Nos ha pasado
Hace algunas horas, La Comunidad DragonJAR y el foro SinfoCol, dos sitios donde se comparte información de seguridad informática en Colombia, sufrieron una brecha de seguridad que permitió al grupo argentino TurroSec (quienes se atribuyeron el ataque) poner un "bonito" cartel en ellos.
¿que hacer cuando cosas así pasan?
Lo primero que debemos hacer en estos casos es mantener la calma, esto pasa hasta en las mejores familias y sin dejarse alterar por los hechos iniciar la investigación correspondiente.
Los pasos a seguir:
- Utiliza un computador y una conexión diferente a la que normalmente usas, ya que estas pueden estar comprometidas.
- Aislar el servidor para evitar modificaciones mientras se trabajaba sobre el.
- Descarga los logs del sistema para su posterior análisis
- Suspende una a una las cuentas del servidor para activar solo las que pasen por tu revisión.
- Restaura un backup reciente.
- Utiliza expresiones regulares o herramientas especializadas para buscar webshells en tu sistema.
- Cambia todas tus contraseñas, incluso las que no se vieron afectadas en el incidente.
- Si utilizas un CMS como es el caso de la comunidad, elimina todos los archivos de su instalación y reemplazados por una copia limpia de la pagina oficial.
- Revisa los logs en busca de conexiones sospechosas que puedan darte indicios de como se cometió el ataque, enfócate primero en las fechas mas cercanas al incidente y luego ve analizando fechas anteriores.
- Actualiza el sistema operativo de tu servidor y realizar procesos de hardening para cada servicio, los servicios que no uses simplemente desinstálalos o detenlos.
- Finalmente pon en línea de nuevo el servidor, habilitando solamente los sitios a los que le realizaste los anteriores pasos.
Es posible que no encontraras y taparas todos los agujeros de seguridad y que vuelvan a dejar el bonito anuncio en tu pagina, no te preocupes, solo repite los pasos hasta que encuentres la fuente del problema.
En cuanto al defacement de la comunidad, cabe aclara que aunque es probable que se tuviera acceso a las bases de datos, la información publicada como leak no tiene relación con los registros en la comunidad o la información almacenada en ella.
Con el tema de las cuentas personales y en especial por la publicación de una cuenta en concreto, se descubrió una brecha de seguridad que no tiene que ver con el servidor, pero esta situación ya esta siendo atendida, afortunadamente y gracias a la autenticación de 2 pasos, no paso a mayores.
Pd. mientras reviso a fondo el foro, el dominio comunidad.dragonjar.org estará re direccionando a www.dragonjar.org, pero no se ha perdido información ni de registros ni de aportes. - Listo
Espero que al igual que el artículo con Los ERRORES que me costaron un MacBook Pro, aprendamos de esta Situación y sirva de guia para quienes puedan pasar por un caso similar.
Es mas fácil destruir que crear, agradezco a quienes han mostrado su apoyo, y quienes no tranquilos que comunidad tendremos para un buen rato...