Servidor hackeado. Análisis del incidente y lecciones aprendidas

El pasado sábado a primera hora de la tarde mi servidor sufrió un ataque de denegación de servicio que dejó el blog innacesible durante aproximadamente dos horas. Paso a relatar lo sucedido:

Análisis

Sábado por la tarde. Saco tiempo libre. Intento entrar al servidor para configurar unas cosillas, pero no responde. Pruebo conectividad, página caida, ssh caido, no responde al ping. Miro el servidor y está apagado. La migración que hice hace unos días también implicó traerme el blog al servidor de casa y hostearlo desde aquí.

Lo enciendo y compruebo que los servicios se han levantado. Me quito la gorra de sysadmin y me pongo la de incident handler. ¿Qué ha ocurrido? No ha podido ser un apagón. El resto de equipos están levantados. Reviso logs, no veo ningún fallo hardware, pero si un apagado controlado hace dos horas. Empiezo a sudar. Me han entrado al servidor y me lo han apagado, pienso. Reviso logs del HIDS, NIDS, nada sospechoso. Últimos accesos, nada.

Me desespero. Y se me encendió la bombillita. Antes de comer mi mujer y el crío estuvieron en el despacho, y después de preguntar me han confirmado que el zagal ha estado trasteando por los servidores. Así que confirmado: le han dado al botón de power y han apagado el servidor.

Lecciones aprendidas

  • No tengo ninguna herramienta que me avise que un servicio se ha caido. Necesito un watchdog o similares que me avise. Si no llego a ponerme a cacharrear en ese momento, podría haber tenido la web caida días. He visto este proyecto de dejar caer un nagios en una raspberry Pi y configurarlo de forma sencilla. No se si es demasiado para lo que necesito pero lo probaré a ver que tal.

  • Necesito mejorar la seguridad física del servidor. Desconectar el botón del power en la placa, alambrada con pinchos envenenados y foso con caimanes con sida también he pensado.

  • Tengo un hacker en casa. De los malos. De los que no les importa destruir cosas. Tengo que canalizar esa afición suya para cosas más constructivas D:

En resúmen, mucho cortafuegos, NIDS, HIDS, hardening, y demás historias, pero la seguridad física del servidor es lo primero que es necesario abordar ;D

social