Qué hacer en caso de ataque a tu servidor Linux

La prevención debe comenzar en el momento de la instalación del servidor. Es importantísimo que, en el momento de escoger la contraseña de administrador (root), escojas una contraseña compleja. A modo de ejemplo, P@ssw0rd no es una contraseña segura, no presenta suficiente complejidad y hace tu servidor vulnerable. En esta página encontrarás un herramienta útil para generar contraseñas complejas y seguras http://www.safepasswd.com/

No dejes tu contraseña anotada en cualquier lugar y recuerda desactivar la opción “recordar contraseña”. Tu ordenador también puede ser “hackeado” y recordar las contraseñas puede resultar peligroso.

Entre otras amenazas, debes protegerte de los keyloggers (registradores de teclas), un tipo de virus que se encarga específicamente de registrar las pulsaciones de tu teclado para descubrir tu contraseña y luego entregarla a terceros que pueden hacer un uso fraudulento de ella. Asegúrate de que el antivirus que tienes instalado te proteja también de los keyloggers.

La presencia de aplicaciones accesibles a cualquiera que pueda acceder a tu ordenador (autorizado o no) puede provocar un uso fraudulento de las mismas. Un ejemplo: si solo determinados usuarios estan autorizados a acceder vía FTP o SSH, asegúrate de que las aplicaciones esten protegidas del acceso a través de otras IP.

Analiza tu servidor con un programa watchdog. En caso de detectar algún programa que esté causando problemas no atribuibles a tus sitios web, podría ser que el origen del problema estuviera en el servidor. Debes saber: los watchdogs también te informarán cuando los componentes del servidor no estén actualizados. Es recomendable que estén siempre actualizados, a menos que tus programas requieran una versión específica de dichos componentes.

a. Elimina los archivos innecesarios: asegúrate de no publicar nunca online documentación, archivos readme, registros de cambios u otras informaciones que puedan servir para identificarte unívocamente en la red y que puedan facilitar que un pirata informático acceda a tus sitios web o a tus datos. b. Selecciona cuidadosamente con qué permisos configuras tus aplicaciones.  A menudo los ficheros o los programas se instalan con chmod 777. Esto significa que cualquier persona que pueda acceder al fichero, puede leer, escribir o ejecutar. Si no es necesario que esto sea así, bloquea estos permisos para que solo los usuarios autorizados tengan acceso a los archivos. c. Guarda la información sensible en un formato seguro, como una base de datos. Lamentablemente, es habitual que se guarden datos sensibles en simples ficheros de texto. Este tipo de archivos no están encriptados y, si caen en manos de piratas informáticos, pueden ser utilizados para realizar cualquier tipo de actos indeseados. d. Asegúrate de que los contenidos que publicas no pueden ser manipulados Los contenidos pueden ser utilizados para lanzar ataques malintencionados a otros servidores, así que asegúrate de que están correctamente protegidos. Un ejemplo de algo que ocurre a menudo son las inyecciones My)SQL . Puedes encontrar más información al respecto en http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL e. El software gratuito no siempre es gratis Es fácil encontrar en la Red numerosas versiones gratuitas de aplicaciones (web) de pago. Ten cuidado porque muchas de ellas llevan códigos incrustados que se utilizan para acceder a tus datos protegidos.

Si tuvieras algún problema con tu servidor y fuera necesario proceder a una reinstalación o a la migración a una nueva máquina, la forma más rápida de volver a tener todos tus datos online es disponer de una copia de seguridad de tus datos. Recuerda que es mejor guardar la copia de seguridad en un lugar diferente distinto del propio servidor. Como regla general: mantén siempre tu sistema actualizado y no corras riesgos, ¡protege tu servidor y tu trabajo!

Si te han cambiado la contraseña de usuario administrador (root), utiliza el Recovery mode que encontrarás en tu Panel de Control. Atención: mientras el servidor está en modo recuperación, los sitios web, cuentas de correo, etc. no están disponible.

(Solo si tienes instalado el Panel de gestión Plesk) Si te han cambiado ambas contraseñas (root y Plesk), cambia primero la contraseña de root siguiendo las instrucciones del paso anterior y luego cambia la contraseña de Plesk a través de una conexión SSH. Introduce en el terminal SSH:cat /etc/psa/.psa.shadow (te mostrará la contraseña). Si el archivo shadow se ha borrado, escribe: #/etc/rc.d/init.d/psa stopall (esto detiene los servicios Plesk); luego: #/usr/local/psa/mysql/bin/safe_mysqld -skip-grant-tables & o #/usr/bin/safe_mysqld -skip-grant-tables & (para iniciar MySQL y omitir la tabla de permisos [password]); y por último introduce #/usr/local/psa/mysql/bin/mysql mysql (para hacer el login en MySQL). Luego escribe: #use mysql #FLUSH PRIVILEGES #SET PASSWORD FOR admin=PASSWORD(your-password-here) ahora copia esta línea y sustituye "your-password-here" por la nueva contraseña); #exit (vuelve a MySql y estarás registrado en el shell como root) #killall mysqld o #/etc/rc.d/init.d/mysqld restart (esto detiene el demonio MySql) #/etc/rc.d/init.d/psa start (así reinicias Plesk, que a su vez iniciará el demonio MySql con la nueva contraseña).

La solución a este problema dependerá de cómo tengas configurado tu buzón. Si el buzón de correo se encuentra en la plataforma de Nominalia (o sea, en tu servidor) Accede a tu Panel de Control y selecciona el dominio. Haz clic en email y luego configura tu buzón. Aquí encontrarás la opción de cambiar la contraseña del buzón. Si tu buzón está en Plesk Accede al servidor y elige el dominio. Luego ve a “Cuentas de correo” y selecciona la cuenta. Cambia la contraseña de la cuenta en la configuración de Preferencias.

En este caso es probable que alguien haya robado tu nombre de usuario y la contraseña de acceso a tu FTP. Deberás crear y configurar un nuevo usuario FTP. Como en el caso del buzón, hay dos formas de hacerlo: 1. Si utilizas el servicio FTP de Nominalia (no el de Plesk): Accede a tu Panel de Control y selecciona el dominio. Ve al servicio FTP, elimina el usuario existente y crea un nuevo usuario con una nueva contraseña. 2. Se utilizas el servicio FTP de Plesk: Accede al servidor y selecciona el dominio; ve a Configuración Hosting Web y modificar la configuración de usuario de FTP. Si utilizas Plesk 10 tienes la opción de configurar múltiples usuarios; eliminar usuarios existentes o crear de nuevos. Si has configurado usuarios enjaulados vía SSH antes deberás eliminarlos de aquí.

Si una aplicación ha sido víctima de un ataque malintencionado o crees que tu servidor ha sido “hackeado”, lo mejor que puedes hacer es volver a instalar el servidor. Puedes realizar esta operación fácilmente desde el Panel de Control y así podrás volver a empezar desde cero. Esta solución, a pesar de una interrupción temporal de tus sitios web, es, sin duda, la mejor forma y la más segura para evitar que alguien vuelva a acceder a tu servidor. ¡Recuerda que es muy importante tener una copia de seguridad de tus datos completa y actualizada!