Qué Vida Ésta

Hoy en día sigue existiendo la idea de que por el hecho de ser o autoproclamarse hacker, se tiene un alto nivel informático y uno tiene una especie de halo cool, con un aire de peligrosidad amenazante, que puede ser letal para cualquier servidor en la red.

Lo cierto es que el 99% de los hackers, y un 100% de los que presumen de ello, son simples followers de agujeros que descubren otros y que comparten por canales propios y listas de distribución,  como cualquier otra comunidad. En definitiva, son meros ejecutores de descubrimientos de otros, lo que vienen a ser lurkers.

Un día cualquiera, en un servidor dedicado con el puerto 22 abierto, se ecuentran cosas en /var/log/auth.log como:

Aug 31 16:39:07 localhost sshd[7273]: Invalid user test from 119.70.132.135
Aug 31 16:39:07 localhost sshd[7273]: (pam_unix) check pass; user unknown
Aug 31 16:39:07 localhost sshd[7273]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.70.132.135
Aug 31 16:39:09 localhost sshd[7273]: Failed password for invalid user test from 119.70.132.135 port 21700 ssh2
Aug 31 16:39:11 localhost sshd[7275]: Invalid user webmaster from 119.70.132.135
Aug 31 16:39:11 localhost sshd[7275]: (pam_unix) check pass; user unknown
Aug 31 16:39:11 localhost sshd[7275]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.70.132.135
Aug 31 16:39:13 localhost sshd[7275]: Failed password for invalid user webmaster from 119.70.132.135 port 21870 ssh2
Aug 31 16:39:15 localhost sshd[7277]: Invalid user username from 119.70.132.135
Aug 31 16:39:15 localhost sshd[7277]: (pam_unix) check pass; user unknown
Aug 31 16:39:15 localhost sshd[7277]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.70.132.135

Son ataques automáticos, que hacen intentos de entrar en el sistema con passwords comunes para usuarios que pueden ser típicos, como “test”, “webmaster” o “root”. Sin embargo, salvo que hayas puesto como contraseña 1234 o aaaa, no habrá mayor problema, aunque siempre es recomendable tomar medidas, como sólo abrir el puerto para distintas IPs o cambiarlo de número, con lo que habrá ataques pero en menos cantidad y más manuales.

Hoy he tenido la mala pata de tener una versión antigua de phpMyAdmin y alguien se aprovechó de esa vulnerabilidad, logrando hacer algunos destrocillos menores en el servidor que aloja este blog. Se notaba que era de poca monta porque cometía errores absurdos, tales como codificar mal algunas instrucciones que pasaba por url, con lo que fallaban. Tengo localizado el servidor desde donde atacó, con bastantes sospechas de que puede ser el suyo propio, pero la verdad es que meterse en un fregao de este tipo requiere tiempo y al final no se consigue nada.

La suerte que tenemos es que salvo que seas una gran corporación, un banco o similar, siempre te tocarán hackers de poca monta, que sí, molestan, pero mirándolo por el lado bueno, aprendes bastante de tu propio sistema.

Soy un romático y creo en la antigua ética hacker. Dejo las puertas medio abiertas, esperando que algún día entre uno de verdad y deje un .txt diciendo “Adrian Lamo was here”.