Gracias Horacio, me gusto el sript de las stats; lo voy a tomar prestado ;P
On 15/1/20 01:34, Horacio Miranda wrote:
On 15/01/2020 12:36 pm, Alvaro Herrera wrote:
Micky Khan escribió:
ALERTA NUEVO VIRUS QUE ATACA LAS BASE DE DATOS POSTGRESQL ELIMINA
TODA LA INFORMACIÓN Y CREA UNA TABLA CON EL NOMBRE "WARNING" DONDE
ALMACENA LA INFORMACION DE CUANTO SE TIENE QUE PAGAR EN BITCOIN PARA
RECUPERAR LA INFORMACIÓN
[https://www.bitcoinabuse.com/…/1KnMcEqCTvQfMzEgnvfZvyprLPc2…](https://www.bitcoinabuse.com/reports/1KnMcEqCTvQfMzEgnvfZvyprLPc2bnvMm8?fbclid=IwAR3880p0ZlkR-kWRUg3WjrbJBALF-umrcZsppE54MfkOKgH5vrvAT5iQ2Iw)
:-( Hace poco tuvimos en esta lista un reporte de alguien a quien le
tomaron la BD de rehén. La sugerencia obvia es mantener todo el
software al día (Postgres y el sistema operativo), tener los firewalls
apropiados, no dejar permisos "trust", restringir lo más posible los
accesos de superusuario, etc.
Lo unico que se me ocurre es que los usuarios se hagan la idea de
bloquear cuentas donde hay mucho acceso desde afuera (esto si es que
hay que tener la base expuesta ).
cerrar los puertos al pais a donde quieres exponer la base ( hay
sitios donde se sacan la lista de redes de un pais ).
dejar los respaldos afuera de las maquinas con respaldos ciclicos (
diarío, semanal, mensual y anual ), en mi caso esto me salvo cuando un
error de contabilidad agregaron un impuesto por error y se dieron
cuenta un año despues. se recupero la data historica y se recalculo el
año en curso.
Poner alertas o mandar un email cuando hay mucho acceso de IP que no
se conocen.
de mi tool box, tengo estas estadisticas para determinar de donde se
meten los usuarios en un cliente que tiene 10.
stats.sh
#!/bin/bash
if [ "$1" == "" ] ; then
N=0
else
N=$1
fi
echo "Getting stats for postgresql-$(date +%a -d "${N} day").log"
grep host /var/lib/pgsql/10/data/log/postgresql-$(date +%a -d "${N}
day").log | awk -Fhost= '{print $2}' | awk '{print $1}' | sort | uniq
-c | sort -n
La salida es algo como Getting stats for postgresql-Wed.log
10 186.11.47.228
34 200.83.220.177
48 190.161.168.165
77 191.126.56.181
105 191.125.18.24
110 191.126.21.19
794 192.168.23.126
2358 190.96.67.242
Todas estas cosas ayudan un poco a darse cuenta que algo esta pasando
pero nada evita que pase si no se parchan las maquinas, tienen claves
faciles y/o permisos muy abiertos. claves como "secret" "Password1"
"qwerty" te las van a pillar y en general uso un generador de claves
para mis sistemas.
Esto lo tengo en mi .bashrc para cuando creo un usuario. hago
genpasswd y lo mejor de todo es que si quiero algo mas largo que 12,
genpasswd 20 por ejemplo.
genpasswd() {
tr -dc A-Za-z0-9 < /dev/urandom | head -c ${1:-12} | xargs
}
Y la lata de dejar el sistema que te mande email todos los días ( es
lata pero una lata necesaria ).... cuando algo raro pasa lo vas a saber.
Activar TLS si puedes.
Y si quieres estar bien seguro que tus claves no estan en un
diccionario. revisen las claves usando este diccionario que uso.
https://crackstation.net/crackstation-wordlist-password-cracking-dictionary.htm
En lo personal cualquier sistema que este botado sin parchar sobre 8
meses, es casi seguro que se lo van a violar, es super complicado
exponer algo sin parches a menos que tengas buenos firewall con un
buen WAF en caso que tengan web server super viejos.
Espero que esto ayude un poco dar awareness de que claves faciles son
faciles por algo....
