Es posible que más de uno entrase a BorjaNet entre las 22:00 del jueves y las 9:00 del viernes y se encontrase con algo muy raro: principalmente, que en vez de mi web aparecía una página rara con texto en brasileño. Y, si no visitasteis BorjaNet en ese periodo, aquí teneis lo que aparecía en lugar de mi web.
Esto se ha debido a que, por primera vez desde que monté mi propio servidor (hace más de tres años), mi web ha sido vilmente atacada. A pesar de que soy un tanto paranoico en lo que se refiere a la seguridad de mi servidor (lo único que me falta es ponerle un condón gigante encima), fui victima de un exploit muy reciente que ha afectado a bastantes blogs. Afortunadamente, MaY me avisó de que algo raro pasaba en BorjaNet, y raudo y veloz solucioné el problema. El ataque se limitó a ser una “bromita” porque los sucios bastardos que mancillaron mi web tuvieron la ‘cortesía’ de hacer una copia de la página principal (y que nadie me venga con lo de “pues te han hecho un favor al avisarte de que tenías esa vulnerabilidad antes de que alguien te hiciese algo más gordo”… cuando yo encuentro una vulnerabilidad en una web, se lo digo por mail al webmaster, no descojonandole la página principal de su web :-P )
Para los más frikis: tras restaurar BorjaNet a su estado original, eché un vistazo a los logs del Apache, y al parecer se han aprovechado de un exploit reciente en Awstats (un programa cgi para generar estadisticas en Apache). Para colmo, parece que es el “exploit de moda” y que muchos blogs están cayendo como moscas (como podeis leer en la URL que he mencionado al principio del artículo). Tan de moda, de hecho, que ha aparecido en esta tira de Bilo y Nano (la tira de es.comp.os.linux.*). Si leyese la tira con más frecuencia, igual me habría evitado todo este lío :-P
Lo que más me jode es que yo ni siquiera sabía que tenía el Awstats instalado. Debe ser uno de esos paquetes que te cuelan cuando haces una instalación de Debian con perfil de servidor. Si lo hubiese sabido, sencillamente lo habría desinstalado, porque una de mis paranoias de seguridad (y que suele ser una buena manera de evitar este tipo de líos) es tener instalado únicamente lo que estrictamente te hace falta. Cuanto más software tengas instalado, mayor es la posibilidad de que alguno de esos paquetes tenga una vulnerabilidad que pueda ser atacada. Es decir, no vale decir “Bah, me da lo mismo tener mogollon de programas instalados que no utilizo… tengo disco duro de sobra… no tengo nada que perder”. Lo que pasa es que sí tienes algo que perder si resulta que ese software tiene una vulnerabilidad.
En definitiva, tras restaurar BorjaNet, borré el Awstats de mi servidor y me quedé con las ganas de buscar los sectores del disco duro donde estuvo el programa para poder poner todos los bits a cero :-P Así que ya sabeis: si teneis un Apache (y especialmente un blog…) no olvideis actualizar el Awstats (o de volatilizarlo por completo).
Cuando lo lei en la lista de eGhost no me lo crei… pero luego pense todas las grandes paginas han recibido algún defaced! alguna vez… Ya sabes BorjaNet la tuya es una gran pagina ;P No sé a mi me parece “divertido” además te han dejado el index.php podria haber sido mucho menos elegante su actuación.
Pero eso si, lo más señorial desde luego seria la notificación via email y no con un Defaced! ¿Falta de “protocolo”?
Hola Borja:
Me he fijado que en tu URI raiz tb tienes el regalito de esta gente. Echa un ojo a http://www.casa-sotomayor.net/
Salu2 de otro ex-Deustensis.
Bart