OWNED: Servidor en desarrollo
Uno de nuestros servidores de desarrollo ha sido hackeado como decía hace un rato por twitter. Imagino la cara del intruso al ver cuan sencilla era la contraseña.
Empecemos por el principio, las máquinas de desarrollo no están abiertas "al público", son tan solo eso, máquinas con código en pre-producción en las que trabaja el equipo de desarrollo con lo que la seguridad está bastante descuidada (aún sabiendo que el 90% de los ataques provienen desde dentro, yo me fío de mis compañeros).
Con bastantes frentes abiertos, la verdad ni se me ocurrió repasar todos esos puntos que debería haber repasado -si, entono el mea culpa- antes de abrir el equipo a La Red para que un compañero pudiera acceder desde remoto. Resultado: a las 4 horas el equipo había sido comprometido por un intruso, se había instalado un emech y, a través de IRC, se controlaba la máquina.
¿Cómo me entero?, la buena costumbre que tiene uno de leer logs y pegarle un repaso visual a todas las herramientas de monitorización que hay en cada máquina. Había conexiones abiertas a varios servidores de IRC:
bash 13666 root 1u IPv4 1160909 TCP 192.168.22.12:48391->208.83.20.130:ircd (ESTABLISHED)
bash 13666 root 4u IPv4 1160915 TCP 192.168.22.12:54876->194.109.20.90:ircd (ESTABLISHED)
bash 13666 root 7u IPv4 1158474 TCP 192.168.22.12:44264->208.83.20.130:ircd (ESTABLISHED)
El emech estaba bastante avanzado, se cargó el crontab y en su lugar había algo tal que:
* * * * * /dev/shm/.a/.oracle/update >/dev/null 2>&1
Así que tened mucho cuidado a la hora de abrir vuestras máquinas a La Gran Red (y más en fin de año), porque los scripts no entienden de vacaciones.