Aquí van 2 artículos de hoy:
(el último siempre resaltado)
Problemas al subir archivos de cualquier tipo o enviar adjuntos
• 09/06/2009 Archivado en : Noticias @ 13:08
Dicen que los problemas nunca aparecen solos y podemos dar fé de ello hoy mismo. En este momento estamos pendientes de la resolución de una incidencia grave que impide realizar uploads de archivos (SCP, FTP, PHP, SMTP con adjuntos, etc...). Es un problema ya enfocado en nuestro acceso a Internet y estamos ya trabajando conjuntamente con nuestro ISP para solucionar esta cuestión.
Localizado y erradicado por completo problema de conectividad
• 09/06/2009 Archivado en : Noticias @ 12:21
Los problemas nunca aparecen solos: a raiz de la incidencia de conectividad, descubrimos una falla en nuestra configuración de nuestra Red de Switches, la cual quedó solucionada ayer tras un corte de unos 50 minutos aproximadamente. Nos figuramos que éste era el problema que originaba la extrema lentitud de carga de algunos servidores (no todos) y la sobrecarga de tráfico, pero no era así (IMPORTANTE LECTURA).
El problema finalmente venía de más adentro... tras la aplicación de Exec_dir en nuestros servidores (lease esta noticia), practicamente no hemos tenido problemas de Hacking o ejecuciones no deseadas de código en nuestros servidores. No obstante, como se lee en la noticia en cuestión, algunos clientes (a lo sumo 1 o 2 por servidor, y a veces siquiera eso) quedaban exentos de la aplicación de esta configuración por el uso de plataformas TPV o pasarelas de pago que precisaban de la ejecución de binarios de una forma concreta.
Con la ayuda de nuestro ISP Terremark y gracias igualmente a un reporte de terceros, conseguimos averiguar que se trataba de un ataque DoS UDP, llamado normalmente UDP-Flooding, pero en esta ocasión el ataque "nacía" en uno de nuestros servidores e iba dirigido al exterior, lo cual indirectamente, causaba igualmente desbordamiento de datos en algunos segmentos de nuestra Red y en consecuencia los problemas de conectividad que desde ayer estudiábamos.
Averiguar el origen del ataque en el servidor no ha sido tampoco tarea fácil... primero hemos desactivado todos los accesos SSH de clientes del servidor y monitorizado tareas cron, histórico de comandos, etc, sin encontrar rastros.. Posteriormente, y por deducción lógica, hemos llegado a descubrir que todo consistía en un típico Hacking a la web de un cliente, empleando una vulnerabilidad conocida en un foro SMF no actualizado, y usando PHP-Shells aprovechando que dicho cliente tenía nuestra configuración de seguridad desactivada por su uso de plataformas TPV de pago, lo cual resulta lamentable y va a hacer que reconsideremos muy seriamente hasta qué punto prioricemos el uso de software no incluido en contrataciones de Hosting frente a la aplicación de nuestras políticas de seguridad. Y es que está claro que nosotros si nos preocupamos de la seguridad, pero clientes que solicitan estar exentos de estas medidas de seguridad por una u otra cuestión despues descuidan la sencilla administración de sus webs y sitios CMS, manteniendo códigos desactualizados y con bugs de seguridad que representan basicamente una puerta abierta a cualquier Hacker/Lammer malintencionado.
Ya hemos descubierto lo ocurrido y preveemos que no ocurran en lo sucesivo nuevos problemas similares. Es muy factible que estas excepciones de aplicación de Exec_dir debido a TPVs desaparezcan debido a lo ocurrido y ya estamos estudiando posibles soluciones.
