Protección para la vulnerabilidad XML-RPC de WordPress

Llevo unos días con el servidor en el que se aloja este blog y otros (todos desarrollados en WordPress) caído por intervalos, con un consumo tan alto de CPU que a veces no podía ni conectarme a la máquina para poder administrarla.

Cuando conseguí conectarme y ejecutar un htop (un top mejorado) había una gran cantidad de procesos de Apache, que por separado consumían pocos recursos pero todos juntos estaban tirando la máquina.

Al detener el servicio de Apache pude ver que la máquina se estabilizaba; es decir, algo estaba sobrecargando el servicio de Apache.

Tras analizar la últimas entradas del log había una gran cantidad de peticiones por segundo desde diferentes IP que ejecutaban

“POST /xmlrpc.php HTTP/1.1”

Este ataque es conocido desde hace tiempo y se aprovecha de una funcionalidad de WordPress que implementa XML-RPC.

La solución es sencilla, y simplemente hay que desabilitar la llamada al PHP xmlrpc.php mediante una configuración de Apache en el .htaccess en cada uno de los sitios creados con WordPress:

# protect xmlrpc
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

Si quieres habitar alguna IP para poder usar las funcionalidades del xmlrpc.php simplemente hay que permitir el acceso a esas IP:

# protect xmlrpc
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
Allow from 11.22.33.44
Allow from 55.66.77.88
</Files>

Backups en MySQL automatizados con AutoMySQLBackup

MySQL backup AutoMySQLBackup

Voy a explicar cómo realizar backups o copias de seguridad  de MySQL de forma automática con la herramienta AutoMySQLBackup en Linux.

AutoMySQLBackup permite crear, con una configuración básica, copias diarias, semanales y mensuales de una o de varias bases de datos MySQL en uno o en varios servidores MySQL. Además permite:

  • Notificar la ejecución de las copias de seguridad por correo electrónico.
  • Comprimir y cifrar las copias de seguridad.
  • Rotar las copias de seguridad.
  • Realizar copias de seguridad incrementales.

Sobre los sistemas automáticos de seguridad en el transporte ferroviario

Me imagino que tendréis información de sobra sobre el accidente ferroviario ocurrido en la tarde del 24 de julio cerca de Santiago de Compostela. Parece que el descarrilamiento del tren se debió al exceso de velocidad al tomar la curva. Los medios de comunicación, con sus habituales todólogos, ya se están encargando de lapidar al maquinista (me recuerda a la mítica portada de la mirada del asesino que no era), por lo que yo casi que paso de analizar nada de esto. No me voy a poner a analizar los sistemas ERTMS, ASFA, incompatibilidades entre ellos, ausencia,…

Solo quiero dejar una reflexión/pregunta: ¿Cómo es posible que en el año 2.013, en el que ya es legal que un coche circule sin conductor o un avión aterrice con control automático, con las ingentes cantidades de dinero que se invierten en el transporte ferroviario, sea posible que un error humano pueda provocar una catástrofe como ésta y que no esté todo automatizado para reducir la velocidad, detener el tren o tomar las medidas de seguridad adecuadas? Al final pagará el maquinista del tren, pero las responsabilidades deberían de buscarse mucho más arriba, sobre todo en los técnicos y políticos que permiten estas situaciones.

Antivirus por hardware

Escuchando el capítulo 5×08 del podcast “El amuleto de Yendor” sacan un tema que me parece interesante, y que es el de la protección contra virus y demás malware a través de sistemas hardware que no puedan ser atacados por software. Haciendo una búsqueda rápida veo que algo se ha trabajado, pero que por ahora no hay soluciones usables. Dejo un enlace interesante, que trateré de analizar en un artículo: Skynet, a Tor-powered botnet straight from Reddit.

Contraseña de longitud máxima

Tanto para la generación de las contraseñas como para su almacenamiento y gestión utilizo software, con lo que mis contraseñas suelen ser bastantes largas.

Estaba cambiando la contraseña de un panel de control de uno de los proveedores web más grandes de España (mejor no dar nombres) cuando me encontré con uno de esos casos raros: limitar la longitud de la contraseña a 12 caracteres; es algo que no entiendo si no es que mantienes las contraseñas almacenadas en plano en tu base de datos, ya que el hash que utilices (con sus salts correspondientes y demás parafernalia) ocupan lo mismo si es de 5 caracteres que si es de 50.

Sobre la inteligibilidad del Captcha mejor no comentar nada.

Solicitud_nueva_contrasena

La tecnología de reconocimiento facial no es tan buena como nos cuentan los de Hollywood

Parece que la tecnología de reconocimiento facial no es tan buena como nos cuentan en tantas películas de Hollywood, donde a partir de una imagen pixelada consiguen obtener una totalmente nítida. El jefe de policía de Boston acaba de comentar que los sistemas de reconocimiento facial no pudieron identificar a los dos sospechosos del atentado, a pesar de disponer de imágenes suyas de alta calidad en las bases de datos, ya que las imágenes contra las que se contrastaron eran de baja calidad, con bastante grano, obtenidas con teléfonos móviles o con sistemas de videovigilancia.

Facial recognition systems can have limited utility when a grainy, low-resolution image captured at a distance from a cellphone camera or surveillance video is compared with a known, high-quality image.

En 1 año finaliza el soporte de XP o cómo proliferará el malware en abril del 2014

Dentro de 1 año Microsoft finaliza el soporte de Windows XP. Muchos equipos seguirán funcionando en Windows XP, sin tener actualizaciones de seguridad para las nuevas vulnerabilidades que aparecerán. El mismo Microsoft indica a qué se arriesgan los usuarios que no actualicen a una versión más reciente de Windows.

El uso de software sin soporte supone no recibir soporte público de ningún tipo desde Microsoft, ni actualizaciones de seguridad ni parches de resolución de incidencias. Con ello, sus sistemas se hacen vulnerables y pueden someter a su empresa y a sus clientes a riesgos.

Lo dicho, dentro de un año proliferará el malware destinado a Windows XP si Microsoft no pospone esta finalización del soporte.

Cómo me convertí en un cracker de contraseñas

Un artículo muy interesante (y largo) de Nate Anderson, periodista de Ars Technica, en el que explica cómo en 1 día aprendió a crackear contraseñas, una labor que por lo que parece está mucho más cerca del trabajo de los script kiddies que de los hackers. El reto que superó:

Could I, using only free tools and the resources of the Internet, successfully:

  1. Find a set of passwords to crack
  2. Find a password cracker
  3. Find a set of high-quality wordlists and
  4. Get them all running on commodity laptop hardware in order to
  5. Successfully crack at least one password
  6. In less than a day of work?