Pues… qu\u00e9 puedo decir? Me descuid\u00e9, y me descuid\u00e9 horriblemente.<\/p>\n
La historia, horriblemente, es como sigue: hace un mes me v\u00ed en la necesidad de configurar un servicio de correo express<\/em>, por cuestiones profesionales. Y como buen debianero, dije “pues el exim, he escuchado que es muy pr\u00e1ctico!” Y entonces hice un sencillo apt-get, configur\u00e9 algunos par\u00e1metros… y listo. No configur\u00e9 un open relay<\/em> (digo, tampoco soy un completo<\/strong> idiota) pero s\u00ed dej\u00e9 muchos par\u00e1metros de manera insegura. A\u00fan peor, y a diferencia del resto de mis servicios, no lo puse en una jaula, ni le cambi\u00e9 el usuario predeterminado. Total que bueno, hay cosas que uno mismo se busca…<\/p>\n Un par de semanas despu\u00e9s, Javier<\/a> tuvo una pl\u00e1tica (de botnets) y lo acompa\u00f1\u00e9. Durante la pl\u00e1tica, comenc\u00e9 a recibir un mont\u00f3n de correos de sergiob, inform\u00e1ndome que hab\u00edan nuevos comentarios en el blog. Como esto es tremendamente raro (considerando que nadie *jam\u00e1s* pone comentarios – vamos, casi nadie lee el blog para empezar) inmediatamente verifiqu\u00e9… y ciertamente, era puro spam. Cambi\u00e9 la configuraci\u00f3n predeterminada del wordpress, de manera que todos los comentarios requirieran aprobaci\u00f3n previa, y cerr\u00e9 cap\u00edtulo. Ni volv\u00ed a pensar en ello…<\/p>\n …hasta hoy.<\/p>\n Amazon (mi amable proveedor de nubecitas) me mand\u00f3 mi factura mensual, como todos los meses. Apenas y volteo a ver los correos: las cuentas suelen ser rid\u00edculamente bajas. Excepto hoy. Hoy, la cuenta reportada exced\u00eda en 10,000% (y no, no exagero) lo que normalmente pago. Lo que es… bueno, es bastante. Mi reacci\u00f3n fue inmediata: verifiqu\u00e9 el reporte de uso de Enero, observ\u00e9 con horror que la cuenta era correcta, baj\u00e9 los reportes para un an\u00e1lisis posterior, y abr\u00ed una terminal para corregir los problemas. Los hallazgos fueron… terribles.<\/p>\n Los atacantes consiguieron acceso a trav\u00e9s de una vulnerabilidad de exim (espec\u00edficamente esta<\/a>) y tomaron control del sistema. Se acomodaron felices, pusieron su bot, y descargaron… y descargaron…<\/p>\n 860 Gigabytes.<\/p>\n El problema ya est\u00e1 controlado, y no hay hueco de exim por donde puedan volverse a colar. Al menos me llevo conmigo dos lecciones: la primera, dolorosa porque la repito (y suelo vivirla), no hagas las cosas mal, ni siquiera por hacerlas r\u00e1pido<\/strong>. La segunda, y m\u00e1s importante en mi opini\u00f3n, monitorea, maldita sea!<\/em><\/strong>. No porque sea tu servidor personal, y no un equipo de producci\u00f3n, te da derecho a olvidarlo a la buena de Dios. Pero en fin… echando a perder se aprende.<\/p>\n Al menos ya estamos de regreso. A ver que tal sale el servicio de correo de Amazon.<\/p>\n (Con disculpas a los profesionistas del tema, pero “me explotaron una vulnerabilidad” no tiene el mismo sonidito, o s\u00ed?)<\/p>\n","protected":false},"excerpt":{"rendered":" Pues… qu\u00e9 puedo decir? Me descuid\u00e9, y me descuid\u00e9 horriblemente. La historia, horriblemente, es como sigue: hace un mes me v\u00ed en la necesidad de configurar un servicio de correo express, por cuestiones profesionales. Y como buen debianero, dije “pues el exim, he escuchado que es muy pr\u00e1ctico!” Y entonces hice un sencillo apt-get, configur\u00e9 … Continue reading “Y… me hackearon”<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7,12,26],"tags":[48,50,52,66],"class_list":["post-177","post","type-post","status-publish","format-standard","hentry","category-dammit","category-geek","category-vida","tag-desmadrugadas","tag-echando-a-perder-se-aprende","tag-eso-te-pasa-por-no-monitorear","tag-hacking-no-lite"],"_links":{"self":[{"href":"https:\/\/blog.sergiob.org\/index.php?rest_route=\/wp\/v2\/posts\/177","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.sergiob.org\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.sergiob.org\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.sergiob.org\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.sergiob.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=177"}],"version-history":[{"count":0,"href":"https:\/\/blog.sergiob.org\/index.php?rest_route=\/wp\/v2\/posts\/177\/revisions"}],"wp:attachment":[{"href":"https:\/\/blog.sergiob.org\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=177"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.sergiob.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=177"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.sergiob.org\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=177"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}