Blog de ADW.es

Soluciones globales de presencia en Internet

Categoría: Seguridad (Página 1 de 3)

Informe de Seguridad, Octubre 2015

Informe de ataques detenidos a nivel de defensa perimetral durante el mes de octubre de 2015

Incluimos sólo los más importantes en términos de volumen.

Ataques de fuerza bruta

Durante el mes de octubre continúan los ataques de fuerza bruta contra instalaciones WordPress. Si bien con menos intensidad que en los meses anteriores tras haber sido bloqueadas varias botnets por parte de nuestro equipo de seguridad liderado por Adolfo Doliwa.

Recordamos la grave problemática de las páginas con WordPress. Si se dedice a utilizar WordPress, o si ya lo está utilizando, es extremadamente importante que lo securice, lo mantenga actualizado y lo monitorice. Si no sabe cómo hacerlo, no utilice WordPress o contrate los servicios de un profesional. ADW le ofrece un servicio específico para securizar su wordpress desde http://www.adw.es/soporte.html o directamente desde https://intranet.adw.es/intranet/cart.php?a=confproduct&i=2

Por favor, no instale WordPress de mala manera y se olvide de él: probablemente tendremos que cortarle el servicio que tenga contratado.

Procedencia de los ataques de fuerza bruta

Si más comentarios. Rusia sigue al frente de países atacantes. Parece que nadie controla la seguridad de las redes de ese país. Pero España le sigue a la zaga. Da que pensar. Lo hemos comentado muchas veces: ni se invierte en seguridad ni se le hace mucho caso y teniendo en cuenta que la mayoría de redes atacantes pertenecen a proveedores de hosting…. asusta (no vamos a mencionar nombres, porque prácticamente son todos).

Ataques de seguridad

Procedencia de los ataques de seguridad

Si bien los ataques de fuerza bruta proceden casi todos de botnets Rusas y de equipos infectados en manos de grandes botnets, los ataques de seguridad (injects, backdoors, DOS y DDoS) son un poco más “selectivos” y EEUU se lleva la palma en este caso, seguido este mes de México, pero debido a un caso muy concreto contra un cliente determinado que fue atacado de forma intencionada desde ese país (se intentó un DDoS de miles de conexiones simultáneas por segundo).  A nivel perimetral conseguimos detener más del 90% de los ataques, pero – por favor – no baje la guardia: no todos los ataques son susceptibles de ser detenidos y hay casos en los que no queda más remedio que sacar de la red el sistema atacado.

Informe de seguridad, septiembre 2015

Informe de ataques detenidos a nivel de defensa perimetral durante el mes de septiembre de 2015.

Incluimos sólo los más importantes en términos de volumen.

Ataques de fuerza bruta

Durante el mes de septiembre (y ya empezando desde mediados de agosto) los ataques de fuerza bruta contra instalaciones de WordPress se han disparado. Hemos visto también cómo se han visto comprometidas muchas instalaciones de wordpress inseguras.

Los demás ataques de fuerza bruta se mantienen en niveles habituales.

En cuando a la procedencia, lo analizamos más adelante.

¿Qué es un wordpress inseguro? Aquél que lleva tiempo sin actualizar, con contraseñas débiles, plugins inseguros, sin las medidas de seguridad básicas… Lamentamos tener que recordar que nosotros no podemos responsabilizarnos de lo que el cliente instale (o no instale). Lo mismo que tampoco podemos responsabilizarnos por la muy mala elección en las contraseñas o en su custodia.

La problemática de las páginas con WordPress es tan grave, que estamos ofreciendo a los clientes un servicio específico para securizar su wordpress. Como cliente puede contratarlo desde http://www.adw.es/soporte.html o directamente desde https://intranet.adw.es/intranet/cart.php?a=confproduct&i=2

Procedencia de los ataques de fuerza bruta

En en mes de septiembre se ha experimentado un notable incremento de los ataques procedentes de España.

Si bien no aparece desglosado en el gráfico, la mayoría de ataques procedentes de España han indo dirigidos contra instalaciones de WordPress. Lo habitual es que la mayoría de este tipo de ataques procedan de Rusia y de Ukrania, sin embargo en el mes de septiembre (en realidad empezó en agosto) se han recibido muchos ataques contra WordPress procedentes de equipos VPS y servidores españoles comprometidos. Al no disponer esos sistemas comprometidos de defensas perimetrales contra ataques, desde dichos sistemas las botnets han podido lanzar ataques masivos sin ningún problema.

Ataques de seguridad

Procedencia de los ataques de seguridad

En el gráfico apreciamos claramente un enorme volumen de ataques de seguridad procedentes de España, procedentes tanto de servidores y VPS e otros proveedores españoles como de accesos residenciales de ADSL y fibra. Esto suele ser típico de los meses de agosto y de septiembre tras el retorno de las vacaciones, cuando los usuarios (sus equipos en realidad) resultan infectados por troyanos y virus de todo tipo.

Nuestros sistemas de defensa perimetral

En ADW apostamos muy fuerte por la seguridad de nuestros servicios. No solo a nivel de seguridad de accesos físicos o infraestructura de centro de datos, que se da por supuesta en cualquier empresa que ofrezca este tipo de servicios, sino también a nivel lógico y de red.

A nivel perimetral disponemos de varios niveles de defensa comformados por dispositivos controladores de ancho de banda, firewalls, routers, IDS (Intrusion Detection System)IPS (Intrusion Prevention System). Una infraestructura de defensa perimetral continuamente actualizada y supervisada para “defender” de ataques las aplicaciones y páginas web de nuestros clientes y gestionada 24×7 por un equipo profesional, especializado en seguridad y con más de 20 años de experiencia.

Quizás el nivel de defensa más importante lo conforma nuestra batería de IPS e IDS perimetrales.  Estos dispositivos (del fabricante HP) protegen nuestra red y a nuestros clientes de más de 20.000 tipos de ataques y vulnerabilidades tipificadas, con una capacidad de filtrado 2 x 10 GbE.

Este es un servicio único en el mercado. Un servicio que ADW lleva prestando más de 15 años a sus clientes.

Sin embargo, no se llame a error. Si bien nuestros sistemas de defensa son capaces de frenar multitud de ataques, hay ataques contra los que no cabe protección alguna a nivel perimetral ni en casos en los que una aplicación carezca de una contraseña suficientemente sólida por ejemplo. Con esto queremos hacer hincapié en que es extremadamente importante que el desarrollador adopte siempre medidas de seguridad en las aplicaciones que instale, ya se trate de un WordPress o de un desarrollo propio.

Gráfico ataques

Cómo funciona nuestra defensa IDS / IPS

Nuestra defensa IDS/IPS consta de al menos dos dispositivos IPS Tippingpoint (de HP) ubicados a nivel de frontera entre la infraestructura que da servicio al cliente final e Internet.

Todo el tráfico entrante y saliente es filtrado por esta defensa sin generar latencia y retardos en la entrega de paquetes.

Estos dispositivos disponen a su vez de dos niveles de defensa:

  1. Reglas de seguridad
    Aprox. 20.000 filtros  que hacen frente a ataques y vulnerabilidades tipificadas
  2. Reglas de reputación
    Actualizadas cada hora y que contienen listas de direcciones IP que forman (por ejemplo) parte de botnets y que son detenidas a este nivel. Habitualmente conforman las reglas de reputación entre 100.000 y 2 millones de direcciones IP. Estas reglas son revisadas y actualizadas cada hora.
    Ataques por países

Cómo actuán las reglas de seguridad

El comportamiento de las reglas de seguridad puede ser básicamente de tres tipos:

  • Bloqueo
    Cuando salta un filtro, se deniega el tráfico.
    Por ejemplo, si intenta acceder por FTP como root, el sistema se lo impedirá
  • Cuarentena temporal
    Cuando determinado filtro salta un número predefinido de veces, el sistema pone en cuarentena la IP que ha provocado un positivo en dicho filtro:
    Por ejemplo, si desde una misma IP intenta acceder por FTP más de “x” veces consecutivas con usuario y/o contraseña incorrectos, el sistema pone dicha IP en cuarentena, bloqueando el tráfico entrante (viene desde esa IP) y saliente (va a esa IP).
    Transcurrida 1 hora (por ejemplo) desde la cuarentena, la IP se libera y se volverá a bloquear si se reproduce el mismo comportamiento.
    Este tipo de filtros hacen frente a la mayoría ataques de fuerza bruta ya sea vía FTP, SSH, POP, IMAP, y otros, pero no pueden hacer frente a ataques de fuerza bruta que proceden de botnets desconocidas, dado que cada hit procederá de una IP distinta y por tanto no será posible detener el ataque sin detener la botnet al completo. De ahí la importancia de las reglas de reputación antes mencionadas.
  • Bloqueo a largo plazo
    En casos especialmente graves, la IP atacante es bloqueada a largo plazo (más largo que una simple “cuarentena”).

Algunos Filtros importantes

  • Filtrado de accesos con contraseña incorrecta, vía FTP, SSH, POP, IMAP, SMTP
    Estos filtros cuentan el número de intentos de acceso con usuario y/o contraseña incorrectos. Alcanzado determinado umbral (diferente para cada filtro), pone en cuarentena la IP que intenta acceder. La IP es liberada transcurrido un periodo de tiempo prefijado. Su finalidad es mitigar ataques de fuerza bruta.
  • Filtrado de acceso con usuarios “prohibidos” o no “recomendables”
    Estos filtros deniegan el acceso mediante determinados protocolos y determinados usuarios. No podrá por ejemplo acceder por FTP con el usuario “root” o “administrador”.
  • Detención de ataques DoS
    Estos filtros detienen más de 1.000 tipos de ataques DoS tipificados (por ejemplo ataques como Snort, svchost, BOIC, etc)
  • Detención de ataques DDoS
    Estos filtros detienen ataques DDoS tipificados ( por ejemplo Yoyo-DDoS, LOIC, PentBox, Hulk, etc).

Excepciones

Si necesita una excepción para algún filtro de seguridad, contacte por favor con nuestro departamento de seguridad.

Listado de todos los filtros

Por motivos de seguridad no podemos hacer públicos todos los filtros de seguridad ni sus peculiaridades. Si ya es cliente nuestro y está interesado, le rogamos solicite un listado actualizado a nuestro departamento de seguridad.

Reportes

En https://www.csoporte.com publicamos periodicamente informes de seguridad, así como notificaciones y avisos importantes.

Defensa Perimetral

A nivel de perímetro, toda nuestra infraestructura está protegida a tres niveles, a nivel de firewall, a nivel de IPS y a nivel de control granulométrico de ancho de banda. Sin entrar a pormenorizar en profundidad la configuración de cada nivel de protección, podemos decir que a nivel de Firewall autorizamos o denegamos accesos y/o servicios de forma estática, a nivel de  sistemas IPS (Intrusión Prevention System)  detenemos intentos de utilización de vulnerabilidades, ataques de fuerza bruta, DDOS y DOS y a nivel de control granulométrico de ancho de banda medimos y limitamos de forma dinámica todo tipo de tráfico entrante y saliente.

Los 3 niveles de defensa perimetral son importantes, pero quizás el más sorprendente, por el tipo y volumen de ataques que detiene, sea el nivel de Prevención de Intrusiones (IPS). Este nivel de seguridad consta de dos dispositivos IPS TippingPoint de HP redundantes. Estos dispositivos, capaces de gestionar un troughput de 10 Gbps cada uno, hacen frente a más de 10.000 tipos de ataques y vulnerabilidades y se benefician de la constante actualización de perfiles de protección “Zero Day”  por parte de los expertos del laboratorio de seguridad HP.

Diariamente detenemos una media de entre 30.000 y 200.000  intentos de intrusión y ataques contra las webs y aplicaciones de nuestros clientes, desde injects sofisticados, a intentos de utilización de vulnerabilidades en aplicaciones WordPress o Joomla, pasando por ataques de tipo fuerza bruta.

Puede estar seguro de que en ADW.es invertimos continuamente por la seguridad de nuestros clientes.

Vulnerabilidad en Plesk

Recientemente se ha descubierto una nueva vulnerabilidad en todas las versiones del panel de control Plesk.

Fuente: http://kb.parallels.com/en/114330

Independientemente de si su sistema plesk está siendo o no atacado o si es o no vulnerable, recomendamos llevar a cabo las siguientes acciones en su servidor o VPS.

Nota: si su sistema es administrado, el equipo de ADW lleva varios días trabajando en todos los sistemas administrados aplicando las soluciones pertinentes.

1.- Modifique como mínimo la contraseña de administración (admin) y si es posible también las contraseñas de todos los usuarios plesk y ftp del sistema

2.- Cambie el puerto de plesk del 8443 por el 8445  (más adelante explicamos cómo)

3.- Limpie los archivos infectados (máss adelante explicamos todo)

Cómo cambiar el puerto de plesk en las versiones 8.x

1) Editar /usr/local/psa/admin/conf/httpsd.conf y cambiar el puerto de 8443 a 8445 allí donde aparezca 8443
2) reiniciar plesk (service psa restart)
3) probar

Cómo cambiar el puerto de plesk en las versiones 9.x

1) Editar /etc/sw-cp-server/applications.d/plesk.conf
2) buscar la línea $SERVER[“socket”] == “:8443” y cambiar 8443 por 8445
3) reiniciar plesk /etc/init.d/sw-cp-server restart

Cómo limpiar los archivos infectados

1) Acceda a su sistema vía ssh como root
2) Vaya al directorio vhosts (cd /var/www/vhosts)
3) Ejecute el siguiente comando:
grep -rl –include=*.{php,js,html,htm} ‘km0ae9gr6m’ * | xargs sed -i ‘s/\/[*]km0ae9gr6m.*$//g’
4) Ejecute el siguiente comando:
grep -rl –include=*.{php,js,html,htm} ‘qhk6sa6g1c’ * | xargs sed -i ‘s/\/[*]qhk6sa6g1c.*$//g’

Verificar si tiene archivos infectados

1) cd /var/www/vhosts/
2) grep -rl –include=*.{php,js,html,htm} “km0ae9gr6m” *

Página 1 de 3

Creado con WordPress & Tema de Anders Norén