando las vendáis al cliente, dar por sentado que no las va a mantener y que no nos va a pagar para que las mantengáis y pasa lo que pasa: las puertas de casa abiertas en pleno invierno

 

es el problema de tanto intrusismo, lo hace cualquiera ...

 

A todos los niveles. Entre el intrusismo y el engaño esto es para llorar. Aquí ya casi no dice la verdad ni Dios. Bueno, Dios sí.

 

Lo que hay que hacer es poner en el contrato que si localizas un wordpress desactualizado le cortas la cuenta. Que no quieres ataques en tu servidor por culpa de quien no actualiza.


1º Poner esa condicion de los cms en el contrato
2º Hacer un script para detectar wordpress y cms joomla viejo
3º Hacer un primer aviso al usuario que si no actualiza se le cancela la cuenta o que tiene opción a contratar un servicio nuestro de actualización a X precio y que si no lo quiere que actualize el o se largue.

 

jejeje, muchas gracias por el consejo. De todas formas yo no doy servicios de hosting compartido. Vaya locura. Dios me libre. Hablo de sistemas dedicados, instancias virtualizadas y de housing.

Aunque tu experiencia profesional en este mundo sea reducida, bien sabes que un sistema objeto de un ataque puede provocarte más de un dolor de cabeza por mucho contrato que tengas.

Dicho esto ¿Tu cortarías el servicio a un cliente de 1.o00 euros al mes ? ¿O le ayudarías a solucionarlo? Evidentemente yo no me voy a poner a arreglarte tu wordpress ni tu servidor pero por supuesto te indico que tienes un problema y que debes solucionarlo y para eso no me hace falta ni entrar al servidor ni a la infraestructura del cliente. Y si pagas además te lo arreglo (*) y si me perjudicas mucho, te suspendo temporalmente el servicio hasta que te lo pueda arreglar y si eso ya me lo pagarás cuando te reencarnes.

Pues eso.

No es tan fácil como lo pintas. El tema de la seguridad en un servicio "público" (entiéndase como tal un servicio que para ser ofrecido lleva implícita la necesidad de estar conectado a Internet) es un tanto complejo. Yo hace tiempo que propongo apagar todos los cacharros y obligar al cliente a conectarse in situ con monitor y teclado, pero no me hacen caso


(*)Nota: hablo en primera persona, pero evidentemente no soy yo el que se lo arregla
(*) Nota: sí, uso y abuso de los emoticonos, pero es que me suben la bilirrubina

 

Es que si no actualiza wordpress yo no le vendo una máquina administrada y si me dice que no quiere tocarlo por el theme ya se puede ir buscando otro proveedor.

Es como la gente que no actualiza el s.o. y no tiene antivirus le entran virus.

Yo si cuando me consiga un cliente no lo entiende le dire que no trabajo con el por que yo soy de hacer las cosas bien.

Por que todas las tiendas de informática instalan el windows en la partición c: y sin una particion d para los datos y no le hacen una cuenta estandar en el sistema? Un amigo mio no lo hace. Bueno yo me se la respuesta. "Yo a ami amigo lo pongo a parir" y me dice que es más rápido. Eso no es verdad.

 

El wordpress ya incluye un sistema de auto-actualización que es bastante bueno y además en la versión 12 de Plesk se puede centralizar la administración, así que es bastante sencillo de mantener.

Para la fuerza bruta, hay un add que te pide que antes de pulsar enter, en entradas de usuario y password, pongas el valor de la suma de dos textos, con eso te quita el 99% de ataques de fuerza bruta.

Como ves no es tan complicado como lo pintan, claro que si vendes planes de $1 al mes, pues hay lo que hay....

De Joomla, paso olímpicamente....

Y como decía cincinnati, dile a un cliente de un par de miles mensuales, que le suspendes el servicio y veras cuanto te dura, es parte del trabajo hacer que al cliente le funcionen las cosas sin problemas, o ayudarle a encontrar sus errores, que en primer lugar para eso paga y además nadie dice que la ayuda sea gratis....

 

Vale y como el cliente te diga que el no quiere actualizar wordpress por el theme? Si no lo actualiza y sale un 0-day? Tu le alojas el wordpress y te haces cargo? Hay muchos que dicen que no.

 

Los clientes que pagan varios miles al mes no te dicen que no quieren actualizar nada, son empresas muy serias y que normalmente dependen de internet para sobrevivir....

De todas formas, con la versión 12 de Plesk, te lo actualiza si o si.

 

Es que un cliente que paga varios miles por servidores, también invierte varios miles en programadores y ya se encargan ellos de que este seguro y actualizado xD

No es de esos que quieren ahorrar lo máximo en hosting y que ni tan siquiera quieran invertir en programadores...

Yo he visto a muchos que no quieren actualizar, pero todos los que en verdad tienen su negocio serio y les importa, no les he dicho aun que tienen una falla en un theme o que aparecen errores en los logs y ya los están solucionando u ofreciendo $$$ para que se les solucione el problema lo más rápido posible.

 

Yo con port knocking, y un deny host, no me preocuparía mucho, la verdad. En la naturaleza de internet, esta el recibir ataques.

 

yo se de gente que se dice ser profesional y usan el auto instalador de la empresa de hosting de turno, con versiones viejas cedidas por la empresa de hosting, no digo nombre de la empresa de "hosting" que si no se les cae la cara de vergüenza "lo digo por que apuesta por soft propio" y encima ponen el mismo prefijo para la base de datos y luego en local tienen el xampp con versiones desactualizadas y el equipo con virus más la wifi pirateada por usar contraseñas débiles y luego el tio me dice que ha trabajado para la ibm jaja. Esto un fantasma que conoci. Ya ves como anda el patio...