Se metieron a mi VPS y name.com me bloqueo

  • Autor Autor jackl007
  • Fecha de inicio Fecha de inicio
jackl007

jackl007

Eta
Programador
Verificación en dos pasos activada
Resulta que ayer a las 5am me di cuenta que mis sitios estuvieron bloqueados, a las 11 am que regresé de dar examen vi que seguía bloqueados y empecé a indagar.
Yo en un inicio creí que habían problemas en el dominio en cuanto a la configuración, pero después varios usuarios del foro me comentaron que podría ser el VPS. Abrí un ticket de soporte en el VPS support y me comentaron que habían habido unos cambios incorrectos, entre los cuales involucraría los dominios, ellos se ofrecieron a repararlo. También me di cuenta que me habían cambiado la clave del VPS para acceder como roto vía SSH.

Luego envié un email a name.com preguntando y ellos me respondieron a las 7pm de ayer que un organismo de seguridad había realizado varias reclamaciones porque en mis dominios se alojaban varios sitios phishing. Me colocaron 3 urls de tipo subdominio. www.banco-bba.fondos7.net (a este estilo). Name que por medidas de seguridad me había bloqueado mis dominios (nunca me informaron nada). Me dieron la opción de que si me arreglaba ese problema me volverían a activar los dominios.

Después el equipo del VPS solucionaron los problemas en el servidor y actualizaron el VPS también.

Hoy volví a mandar un email a name informando sobre lo sucedido, contándoles que se habían metido a mi servidor y bla bla ... y que ya había solucionado todos los problemas y que por favor me restablezcan porque estaba perdiendo dinero con mis webs.

Hoy a las 5 pm (36 horas después) me reactivaron las páginas webs, pero me dijo name.com que si se repetía me quitaría definitivamente mis dominios, porque no quiere recibir quejas de organismos de seguridad.

Les cuento para que tengan cuidado, la verdad que yo no se cómo demonios se metieron, ni desde cuando estaban funcionando esos sub dominios.

Yo estoy analizando lo que pasó para que no vuelva a pasar, ya que no quiero perder mis dominios.

Saludos!
 
Es un peligro este tipo de acciones, porque tanto como la empresa que ofrece dominio y hosting y el dueño de la web pueden meterse en problemas y todo esto sin ellos saber nada. Porque uno como dueño de la web uno cree que todo anda bien. Y por la parte de la empresa de hosting y dominios ellos piensan que es uno el que hace eso adrede.

Interesante información esta...
 
Por un lado Lamento lo sucedido y por otro agradezco tu información, puede que el error haya sido causado por algún bug en un script que tengas alojado en tu VPS.

De igual modo intenta saber la causa recuerda que no tienes chance de equivocarte, por lo menos por parte de name.com.

Saludos.
 
Te recomiendo transferir tus dominios a otro registrante, no vaya ser que los pierdas.
 
me parece que la solucion no es cambiarlo de registrante, name es uno de los mejor, calculo que todos actuaran de la misma manera. tendrias que endurecer la seguridad en tu vps, instalar modulos como mod_securiry y restringe los permisos a lo minimo necesario, utilizar un firewall potente y bien configurado, generalmente el que trae por defecto los vps es muy permisivo., ademas, utiliza contraseñas de 12 caracteres o mas mesclados tanto para ssh como para las cuentas del panel
 
Creo que si name.com te advierte de nuevo y te hace eso que esta fuera de tu alcanze, los puedes demandar fácilmente te ganas una demanda en contra de name.com, por que no pueden hacer eso sin avisarte eso va en contra de WHOIS, veras que si les mencionas de demanda los tendrás en los pies, por que las empresas americanas solo por el hecho de hablar de demandas tiemblan, yo por eso tengo la mayoría de mis dominio en godaddy y nunca he tenido broncas la verdad
jackl007 dijo:
Resulta que ayer a las 5am me di cuenta que mis sitios estuvieron bloqueados, a las 11 am que regresé de dar examen vi que seguía bloqueados y empecé a indagar.
Yo en un inicio creí que habían problemas en el dominio en cuanto a la configuración, pero después varios usuarios del foro me comentaron que podría ser el VPS. Abrí un ticket de soporte en el VPS support y me comentaron que habían habido unos cambios incorrectos, entre los cuales involucraría los dominios, ellos se ofrecieron a repararlo. También me di cuenta que me habían cambiado la clave del VPS para acceder como roto vía SSH.

Luego envié un email a name.com preguntando y ellos me respondieron a las 7pm de ayer que un organismo de seguridad había realizado varias reclamaciones porque en mis dominios se alojaban varios sitios phishing. Me colocaron 3 urls de tipo subdominio. www.banco-bba.fondos7.net (a este estilo). Name que por medidas de seguridad me había bloqueado mis dominios (nunca me informaron nada). Me dieron la opción de que si me arreglaba ese problema me volverían a activar los dominios.

Después el equipo del VPS solucionaron los problemas en el servidor y actualizaron el VPS también.

Hoy volví a mandar un email a name informando sobre lo sucedido, contándoles que se habían metido a mi servidor y bla bla ... y que ya había solucionado todos los problemas y que por favor me restablezcan porque estaba perdiendo dinero con mis webs.

Hoy a las 5 pm (36 horas después) me reactivaron las páginas webs, pero me dijo name.com que si se repetía me quitaría definitivamente mis dominios, porque no quiere recibir quejas de organismos de seguridad.

Les cuento para que tengan cuidado, la verdad que yo no se cómo demonios se metieron, ni desde cuando estaban funcionando esos sub dominios.

Yo estoy analizando lo que pasó para que no vuelva a pasar, ya que no quiero perder mis dominios.

Saludos!
Hacer clic para expandir...
 
Aun no se por donde demonios se metieron, lo peore es que tampoco pude ver en mi panel la existencia de esos su dominios.

Name.com no me volvió a responder cuando le dije que no me avisaron. No se si cambiarme de registrante.

Eso de aumentar la seguridad no lo se hacer yo, tendré que buscar a una persona que sepa para pagarle.
 
Investiga antes opinar de donde saco esto por favor.
wsoulrc dijo:
de donde sacas eso? leete sus politicas...

de todas formas, yo recomiendo siempre enviarles pruebas, porque si no ellos no saben que realmente fue un hackeo. si se las envias siempre, no creo que tengan problemas en dartelos.
Hacer clic para expandir...
 
Aferrado, y para colmo dices que estoy equivocado si tu eres el que tiene la duda por eso te digo adelante si tanto te empeñas
wsoulrc dijo:
[MENTION=3092]blogers[/MENTION] tengo dudas de porque igual estas equivocado, o igual no, si en vez de saber explicaras sería mejor 🙂

pero como quieras, no te pregunto ^^

pero para el que quiera leer ^^
Hacer clic para expandir...
 
No es solucion cambiarse de registrador, pero es algo mejor que quedarse con name, pense que era evidente. Te dire porque, sí se queda con name y el problema vuelve a pasar, pierde, sí se cambia de registrador igual le dan una advertencia, con lo cual tiene otra oportunidad de no perder los dominios, esto le da tiempod e averguar como se colaron. Y eso de poner una contraseña de las caracteristicas mencionadas, sí, es una medida si no tenia ya un password fuerte, sin embargo creo que lo estan viendo como el único factor y toda la gente común piensa de inmediato y da de consejo, una contraseña fuerte, pero queridos amigos siempre hay que pensar en todo lo posible, con diferentes metodos y de hecho hay muchos, se puede penetrar un server y sin necesidad de saber el password.
Saludos
Daniel Venegas dijo:
me parece que la solucion no es cambiarlo de registrante, name es uno de los mejor, calculo que todos actuaran de la misma manera. tendrias que endurecer la seguridad en tu vps, instalar modulos como mod_securiry y restringe los permisos a lo minimo necesario, utilizar un firewall potente y bien configurado, generalmente el que trae por defecto los vps es muy permisivo., ademas, utiliza contraseñas de 12 caracteres o mas mesclados tanto para ssh como para las cuentas del panel
Hacer clic para expandir...
 
Para saber por donde se metieron y saber si tienes el VPS libre, te recomiendo que solicites una auditoria a tu proveedor, si hay algo malo te lo van a decir.

Si tienes a alguien de confianza al que le puedas pagar para ayudarte, tambien es bueno.

jackl007 dijo:
Aun no se por donde demonios se metieron, lo peore es que tampoco pude ver en mi panel la existencia de esos su dominios.

Name.com no me volvió a responder cuando le dije que no me avisaron. No se si cambiarme de registrante.

Eso de aumentar la seguridad no lo se hacer yo, tendré que buscar a una persona que sepa para pagarle.
Hacer clic para expandir...
 
¿Facil es ganarle una demanda a Name? estas completamente equivocado y es absurdo. Sí no es una demanda contra la tiendita de la esquina. Por otro lado es de vital importancia saber cómo penetraron el sistema.
  1. Sí tienes Wireless debes deshabilitarlo o limitar a que solo te llegue a tí, si esta a la interperie, alguien puede capturar el tráfico y sacar la contrasenia.
  2. Si accediste desde un lugar publico.
  3. Si accediste desde otra computadora la cual podría tener un Keylogger.
  4. Si tus plugins, extensiones, scripts de tercerlos no estan actualizados o acaban de publicar un fallo de seguridad.
  5. Sí abriste un archivo de un desconozido, tal ves te colo un troyano, etc...

Hay cientos de maneras de cogerte los datos de acceso socio.
Creo que puedes verificar los logs y ver si dejaron huellas.

Saludos y es mejor que lo detectes, sino haran lo mismo, pide o paga a alguien experimentado una auditoria, te aseguro que vale la pena.
blogers dijo:
Investiga antes opinar de donde saco esto por favor.
Hacer clic para expandir...
 
A mi me paso los mismo con unos brasileros que hacia phising pero me avisaron desde soporte para que tome acciones y elimite todo eso, me daban 24hs sinoi suspendian el servicio.

Asi que elimine todo y asunto solucionado,
 
Tranquilos muchachos
 
jackl007 dijo:
Resulta que ayer a las 5am me di cuenta que mis sitios estuvieron bloqueados, a las 11 am que regresé de dar examen vi que seguía bloqueados y empecé a indagar.
Yo en un inicio creí que habían problemas en el dominio en cuanto a la configuración, pero después varios usuarios del foro me comentaron que podría ser el VPS. Abrí un ticket de soporte en el VPS support y me comentaron que habían habido unos cambios incorrectos, entre los cuales involucraría los dominios, ellos se ofrecieron a repararlo. También me di cuenta que me habían cambiado la clave del VPS para acceder como roto vía SSH.

Luego envié un email a name.com preguntando y ellos me respondieron a las 7pm de ayer que un organismo de seguridad había realizado varias reclamaciones porque en mis dominios se alojaban varios sitios phishing. Me colocaron 3 urls de tipo subdominio. www.banco-bba.fondos7.net (a este estilo). Name que por medidas de seguridad me había bloqueado mis dominios (nunca me informaron nada). Me dieron la opción de que si me arreglaba ese problema me volverían a activar los dominios.

Después el equipo del VPS solucionaron los problemas en el servidor y actualizaron el VPS también.

Hoy volví a mandar un email a name informando sobre lo sucedido, contándoles que se habían metido a mi servidor y bla bla ... y que ya había solucionado todos los problemas y que por favor me restablezcan porque estaba perdiendo dinero con mis webs.

Hoy a las 5 pm (36 horas después) me reactivaron las páginas webs, pero me dijo name.com que si se repetía me quitaría definitivamente mis dominios, porque no quiere recibir quejas de organismos de seguridad.

Les cuento para que tengan cuidado, la verdad que yo no se cómo demonios se metieron, ni desde cuando estaban funcionando esos sub dominios.

Yo estoy analizando lo que pasó para que no vuelva a pasar, ya que no quiero perder mis dominios.

Saludos!
Hacer clic para expandir...

normalmente en escenarios como el tuyo los intrusos se meten por algun plugin vuln en wordpress u joomla, aqui lo que pasa esque logran rootear el servidor ya sea porque el kernel esta desactualizado y exista un local root (exploit para elevar privilegios) que por lo que veo fue tu caso segun entiendo dices que los proveedores de tu vps actualizaron todo lo que me deja pensar que habia un update para el O.S de tu vps el intruso aprovecho esa falencia y su intencion fue spammear y quizas tambien hacer bancking desde tu vps con estos juguetitos de las paginas phishing, normalmente este no es cualquier phishing en los casos de intrusion a servidores grandes sino que se trata de paginas falsas que se hacercan mucho a la verdadera tanto haci que hacen peticiones a la base de datos de la pagina ala que se clono para confirmar que la victima inserte los datos correctamente.

Suerte con eso brother y si encuentras archivos en php con nombres rraros como c99.php,r57.php,404.php,domains.php,mysql,php,joomla,php estate alerta que pueden ser puertas traseras a tu servidor yo de ti realizaba un backup de todos tus sitios limpiaba todo y montaba todo de nuevo, seria eso mejor a perder todo en un futuro... suerte:welcoming:
 
blogers dijo:
Investiga antes opinar de donde saco esto por favor.
Hacer clic para expandir...

estas completamente equibocado [MENTION=3092]blogers[/MENTION] ademas de estar mal informando a quines no saben, no tengo la menor idea de donde sacaste eso de que podes demandar a name por quitarte un dominio que se utilizo para phishing y lo de WHOIS que tiene que ver? sabes lo que es el whois? no sera que quisiste referirte a icann.org que quien regula los dominios?
por otro lado, si name advierte que puede quitar un dominio por recibir denuncias de phishing de una entidad autorizada, me parece logico y estoy seguro que esta avalado por la icann de lo contrario no lo harian, el phishing no es chiste.
si es como tu dices entonces te pido que cites la fuente para poder leerla en detalle de lo contrario evita dar una informacion que confunde y lleva a tomar malas decisiones a otros.

[MENTION=1432]jackl007[/MENTION] cambiarte de registrador no creo que te ayude, al contrario creo que se veria sospechoso, estoy seguro que si envian al nuevo registrador otra queja por phishing lo haran mensionando el insidente anterior asi que el antecedente lo seguiras teniendo :s
yo creo que es mejor explicarles la situacion a name, solicitar la auditoria a tu vps y contratar alguien que te endurezca la seguridad para que no te vuelva a ocurrir.

- - - Actualizado - - -

mit19t dijo:
No es solucion cambiarse de registrador, pero es algo mejor que quedarse con name, pense que era evidente. Te dire porque, sí se queda con name y el problema vuelve a pasar, pierde, sí se cambia de registrador igual le dan una advertencia, con lo cual tiene otra oportunidad de no perder los dominios, esto le da tiempod e averguar como se colaron. Y eso de poner una contraseña de las caracteristicas mencionadas, sí, es una medida si no tenia ya un password fuerte, sin embargo creo que lo estan viendo como el único factor y toda la gente común piensa de inmediato y da de consejo, una contraseña fuerte, pero queridos amigos siempre hay que pensar en todo lo posible, con diferentes metodos y de hecho hay muchos, se puede penetrar un server y sin necesidad de saber el password.
Saludos
Hacer clic para expandir...

si te fijaste y leiste mi comentario completo le mensione que que se debe endurecer el servidor con todo lo que ello significa y minimo un firewall y mod_security lo de la contraseña lo mensione porque muchos no lo tienen en cuenta y por seguro que sea el vps si luego pone una contraseña de 5 digitos lo quebraran pronto.
 
Gracias, voy a buscar una persona para que audite el VPS.
 
WHOIS es la BD que almacena todo los datos y registros de los dominios y si me falto el punto del ican.org, pero yo hablo en el sentido de acción en contra del cliente, estoy hablando en términos generales, el cliente sale afectado y perdiendo dinero como en este caso el colega que le bloquearon los dominio sin previo aviso esa es una acción que se debe llevar a cabo con demanda o una compensación por que el cliente es el que salio afectado por esta acción de no avisarle de esta acción de bloqueo de sus dominios y por si causa esta perdiendo dinero, imagínate si el cliente no se pone a investigar que le bloquearon los dominios cuanto dinero no habría perdido, y ojo yo hablo de no a ver dado un previo aviso o alerta al cliente de los dominios que en este caso fue el afectado nuestro colega
Daniel Venegas dijo:
estas completamente equibocado [MENTION=3092]blogers[/MENTION] ademas de estar mal informando a quines no saben, no tengo la menor idea de donde sacaste eso de que podes demandar a name por quitarte un dominio que se utilizo para phishing y lo de WHOIS que tiene que ver? sabes lo que es el whois? no sera que quisiste referirte a icann.org que quien regula los dominios?
por otro lado, si name advierte que puede quitar un dominio por recibir denuncias de phishing de una entidad autorizada, me parece logico y estoy seguro que esta avalado por la icann de lo contrario no lo harian, el phishing no es chiste.
si es como tu dices entonces te pido que cites la fuente para poder leerla en detalle de lo contrario evita dar una informacion que confunde y lleva a tomar malas decisiones a otros.

[MENTION=1432]jackl007[/MENTION] cambiarte de registrador no creo que te ayude, al contrario creo que se veria sospechoso, estoy seguro que si envian al nuevo registrador otra queja por phishing lo haran mensionando el insidente anterior asi que el antecedente lo seguiras teniendo :s
yo creo que es mejor explicarles la situacion a name, solicitar la auditoria a tu vps y contratar alguien que te endurezca la seguridad para que no te vuelva a ocurrir.

- - - Actualizado - - -



si te fijaste y leiste mi comentario completo le mensione que que se debe endurecer el servidor con todo lo que ello significa y minimo un firewall y mod_security lo de la contraseña lo mensione porque muchos no lo tienen en cuenta y por seguro que sea el vps si luego pone una contraseña de 5 digitos lo quebraran pronto.
Hacer clic para expandir...
 
De acuerdo pero aquí el punto que yo remarco es el que no se le aviso al user es lo que remarco, en dado caso ellos pueden hacer esta acción, pero mientras tanto al user no se le dio aviso, el user puede tomar cartas en el asunto, no se si me explico.

wsoulrc dijo:
[MENTION=21638]blogger[/MENTION]s pero al registraste aceptas que te pueden suspender el dominio cuando les salga del mismisimo y es lo que cuenta.. sea legal o no...

es como un contrato de 50h semanales, legal no es hasta que lo firmas.
Hacer clic para expandir...
 
Hay que estar conectado o registrado para responder aquí.

Temas similares

esejoker468
Tutorial: Configurar tu dominio de Name.com en Blogger
2 3 4
Respuestas
79
Visitas
18K
cybertec
cybertec
José Jiménez
Configuración dominio name.com en Blogger: problemas y soluciones
Respuestas
4
Visitas
950
lombervid
lombervid
Atrás
Arriba