SPAM! / Historias del cliente Pirx, I
Con este título, "Historias del cliente Pirx", comenzaré una serie (recuerde, irregular), de historias verídicas, casos reales acaecidos en el día a día con mis clientes, a cada cual más sorprendente (y todos reproducidos sin dar nombres, claro).
Y es que este, en verdad, lo es. Sabía de la exitencia de "botnets", redes de ordenadores zombies secuestrados por algún pirata (no, no es el argumento de una novela de Gibson, es real). Hasta que no ví un día con mis propios ojos el ataque de una de ellas, en mis propias máquinas, creí que era una especie de leyenda urbana que circulaba por ahí, entre los proveedores de hosting ,para justificar la cancelación de una cuenta...
Pirx (esto es, el cliente), vivía una vida apacible, con su página web, en el proveedor Y (buena gente, por cierto). Después de tratar el tema de una web, que aún le sigo haciendo, me ofreció la posibilidad de contratarme el hosting de dos de sus webs ya que, decía, su proveedor en ese momento (Y) le había cerrado el correo por no sé qué cosa de ataque "juacker". Yo le dije, con todo mi morro: "Huy, que raro suena eso... venga, te lo monto en un momento", y al cabo de un día, contrato para aquí y para allá, tenía sus dominios montados.
Al cabo de un hora de tener el dominio dado de alta, con su precioso email, empiezo a notar una actividad regular en la máquina (véase un load average de 2 o así). Y me empiezo a mosquear... Reviso los procesos y veo al MTA (exim) y al antivirus (Clamav) funcionando a toda máquina y consumiendo un montón de recursos.
Y miro el log de correo. Y madre mía lo que había dentro.
Primero creí que era algún tipode ataque estandar. El típico colega con un ordenador y ganas de jorobar. Me meto a cerrar IPs en el firewall. Y rangos de IPs. Y media Francia (wanadoo). Y seguían llegando ataques. Y no era Francia, así que la desbloqueo.
El "ataque", el cual, técnicamente hablando, no era tal, es enviar en forma de SPAM mensajes a cuentas de correo aleatorias en un dominio determinado, como axaxajd@dominio.com, sajfui3ei@dominio.com, esperando, supongo, que alguna acertase y llegase a un receptor. Es una técnica (cutre, sí), usada por algunas redes de spammers: tienen miles de dominios en sus listados, y se dedican a mandar mensajes a millones de direcciones aleatorias, a ver si alguna cuela.
Según estaba configurada la cuenta, todo correo "perdido" llegaba a la cuenta por defecto, previo paso por el antivirus y el antispam (Spam Assassin). Y es que eran unos 1500 correos cada 5 minutos. 1500 correos que desemsablar, observar, eliminar... y eso era mucho para la máquina. Probé a mandarlos al "agüjero negro", es decir, todo correo perdido a la basura, pero nada, el tema seguía más o menos igual.
Así que llamé al cliente y le dije: "quillo, tienes un ataque juacker, alguien te quiere mal". Le quité el servicio de correo para ese dominio, le puse un .com.es al efecto, y menos de lo que se tardar en modificar una zona DNS, todo había vuelto a la normalidad... como por arte de magia.
Cosas veredes, amigo Sancho...
Y es que este, en verdad, lo es. Sabía de la exitencia de "botnets", redes de ordenadores zombies secuestrados por algún pirata (no, no es el argumento de una novela de Gibson, es real). Hasta que no ví un día con mis propios ojos el ataque de una de ellas, en mis propias máquinas, creí que era una especie de leyenda urbana que circulaba por ahí, entre los proveedores de hosting ,para justificar la cancelación de una cuenta...
Pirx (esto es, el cliente), vivía una vida apacible, con su página web, en el proveedor Y (buena gente, por cierto). Después de tratar el tema de una web, que aún le sigo haciendo, me ofreció la posibilidad de contratarme el hosting de dos de sus webs ya que, decía, su proveedor en ese momento (Y) le había cerrado el correo por no sé qué cosa de ataque "juacker". Yo le dije, con todo mi morro: "Huy, que raro suena eso... venga, te lo monto en un momento", y al cabo de un día, contrato para aquí y para allá, tenía sus dominios montados.
Al cabo de un hora de tener el dominio dado de alta, con su precioso email, empiezo a notar una actividad regular en la máquina (véase un load average de 2 o así). Y me empiezo a mosquear... Reviso los procesos y veo al MTA (exim) y al antivirus (Clamav) funcionando a toda máquina y consumiendo un montón de recursos.
Y miro el log de correo. Y madre mía lo que había dentro.
Primero creí que era algún tipode ataque estandar. El típico colega con un ordenador y ganas de jorobar. Me meto a cerrar IPs en el firewall. Y rangos de IPs. Y media Francia (wanadoo). Y seguían llegando ataques. Y no era Francia, así que la desbloqueo.
El "ataque", el cual, técnicamente hablando, no era tal, es enviar en forma de SPAM mensajes a cuentas de correo aleatorias en un dominio determinado, como axaxajd@dominio.com, sajfui3ei@dominio.com, esperando, supongo, que alguna acertase y llegase a un receptor. Es una técnica (cutre, sí), usada por algunas redes de spammers: tienen miles de dominios en sus listados, y se dedican a mandar mensajes a millones de direcciones aleatorias, a ver si alguna cuela.
Según estaba configurada la cuenta, todo correo "perdido" llegaba a la cuenta por defecto, previo paso por el antivirus y el antispam (Spam Assassin). Y es que eran unos 1500 correos cada 5 minutos. 1500 correos que desemsablar, observar, eliminar... y eso era mucho para la máquina. Probé a mandarlos al "agüjero negro", es decir, todo correo perdido a la basura, pero nada, el tema seguía más o menos igual.
Así que llamé al cliente y le dije: "quillo, tienes un ataque juacker, alguien te quiere mal". Le quité el servicio de correo para ese dominio, le puse un .com.es al efecto, y menos de lo que se tardar en modificar una zona DNS, todo había vuelto a la normalidad... como por arte de magia.
Cosas veredes, amigo Sancho...
3 comentarios:
Este comentario ha sido eliminado por un administrador del blog.
Este comentario ha sido eliminado por un administrador del blog.
Este comentario ha sido eliminado por un administrador del blog.
Publicar un comentario
Suscribirse a Enviar comentarios [Atom]
<< Inicio