Casi siempre todo funciona bien, el servidor es robusto y responde sin muchas preocupaciones pero el problema llega cuando uno de estos robots se vuelve loco. Seguramente esta locura es producida por algún cambio en alguna variable que fuerza el número de escaneados diarios que realiza el bot, de esa forma el humano “snifante” prueba con diversos valores subiendo a veces sin saberlo la cantidad de peticiones por minuto de forma exponencial, el no ve las repercusiones en el servidor de origen, probablemente se dice, que bien ahora así tengo el contenido nuevo tan pronto como se publica, si soy el primero posiciono mejor, lo voy a dejar así. Y sin saberlo está haciendo un ataque DDOS o de denegación de servicio.

En este caso concreto es tal el consumo que en hora punta de tráfico las peticiones se enletecen hasta más allá de los 3 segundos por página peticionada.

Lo primero es detectar que algo paso, esto por suerte te lo dicen los clientes del servicio web en cuestión con emails técnicos del tipo:

“La web va lenta”, “La web va como el c…”

Recibido el tercer email de este tipo y tras comprobar que no es un problema de la conexión del cliente hacia la red, que también reportan, toca averiguar que está pasando.

1. Vemos el estado de saturación de la máquina. En Windows con el Administrador de Tareas.

2. Lo primero es ver que tal estamos de RAM, que consumo tenemos.

3. Luego vemos el espacio en disco que nos queda

4. El consumo de CPU

5. Ahora vamos a ver con ese mismo administrador de tareas que “programas” son los que más consumen

Si es MYSQL y la RAM va cargada tocará ampliar RAM, al igual de que si es disco.

Si es APACHE y la CPU va saturada, pues tocará ver cuantas peticiones y de quien son recibe el servidor web.

Para conocer cuantas peticiones recibe nuestro server hay muchas cosas y programas, pero en este caso no hay ningún sistema estadístico instalado, bueno si, Google Analytics, el cual pinta y colorea los datos que da gusto, pero a nivel técnico no nos sirve pues estamos buscando excesos y errores y me da a mi que Analytics los obvia, a saber porque con la todopoderosa y sus manías, que ya me cansan.

Aunque no tengamos nada instalado en server siempre nos podemos bajar los archivos de log del Apache para analizarlos en casita, con nuestra maquinita.

Ten en cuenta que estos archivos pueden ser gigantes, depende de como esté configurado el server, los hay con rotaciones y sin, pero puedes encontrartes con archivos de 2Gb. en servidores de alto tráfico, lidia con ellos si puedes. Lo mejor es rotarlos manualmente en el momento de máximo tráfico o ataque.

Para ello, detén el servicio de Apache, renombra los access.log y error.log y vuelve a iniciarlo, dejarás a tu cliente sin servicio un minuto escaso. Aguanta un ratito con el ataque, un par de horas a lo sumo, y vuelve a hacer lo mismo, de esa forma tendrás una muestra sanguínea del ataque o del momento de saturación del server y trabajarás única y exclusivamente con esos datos, localizando más rápidamente si existen direcciones IPs que un consumo excesivo de datos.

De Windows a Ubuntu y tiro porque me toca

Una vez muevas ese log a una carpeta accesible por FTP o HTTP faltará bajártela para analizarla en tu flamante workstation Ubuntu, que mola más que un OS X… al menos más que un Snow Leopard, pues falta ver si este próximo lunes día 6 de Junio lo que nos maravilla OS X Lion de la mano de Steve Jobs, palabra de AppleFun arrepentido venido a Ubuntu.

Analizando los archivos .log de Apache

Para analizarlo en nuestro Ubuntu vamos a usar Webzilla, para instalártela:

sudo apt-get install webalizer

Luego la configuramos con un:

sudo gedit /etc/webalizer/webalizer.conf

Aquí en principio sólo falta tocar el lugar, ruta y archivo donde está el access.log

LogFile                   /var/www/logs-para-analizar/access.log
OutputDir              /var/www/webalizer
Incremental           yes

Grabamos y ejecutamos el Webalizer con un complejísimo, es broma:

sudo webalizer

Unos segunditos y tachán, apunta tu navegador a:

http://localhost/webalizer

Selecciona el mes actual, y en la siguiente pantalla la opción “Clientes” aquí verás las IPs que han visitado más la página durante el ataque o la bajada de rendimiento del server, busca las más abultadas que vamos a revisarlas.

Ahora nos faltará saber el Quién es quién de cada IP

¿Quién es quién?

Para eso podemos usar varias opciones, entre ella una via web:

http://whois.domaintools.com/67.195.112.52

Donde 67.195.112.52 es la IP sobre la que quieres conocer información y la otra es usar las herramientas de red del sistema que incorpora Ubuntu.

Con ellas puedes realizar un WHOIS, un LOOKUP , etc.

Si entras en “Explorar los puertos”, cosa que tarda un rato podrás también detectar si detrás hay un servidor web, un servidor FTP, o un emule abierto. Datos que te permitirán determinar con algo más de certeza si se trata de una empresa o un usuario.

También puedes rastrear la ruta para más o menos ver de donde es el país de origen, si este por ejemplo es de Ukrania o de la conchinchina probablemente se trate de un buscador en el que no te importe perder posicionamiento.

Cuidadín cuidadín con los GoogleBots y familia

Pues eso, asegúrate que de todas esas IPs no te apuntes ninguna que sea de un buscador conocido en el que te quieras posicionar, pues si la anotas y luego la baneamos perderás el posicionamiento en ese buscador pues tu Apache no le dejará entrar.

Ya tenemos las IPs localizadas y correctamente anotadas, ahora vamos a banearlas

Baneando IPs en Apache bajo Windows

Bueno esto a decir verdad es más o menos igual en Windows que en Linux que un radiocassette donde sea capaz de correr Apache.

Busca el fichero de configuración de Apache httpd.conf

En la sección Directory

Introduce al final, justo antes del cierre de la directiva </Directory> y una en cada línea la siguiente instrucción:

deny from TU-NO-PASAS

por ejemplo si quisiéramos banear a Yahoo, NO lo hagas!

deny from 67.195.112.52

Graba el fichero y reinicia Apache, en Windows desde “Accesorios -> Herramientas del Sistema -> Servicios -> Apache” botón de la derecha reiniciar.

Listas negras de IPs malignas

También de paso y por el mismo precio que nos ponemos a banear, una práctica aceptable sería el banear sistemáticamente aquellas IPs que se han detectado en el mundo recientemente como IPs malignas.

Yo he sacado una lista desde:

http://isc.sans.org/ipsascii.html

y desde:

http://isc.sans.org/sources.html

Baneando que es gerundio.

Páginas relacionadas con este artículo:

1. Test de carga web
2. Personalizar un virtual host de Apache bajo Plesk
3. Bloquear muchos intentos fallidos de acceso a servidor

Os pongo en antecedentes sobre el cliente, tengo un cliente, buen pagador y mejor persona , pero relajado en exceso, en su empresa cuenta con varios cambios de personal que han incidido en explicar y reexplicar ya ha demasiadas personas como se deben hacer las cosas, tanto se ha relajado que ya estamos fuera de garantías, aún así me viene constantemente con cambios, algunos ridículos como el que os presento en este email y revisiones de un proyecto transcurridos más de 11 meses de la entrega, vaya, con tanto cambio y relajación que ya va colmando el vaso, la jarra y la cisterna, por buena fe se le presta servicio aún a sabiendas de que se están columpiando estudiaré una limitación seria en el tiempo una tarifa plana para evitar esas sensaciones de agobio.

Bueno, tras esa primera descarga hoy la cosa ha ido de la siguiente manera tras el email de un cliente en el que me invitaba, no de muy buenas formas sino de forma imperativa, todo hay que decirlo, a quitar los enlaces de una tienda virtual creada bajo ecoommerce.com hacia mi página web, es decir la página del creador de la aplicación.

Mi respuesta ha sido la siguiente:

Esto es así, no se puede modificar.

Escueta y la verdad crispada, para que ocultarlo. El me ha preguntado que ¿cómo es eso de que no se puede modificar? a lo que le he dado la siguiente respuesta

Pues eso, el programa que monta la web tiene una marca y en este caso tiene enlaces a su creador, el cliente puede eliminar, con sus medios, si así lo desea la marca, al igual que puedes eliminar con triquiñuelas el logo de arranque de Windows o arrancar el escudo de la marca de un vehículo, o la marca de un televisor.

Su respuesta a este email ha sido un : ok, no tenía importancia… hablando se entiende la gente, lo sabemos todos, pero ¿hace falta tener todas y cada una de nuestras acciones más aún cuando se trata de defender nuestros trabajos y con ello crecer?

¿La conclusión? Vosotros mismos, la mía pues para empezar creo la Categoría de “Gestión de clientes” en este blog, y ya os iré explicando

Páginas relacionadas con este artículo:

1. Creador visual de CSS3
2. Posicionar tienda online 1
3. Visor de imágenes con efectos y jQuery

Protegiendo Apache, FTP y los servidores de correo con Fail2Ban

Funciona de una forma muy sencilla, Fail2Ban lee los archivos de log de accesos por password o los errores del fichero de errores de apache error_log vetando a través del Firewall aquellas IPs que fallan muchas veces

Para instalarlo, desde Ubuntu o Debian:

sudo apt-get install fail2ban

Páginas relacionadas con este artículo:

1. Baneando direcciones IPs en Apache bajo Windows
2. Test de carga web
3. Optimizar servidor MySQL

RIPLinux es a pesar de su nombre una muy viva distribución de Linux enfocada a resucitar sistemas operativos bajo Linux o discos duros que se han corrompido, incluso puede tirar arriba el tiempo suficiente para rescatar información un disco con sectores destrozados, ocupa muy poquito, 180 Mb. lo puedes descargar de:

http://www.tux.org/pub/people/kent-robotti/looplinux/rip/

Para grabarlo en un Pendrive, pues hoy en día eso de los CDs es una pega, al menos con tanto Netbook y tablets sueltos. Ejecuta el siguiente comando tras bajar el archivo:

Recuerda modificar tanto el nombre de la ISO por la que tu te bajes ya que hoy es la 11.3 pero mañana será la 11.4 así como el destino, en nuestro caso el pendrive USB que ha sido montado en: “/dev/sdc”

Para saber donde se ha montado el dispositivo puedes utilizar “Utilidad de discos”, al comando dale siempre el dispositivo raíz donde está la MBR del pendrive no el “1″, para ser claros en nuestro caso la utilidad de discos nos dice “/dev/sdc y /dev/sdc1″ siendo este último el que tiene el espacio libre, pero para que el USB sea autorrancable siempre debe ir en la MBR o partición de arranque (Master Boot Record)

Podrás arrancar RIPLinux tanto en entorno gráfico como en línea de comados, algunos de los programas que incorpora son:

• cdrwtool, mkudffs y pktsetup para permitir escritura en medios ópticos
• fsck.reiserfs y’ fsck.reiser4 para comprobar y reparar sistema de ficheros reiserfs y  reiser4.
• xfs_repair para reparar un sistema de ficheros de Linux xfs
• jfs_fsck para comprobar y reparar un sistema de ficheros de Linux jfs
• e2fsck para comprobar y reparar un sistema de ficheros Linux ext2 o ext3
• ntfsresize para redimensinar sistemas Windows NTFS sin pérdida de datos
• ntfs-3g para poder escribir en sistemas Windows NTFS
• chntpw permite ver información y passwords de usuarios en sistemas Windows.
• cmospwd permite recuperar password desde CMOS/BIOS

Suerte y Viva Linux aunque RIP lo llamen.

Páginas relacionadas con este artículo:

1. Programas gratis alternativos
2. Saber el uptime en Windows
3. Recuperar archivos borrados en Ubuntu

Las claves, dichosas claves que abren las puertas hacia tu información más íntima y personal.

Cada cual con su clave, desde aquellos usuarios que utilizan el número de Visa para todo, hasta los olvidadizos que recurren al número de su portal, los confiados que utilizan el nombre de su hijo, los que se sienten precavidos y añaden un número a su clave por aquello de tener mayores combinaciones, otros utilizan cálculos de mayor o menor complejidad, son los matematicosos (palabra acuñada en tiempo de ejecución… ) para llegar a los mejores los randoms aquellos que la generan según sopla el viento, y por supuesto si no la anotan la olvidan en cuestión de días, si la anotan pierden mi adoración, si  son capaces de recordarlas por siempre me rindo a sus pies, yo sólo recuerdo y algo me cuesta la matrícula de mi coche, aunque ahora no recuerdo si finalmente vendí mi coche.

Ahora bien, para todos aquellos humanos de corta memoria y olvidadizos passwords se crearon los formularios de recuperación de claves, esos cerrajeros finos que sin dinamitar la cerradura cual hacker en tiempos modernos son capaces de enviarte de vuelta a tu dirección de email la llave que abre tu paso hacia tu información personal.

Y este artículo no va de otra cosa que de los formularios de recuperación de claves olvidades, los hay de todo tipo, algunos sofisticadísimos, otros aún recorren al viejo sistema de la pregunta secreta, si bien la mayoría han evolucionado hasta llegar al punto de inicio, escribe tu email, te lo envío con un enlace, pinchas en él y te cambio la contraseña por una que recuerdes mejor.

Así pues vamos a ver los diferentes formularios de recuperación de claves de los servicios más famosos de internet, los comentarios sobre los diferentes servicios son un tanto experimentales y aleatorios, haced omiso caso:

Recuperación de claves en Google

Primero la todopoderosa Google, el mal encarnado en bits y bytes

Recuperación de claves en facebook

Después el fenómeno social, club de chafarderías mundial y el que derrotará a Google, posiblemente.

Recuperación de claves en Twitter

El listo de la clase, Twitter, el único que de momento cobra por ser indexado

Recuperación de claves en Tuenti

El club social de los que suben, de los adolescentes, de sabor español y gran proyección

El formulario de la siempre elegante Apple, esa manzana que un día mordí y quedé prendado hasta que sólo Ubuntu supo rescatarme, aunque me planteo volver, el iPad, es, tán, chuuuulo.

Nadie usa ya el sistema de las preguntas secretas

En resumen, hoy nadie usa el sistema de las llamadas preguntas secretas, del estilo de ¿Cual es el nombre de pila de tu abuela materna? o ¿Cual es tu película favorita?

¿Por qué… te preguntarás?

Porque la respuesta deja de ser secreta en el momento que está escrita o que es o puede llegar a ser común entre muchos humanos, o no es “El Padrino” la película favorita de los muchos bípedos que pueblan el planeta.

Páginas relacionadas con este artículo:

1. Recuperar archivos borrados en Ubuntu
2. Buy Nexus One
3. Hemerotecas de prensa española

Más rumores en contra de la “in-seguridad” de la todopoderosa, según se puede leer en más de un medio de comunicación tras los últimos acontecimientos que afectaron a la integridad de Google se intuye que la empresa norteamericana tiene una puerta trasera abierta o backdoor desde la que el gobierno puede acceder para realizar tareas de investigación sobre los usuarios de su servicio de correo electrónico Gmail.

Cuentan por la red que esta supuesta “funcionalidad” fue la que utilizaron los hackers chinos para acceder al sistema, ¿será esto verdad? y si lo es ¿es legal?  avisan a los usuarios del uso de estas políticas de invasión personal y espionaje explícito en las condiciones de uso que firmamos digitalmente al acceder a Gmail, aunque siendo francos esas condiciones nadie se las lee porque son más aburridas incluso que un prospecto del Gelocatil en latín.

Enlace a la noticia (en inglés): http://www.cnn.com/2010/OPINION/01/23/schneier.google.hacking/index.html

Páginas relacionadas con este artículo:

1. Google al cuadrado = problema de seguridad
2. Google te lee los correos
3. Compilador JavaScript de Google

Todo ha sucedido cuando he decido ver si el nuevo teléfono móvil de Google, el Nexus One ya se vende en los mercados chinos, para ello he buscado en el buscador de la todopoderosa la frase en Google “buy nexus one“:

http://www.google.es/search?aq=f&sourceid=chrome&ie=UTF-8&q=buy+nexus+one

El primer resultado me lleva a “acreativeconcern.com” una web de un diseñador gráfico que posiblemente ha sido hackeada por algún hacker chino, el

http://acreativeconcern.com/nhw.php?p=buy%20nexus%20one

Al entrar en esta página se te redirige a:

Donde un mensaje en javascript, un alert barato te informa de que tu PC tiene virus, ahora si cancelas el mensaje irás a una pantalla muy muy trabajada:

Con una animación de primera que emula una ventana de XP con virus para all final lanzarte un alert de que debes escanear el sistema. Si pulsas sobre Remove te bajará un archivo, probablemente infectado o con algo como mínimo dudoso.

Si bien al intentar descargar el arhivo el navegador Chrome parece que se da cuenta de que hay algo raro y te lanza el siguiente mensaje:

Por probar hemos intentado llamar al root de la dirección redirigida y tachán:

No hay nada en el root de la web de: http://www1.real-pcscannow.net es decir si la variable “p” no contiene un valor concreto no muestra nada.

Al realizar un WHOIS sobre ese dominio vemos que es de procedencia china, por lo de “cn” en el nombre de dominio:

Domain Name: REAL-PCSCANNOW.NET
Registrar: BIZCN.COM, INC.
Whois Server: whois.bizcn.com
Referral URL: http://www.bizcn.com
Name Server: NS1.EVERYDNS.NET
Name Server: NS2.EVERYDNS.NET
Status: clientDeleteProhibited
Status: clientTransferProhibited
Updated Date: 12-jan-2010
Creation Date: 12-jan-2010
Expiration Date: 12-jan-2011

Ahora vamos a tratar de abrir: www.bizcn.com para ver quien hay detrás:

Y tachán:

Una empresa de registro de dominios probablemente china, cuyo nombre según el WHOIS de ese dominio es: Xiamen Longtop Online Technology Co,.ltd esta empresa se está aprovechando del tirón mediático del teléfono para infectar ordenadores de aquellos que piquen en su trampa, si bien hay que decir que el posible usuario de Android sea bastante avanzado y quizá se salve de caer en esta trampa.

Si bien no sabemos si realmente  es esta empresa es la responsable del Phising o bien si se trata sólo de la empresa registradora del dominio lo que más nos preocupa es cómo el buscador de la todopoderosa Google falla estrepitosamente mostrando ese primer resultado ante una búsqueda sobre un producto de la propia compañía, un producto en el que Google debería tener todo el control, tal y como Apple lo tiene sobre iPhone, además ese resultado te conduce a una redirección, y para mayor novedad esta redirección contiene software malintencionado. Además el segundo resultado también te llevará al mismo resultado.

Actualización: Hoy día 14 de enero aún figura la web que redirecciona al malware si bien ya ha descendido al segundo lugar

Muchas preguntas sin respuesta se nos suceden una tras otra:

¿Cómo es posible que Google indexe bajo “buy Nexus One” la web de un diseñador que poco o nada tiene que ver con el teléfono Google Nexus One equipado con Android?

¿Cada cuanto Google revisa sus resultados, la consistencia y variabilidad de los mismos?

¿Google no puede posicionarse a si mismo el primero, como normalmente creo que hace?

Y la mejor pregunta de todas:

¿Google necesita un buen SEO para posicionar su página dentro de su propio buscador?

Páginas relacionadas con este artículo:

1. Google Native Client
2. Tienda de aplicaciones web
3. Desarrollo multiplataforma para móviles

Bueno aquí tenemos una nueva curiosidad, la lista con los países de mayor producción de spam del planeta, los enlaces te llevarán a la página web original de donde se han extraído los datos, en estos enlaces puedes incluso obtener un fichero. htacces con el que podrás bloquear dichos accesos, si bien no sabemos si  estos ficheros prohíben todo el tráfico sistemáticamente o tan sólo contienen los rangos de los orígenes de los ataques con SPAM. Así que nuevamente “protegiendo que es gerundio”

Es curioso a la vez que revelador observar como además de china donde obviamente el imponente número de habitantes influye, incluso a pesar de que la mayoría de su población es rural y por tanto con dudoso acceso a la red, la mayoría de los países que figuran son países en vías de desarrollo, tales como la India o Brasil. Si bien el spam esstá mal visto quizá sin querer hacer apología del mismo tiene su clara contrasprestación económica traduciendo en resultados, por aquello de que si anuncio a 1.000.000 de personas de que vendo tonterías seguro que el porcentaje de conversion de personas a tontos no es del todo despreciable.

Esta lista ha sido extraída de: http://www.countryipblocks.net/information/top-ten-global-spammers/

Páginas relacionadas con este artículo:

1. Banderas de países en formato icono

Una estrategia que puedes componer en base a que dominios tiene registrados, cómo los tiene desarrollados, hacia donde apuntan, etc.

Existen algunas herramientas online que te proveen de dicha información, realizan lo que se denomina una REVERSE IP, donde introduces una IP y te lista los dominios que hay tras de ella, si bien algunas de las que siempre habíamos utilizado, ahora son de pago. Este es el caso de DomainTools, donde antes era tan fácil como utilizar el siguiente enlace:

http://www.domaintools.com/reverse-ip/?hostname=dominio.com

Por este motivo os descubrimos una herramienta gratuita para saber que hay detrás de una determinada dirección IP. Esta herramienta es el propio buscador Bing la competencia de Google

Para conocer que dominios hay alojados tras una dirección IP tan sólo deberás escribir en el casillero de búsqueda “ip:número.ip” por ejemplo: “ip:209.85.229.104″ (sin las comillas, obviamente)

http://www.bing.com/search?q=ip%3ALA.IP.A.BUSCAR&go=&form=QBRE&filt=all

Importante no obviar el código %3A que corresponde a los dos puntos “:” de “ip:…”.

Sed buenos.

Páginas relacionadas con este artículo:

1. El precio de los dominios .CAT
2. Saber que es lo que tarda en descargar
3. ¿Qué se dice de mi sector?