Saltar al contenido principal

El regreso de los niños del guión

Durante los últimos meses, el sitio web de JP Software (https://jpsoft.com) ha estado siendo objeto de ataques diarios cada vez mayores por parte de una variedad de aspirantes a hackers ineptos. Originarios principalmente de China, constantemente intentan obtener acceso raíz al servidor o acceso de administrador al servidor de correo.

El motivo por el que intentan hacer lo primero es un misterio (a menos que sea sólo por vandalismo aleatorio), ya que no mantenemos ningún registro de clientes ni información de tarjetas de crédito en el servidor, y no promovemos ningún tipo de política. agenda. Incluso obtener acceso al servidor de correo parece inútil, ya que es bastante fácil encontrar ISP dispuestos a permitirle enviar spam a todos en la creación. Afortunadamente, hasta ahora su estupidez a la hora de seleccionar objetivos ha sido igualada por su ineptitud a la hora de ejecutar los ataques. Aparte de un par de breves ralentizaciones de DOS, no han logrado causar ningún daño ni obtener acceso. Pero son persistentes, así que decidí que era hora de endurecer un poco el objetivo.

Lo primero fue instalar un firewall en el servidor. Tenemos un VPS a través de KnownHost y, aunque me sorprendió un poco descubrir que no teníamos un firewall instalado de forma predeterminada, fue un proceso simple agregar csf/lfd al servidor. Esa acción por sí sola ha eliminado casi todos los ataques al servidor de correo al bloquear (permanentemente) a cualquiera con múltiples intentos de inicio de sesión rechazados.

El siguiente paso fue agregar un proxy delante de jpsoft.com para intentar filtrar al menos algunos de los ataques basados ​​en web. Después de experimentar con varias alternativas, nos decidimos por CloudFlare. CloudFlare se originó a partir del Proyecto Honey Pot y puede identificar y bloquear una variedad de amenazas que incluyen comentarios no deseados, recolección de correo electrónico, inyección SQL, secuencias de comandos entre sitios y ataques DOS (no catastróficos). Todo el tráfico HTTP pasa primero por CloudFlare y, si la solicitud se considera válida y los datos aún no están almacenados en caché en el centro de datos de CloudFlare, se pasan al servidor de JP Software para su procesamiento. Un efecto secundario feliz de CloudFlare es que también actúa como una CDN, lo que hace que el sitio web de JP Software se cargue aproximadamente un 40 % más rápido que antes. Existe una versión gratuita de CloudFlare que ofrece algo de seguridad y la mayor parte de la velocidad, pero optamos por la versión Pro ($20/mes) que agrega más seguridad (y un poco más de velocidad).

Al mismo tiempo, también agregamos un CDN “real” (MaxCDN), para manejar las imágenes png y jpeg de nuestro sitio web, y parte del javascript. Eso y algunos ajustes adicionales del HTML y las imágenes nos dieron otro aumento de velocidad del 50%.

¿Resultado final? Gracias a algunos adolescentes chinos testarudos (pero tontos), JP Software tiene un servidor más seguro que ejecuta nuestro sitio web aproximadamente el doble de rápido que antes.

Si alguien tiene sugerencias sobre pasos adicionales que podríamos tomar, o si tiene preguntas sobre nuestras experiencias con CloudFlare, hágamelo saber.