Dejo que ataquen mi servidor y acaba mal
Summary
TLDREste vídeo explora la vida de un 'servidor bebé' en Internet, desde su creación hasta los intentos de ataques de hackers y robots. Se muestra cómo se crea un servidor en la nube y se abren puertos críticos como el 22 y el 80. El vídeo detalla las diferentes vulnerabilidades y ataques comunes, incluyendo intentos de acceso no autorizado y búsqueda de archivos confidenciales. Además, ofrece consejos para proteger el servidor, como el uso de herramientas de bloqueo y firewalls de aplicaciones web, destacando la importancia de la seguridad en la nube.
Takeaways
- 🌐 Existen dos tipos de personas en Internet: aquellos que la usan y aquellos que la perciben como un peligroso entorno.
- 🛡️ Se crea un nuevo servidor 'bebé' para probar cuánto tiempo resiste antes de ser atacado por hackers y robots.
- 🔐 Un servidor en la nube se puede crear fácilmente y se le asigna una dirección IP pública, la cual es el punto de entrada para los ataques.
- 🚪 El servidor solo tiene el puerto 22 abierto, que permite conexiones remotas y es el objetivo de los ataques.
- 🌍 Al abrir el puerto 80, que se usa para servir sitios web, se expone a un mayor número de posibles vulnerabilidades.
- 🕵️♂️ Los atacantes y robots buscan 'puertas' o puertos con vulnerabilidades conocidas para intentar acceder al servidor.
- 📊 Se muestra la cantidad de intentos de ataque y la procedencia geográfica de los同一个, lo que indica la amplitud de la amenaza.
- 🔎 Se analiza la naturaleza de los ataques, incluyendo solicitudes a rutas específicas conocidas por ser vulnerables.
- 🛠️ Se destaca la importancia de mantener actualizado el software para evitar ser vulnerable a ataques conocidos.
- 💡 Se menciona el uso de herramientas como 'fail2ban' y firewalls de aplicaciones web para proteger el servidor de ataques.
Q & A
¿Qué tipo de personas se mencionan en el guion de video?
-Se mencionan dos tipos de personas: aquellas que usan internet y aquellas que lo perciben como un peligroso entorno lleno de amenazas como pirañas y víboras.
¿Cuál es el objetivo principal del video?
-El objetivo es crear un nuevo servidor y observar cuánto tiempo le toma a los hackers y robots intentar destruirlo para aprender algo en el proceso.
¿Qué es un servidor en la nube y cómo se crea?
-Un servidor en la nube es un recurso informático virtual que se puede crear con solo unos pocos clics a través de varios proveedores. Se obtiene un servidor con una dirección IP pública que se puede usar para almacenar archivos, alojar sitios web, hacer de servidor de videojuegos, entre otras muchas cosas.
¿Cuál es la importancia del puerto 22 en un servidor?
-El puerto 22 es una puerta pequeña en el servidor que permite conectarse de manera remota y hacer lo que se quiera con él. Normalmente requiere una contraseña o una llave adecuada para acceder.
¿Qué es el puerto 80 y qué representa para los atacantes?
-El puerto 80 es el estándar utilizado para servir sitios de aplicaciones web. Cada vez que se intenta acceder a este puerto, el servidor registra la solicitud y lo que se está buscando, lo que puede representar una vulnerabilidad si el servidor no está adecuadamente protegido.
¿Qué tipo de ataques se mencionan en el video?
-Se mencionan varios tipos de ataques, incluyendo intentos de acceso remoto, búsqueda de archivos de configuración expuestos, ataques a aplicaciones web, y ataques a servidores de videovigilancia, entre otros.
¿Qué es un 'honeypot' y cómo se usa en el contexto del video?
-Un 'honeypot' es una técnica que consiste en atraer a los atacantes hacia recursos controlados para obtener información sobre ellos. En el video, se menciona que cuando un atacante intenta solicitar rutas que el servidor no tiene, se sabe que esa IP es un robot o un atacante y se puede bloquear.
¿Qué estrategia se sugiere para proteger un servidor de ataques?
-Se sugiere instalar software como 'fail2ban' que monitorea los registros y bloquea IPs que intentan entrar de manera fallida constantemente. También se recomienda usar un firewall de aplicaciones web para configurar reglas similares.
¿Qué es un ataque de denegación de servicio distribuida (DDoS) y cómo se relaciona con el contenido del video?
-Un ataque de denegación de servicio distribuida (DDoS) es cuando múltiples servidores infectados atacan simultáneamente a un objetivo, haciendo que el servicio se vuelva inaccesible. En el video, se menciona que estos ataques son difíciles de detectar y bloquear porque vienen de diferentes partes del mundo.
¿Cómo se puede entender la frase 'internet está realmente lleno de víboras' utilizada en el video?
-La frase 'internet está realmente lleno de víboras' se utiliza para describir la gran cantidad de atacantes y robots que buscan vulnerabilidades en los servidores con el objetivo de atacarlos y causar daño.
Outlines
🌐 Creación de un servidor y vulnerabilidades
El vídeo comienza explicando que hay dos tipos de personas en Internet: aquellas que la usan sin preocupaciones y aquellas que perciben la red como un peligroso entorno. Se propone crear un servidor 'bebé' y monitorear cuánto tiempo le toma a los hackers y robots intentar destruirlo para aprender de ello. Se describe el proceso de creación de un servidor en la nube, la asignación de una dirección IP pública y cómo se puede usar para múltiples propósitos. Se menciona que el servidor tiene el puerto 22 abierto, que permite conexiones remotas, y se anticipa que los hackers comenzarán a intentar acceder a él. Además, se habla sobre el puerto 80, que es el estándar para servir sitios web y cómo las aplicaciones y configuraciones pueden tener vulnerabilidades que los atacantes pueden intentar aprovechar.
🐍 Intentos de ataque y su análisis
Este párrafo detalla los intentos de ataque que el servidor 'bebé' experimenta en tiempo real. Se observa que los atacantes y robots buscan vulnerabilidades conocidas en software y librerías como PHP, buscando archivos específicos que podrían contener información confidencial o permitirles acceso remoto. Se menciona el uso de técnicas como 'spray and pray', donde los atacantes realizan un gran número de intentos en diferentes puntos vulnerables. También se habla sobre herramientas como 'fail2ban' y firewalls de aplicaciones web para proteger los servidores y cómo es importante mantener actualizado el software para evitar ser víctima de ataques.
📢 Conclusión y llamado a la acción
El vídeo concluye con un llamado a la acción para que los espectadores dejen comentarios si quieren más contenido similar. También se agradece a los patrocinadores que hacen posible la creación de este tipo de contenido. Se enfatiza la importancia de la seguridad en los servidores y cómo es fundamental protegerlos desde el momento en que se conectan a Internet.
Mindmap
Keywords
💡Hackers
💡Robots
💡Servidor en la nube
💡IP Pública
💡Puerto 22
💡Puerto 80
💡Vulnerabilidades
💡Honeypot
💡FW de aplicaciones web
💡Fail2Ban
💡Ataque de denegación de servicio distribuida (DDoS)
Highlights
Se menciona que hay dos tipos de personas: aquellas que usan Internet y aquellas que lo perciben como un peligroso entorno.
Se crea un nuevo servidor 'bebé' para probar cuánto tiempo resiste ante los ataques de hackers y robots.
Un servidor en la nube se puede crear fácilmente con pocos clics y se le asigna una dirección IP pública.
El servidor recién creado solo tiene el puerto 22 abierto, que permite conexiones remotas.
Se destaca que hackers y robots intentan acceder al servidor a través de la puerta numerada 22.
Se aborda la importancia de proteger el servidor contra ataques y cómo se pueden monitorear estos intentos.
Se crea una aplicación web simple y se abre el puerto 80 para servir sitios de aplicaciones web.
Se describe cómo cada solicitud al servidor se registra y se analiza para detectar posibles amenazas.
Se menciona que Internet está lleno de 'víboras' buscando vulnerabilidades en servidores.
Se recibe un primer intento de ataque que se rastrea hasta una IP en Nueva Jersey.
Se explica que los robots siguen buscando rutas conocidas para atacar dispositivos como cámaras de seguridad.
Se menciona la búsqueda de archivos 'robots.txt', que indican a los buscadores cómo indexar un sitio web.
Se describe un intento de ataque desde California a una versión vulnerable de 'teller ik'.
Se menciona que los atacantes buscan archivos 'config', 'db', etc., que pueden contener información confidencial.
Se habla de la técnica 'honeypot' o 'tarro de miel' para atraer y estudiar a los atacantes.
Se describe cómo se pueden bloquear las IPs de los atacantes una vez identificadas.
Se menciona la importancia de mantener actualizado el software de los routers para evitar vulnerabilidades.
Se habla de los ataques a servidores 'Solar' y cómo se intentan aprovechar vulnerabilidades conocidas.
Se describe el 'spray breaking' o 'rociar y rezar', una técnica de ataque en la que se prueban múltiples vulnerabilidades a la vez.
Se menciona que los ataques a servidores suelen ser distribuidos y pueden ser difíciles de detectar y bloquear.
Se sugiere la instalación de software como 'fail2ban' para proteger el servidor de ataques.
Se recomienda el uso de 'firewalls' de aplicaciones web para aumentar la seguridad del servidor.
Se enfatiza la importancia de proteger el servidor desde el momento en que se conecta a Internet.
Transcripts
existen dos tipos de personas las que
usan internet y las que usan internet y
lo sienten como un lago con pirañas que
quieren comer como un desierto con
víboras que quieren comer hoy crearemos
un nuevo servidor bebé y lo haremos con
mucho cuidado a internet para ver en
cuánto tiempo los hackers y robots
intentan destruirlo y de una vez
aprender algo en el proceso un servidor
en la nube puedes crearlo con unos
cuantos clics con muchos proveedores lo
que obtienes es un servidor con una
dirección ip pública y puedes usarlo
para cualquier cosa almacenar archivos
alojar sitios o aplicaciones web hacer
servidor de videojuegos entre otro
millón de cosas vamos a crear un
servidor nuevo y listo esta y su
dirección ip si lo pongo en el
explorador no pasa nada actualmente este
servidor solo tiene el puerto 22 abierto
el cual me permite conectarme de manera
remota y hacer lo que quiera con él
desde este momento nuestro servidor
tiene una pequeña puerta con el número
22 que hackers y robots de todo el mundo
pueden comenzar a intentar tirar
normalmente requieren una contraseña o
una llave adecuada pero eso no impide
que estén golpeando y golpeando
constantemente la puerta veremos un poco
esta puerta pero lo que me interesa ver
hoy es quién intenta entrar a otra
puerta la puerta con el número 80 esta
puerta o el puerto 80 del servidor el
estándar utilizada para servir sitios de
aplicaciones web depende de que el
lenguaje de programación utilizas que
librerías o software instalas cada uno
puede agregar diferentes
vulnerabilidades o agujeros en la puerta
que hacen que un atacante o un robot que
sabe por dónde buscar intente usar uno
de esos agujeros para entrar y destruir
tu servidor o robar tu información vamos
a crear una aplicación web excesivamente
simple y vamos a abrir el puerto 80 de
nuestro servidor ahora si pongo la ip en
el explorador puedes ver que aparece un
sitio simple cada vez que entro el
servidor registra de que ip viene la
solicitud y lo que está buscando si
internet está realmente lleno de víboras
entonces pronto debemos empezar a verlas
como soy alguien que crea y utiliza
servidores en la nube todos los días
tener un servidor así sin protección me
hace sentir mal y merece un castigo con
cada intento de ataque esta aguja se
acercará un poco más hacia este globo
con agua mientras recibimos y analizamos
los ataques pero podrán romper
comencemos ok recibe
ojo que recibimos nuestro primer intento
de ataque podemos ver la ip que si
buscamos aparece que viene de nueva
jersey y específicamente solicitó esta
ruta si lo buscamos en internet podemos
ver que a otras personas también les ha
pasado y hacen referencia a este
documento del gobierno de eeuu donde no
dice que el recurso config de usher es
usado para atacar cámaras del del link
del link en su sitio no explica detalle
que pueden hacer y referencia a algunos
tuits que ya no existen pero usando
arkaitz punto hereje podemos ver lo que
decían tal cual al llamarlo les regresa
el usuario y contraseña en texto plano
bueno con razón siguen estos robots
dando vueltas en internet
ok otro ya no es en general es normal
está buscando el archivo robots.txt que
le dice a los buscadores como google
donde queremos que entren y donde no y
así las en casos otra cosa un poco
después tenemos una solicitud de tel
aviv web 'www hay aquí nuestro atacante
o robot que está en california está
intentando obtener acceso remoto en caso
que yo esté utilizando una versión
vulnerable de teller ik para punto net
el cual sirve para agregar completa
aunque hay una sola dirección ip de hong
kong intento 44 ataques en unos cuantos
segundos se vale así luego se rompe
demasiado rápido lo va a considerar como
uno solo perdón no me creo mojar tan
rápido está intentando buscar archivos
punto en en muchos lugares los archivos
punto m son muchas veces usados para
guardar configuraciones del servidor
incluso cadenas de base de datos con
usuario y contraseña credenciales para
otros servicios llaves etcétera si por
error quedan expuestos aquí les
encontraría y podría tomar estos datos
para usarlos después claro en este caso
regresaron 404 para que no tengo ninguno
de estos puntos aquí al final vemos una
solicitud de sada php info info php
etcétera buscando archivos de php que
dan muchísima información del sistema al
final por algún motivo envió pp igual la
emb que si lo busco en google okey mejor
no lo muestra porque aparentemente
regrese a sitios que si tienen la
vulnerabilidad y muestra mucha
información de los servidores
aparentemente en este caso es por una
mala configuración de ruby on rails cómo
viste ahorita a veces un solo atacante
intenta muchos agujeros hay una técnica
llamada honeypot o tarro de miel que
básicamente se trata de atraer a
atacantes hacia estos recursos para
hacer algo a veces son los para obtener
un poco más de información del atacante
pero la mayoría de las veces lo que
hacemos es que cuando intentan solicitar
esas rutas que sabemos perfectamente que
nuestro servidor no tiene no las está
utilizando cuando alguien la solicita
sabemos que esa dirección ip es un robot
o un atacante entonces podemos agregar
una lista negra y bloquearlo para que ya
no esté haciendo más solicitudes cuya
recibimos nuestro siguiente registro y
es por fórum admin form login que sirve
para atacar hasta nueve marcas de router
de fibra óptica permite prácticamente
obtener control del servidor pero sólo
si lo juntan con otra vulnerabilidad así
que ésta por sí sola parece que no hace
tanto pequeño recordatorio para que
actualicen el software de sus routers y
joose ellas están repitiendo pero es de
otra ip ahora es de florida
ok aquí tenemos uno nuevo este parece
querer atacar una vulnerabilidad que
existe en php y unit una librería de php
aquí tenemos otro y éste está en un top
10 del 2020 y quiere atacar a servidores
solar
miren aquí abajo está el anterior
también era top 10 y aquí tenemos otro
que por lo veo es algo con php otra vez
es un problema con un cms llamado no en
cms que permite ejecutar código y hacer
de todo como instalar malware o
agregarle una botnet
[Música]
aunque está sola y prendió
166 solicitudes desde california
buscando agujeros casi todos
relacionados archivos punto y php de
librerías como el árabe la w s docker
rango y cosas que el hardware no tengo
idea esto a veces se le llama spray
break o rociar y rezar que es similar a
nuestro amigo rambo tira para todos
lados el robot es lo mismo atacando todo
lo que puede buscar no cualquier
vulnerabilidad en lugar de buscar una
específica y no le importa mucho el
hecho de que cuando está haciendo eso
fácilmente es muy sospechoso y lo pueden
bloquear muy rápido ahora sí está
peligrosamente cerca vamos a ver si
existe existe truena porque aquí tenemos
otro aparentemente está buscando si
tengo un depurador de php storm
vulnerable para entrar por otra vez este
ella es la misma ip que hace rato que no
tiene que ver a funcionar a más gastando
energía para nada que aquí tenemos otro
este ataca cámaras de vídeo dato otra
vez a ti ya te deberían desbloquear
manualmente entiende que no este es
nuevo busca si usas la árabe la otra
librería o frame order php con una
vulnerabilidad si usas una versión
anterior y al fin uno para variar este
ataca cosas ella va y sprint
[Música]
este desgraciado intento
991 agujeros 991 desde su sangre si es
que lo dije bien en este caso empezó con
forum php bbs index.php algo de ajax
luego mucho letrero y luego la php wps
text pp los hp cloud el cmd y lo demás
para abajo y de todo el árabe el php
zz php está literalmente buscando
cualquier agujero de php que encuentro
que haya visto en algún momento digo por
haber intentado esos más de 900 de golpe
vamos a ver si hay alguno diferente
ok aquí uno más específicos está el de
eb al spd in pero está intentado en blog
lara ve el panel admin cms de baldosas
está intentando esto es spring break en
su mayor esplendor mysql mysql admin
jenkins intentó algo con jenkins el
programa este de integración continua y
bueno al menos por lo que hemos visto
hasta ahorita realmente php es uno de
los lenguajes que más se intenta atacar
ok este servidor empezó como un servidor
bebé y ahora ya ha visto cosas mucho
cosas si continúa con vida sólo seguirá
sufriendo así que
todo lo que viste son intentos de robots
de detectar vulnerabilidades en
servidores una vez que la detecta en
realidad puede hacer muchas cosas una de
ellas es avisar al creador de que hay
una vulnerabilidad porque entonces el
creador ahora sí intente entrar y hacer
algo dentro del servidor en muchos casos
se obtiene control total del servidor
por lo que pueden robar información
eliminar datos e incluso hay veces que
dejan el servidor como un zombie y se
queda esperando y esperando y esperando
hasta que eventualmente el momento llega
y una serie de zombis todos los
servidores que han sido atacados por
este malware atacan al mismo tiempo a un
roedor de servicio a una página internet
etcétera y el problema aquí es que son
tantos servidores con el problema de
todas partes del mundo es muy difícil
detectar o estar bloqueando ips porque
viene de todos lados y esto es algo que
comúnmente se llama td o ese o ataque de
denegación de servicio distribuida hay
muchos casos famosos de esto si quieres
que lo platiqué más a detalle déjame un
comentario y a todo esto cómo puedes
proteger a tu pobre servidor bebé
existen muchas maneras una es instalar
un software por ejemplo fail to ban que
lo que hace es estar monitoreando los
logs de ssh http entre otros y está
viendo si hay peces que están intentando
entrar constantemente de manera fallida
y tú lo puedes poner reglas de manera de
que sí tres veces inmediatamente es ahí
pela bloque para ya no puede intentar
conectarse si bien no protege de un
ataque distribuidos y te sirve para
muchos de esos ataques como lo
escribimos el día de hoy otra es usar un
guapo firewall de aplicaciones web por
ejemplo de amazon o de klausner en el
cual se pueden configurar reglas muy
similares a las defecto van estas son
dos simples cosas que se utilizan
comúnmente pero hay mucho más en el
estudio gigante de la seguridad
informática lo que quiero que te lleves
de este vídeo es que sepas que desde que
decides poner un servidor en internet
inmediatamente lo van a empezar a atacar
muchas veces no toma tanto tiempo
configurar uno de estos software si tan
a ahorrar muchísimos problemas ahora
aquí vimos nada más el puerto 80 el
puerto 22 también estuvieron intentando
todo el tiempo atacarlo eso no lo
muestro aquí pero puedo ver en el audio
intentos de entradas que constantemente
todo el tiempo están intentando entrar
de manera remota al servidor si quieres
más vídeos como éste por favor déjame un
comentario y como siempre agredió con
las personas que hacen posible estos
vídeos gracias a que me apoyan en pero
en el youtube
[Música]
5.0 / 5 (0 votes)