Entradas con la etiqueta ‘seguridad’

Prevenir abuso de SPAM en cPanel

El Spam es uno de los principales problemas a los que se enfrenta un servidor de web/correo, en este artículo daremos consejos sobre las diferentes opciones con las que cuenta cPanel para minimizar o impedir el uso del servidor por parte de los spammers.

1.- Activar las restricciones SMTP

Cuando se habilita esta opción, los spammers no pueden interactuar directamente con los servidores de correo remotos. Para activar esta opción vamos a:

Home / Security Center / SMTP Restrictions

SMTP_restricciones

Una vez dentro, pinchamos en Enable para activarla.

 

2.- Restringir los envíos de email con remitente vacío.

Esta configuración evita que los hackers envíen correos de forma anónima a través del servidor. Para activar dicha opción, tendremos que ir a:

Home / Server Configuration / Tweak Settings

prevent_nobody
Buscamos la opción “Prevent “nobody” from sending mail” y la dejamos en “ON

Una vez marcado esta opción, pinchamos en “Guardar”

 

3.- Configurar PHP y habilitar suEXEC

En este apartado, ganaremos rendimiento y seguridad en el servidor

Lo primero que haremos, será activar el suPHP

Home / Service Configuration / Configure PHP and SuExec
configuracion_php_exec

Seleccionamos las siguientes opciones:

Default PHP Version (.php files): 5 (en caso de utilizar version de php 5)

PHP 5 Handler: fcgi

Apache suEXEC: on

Pincharemos en Save para guardar los cambios.

 

4.- Configurar los envíos máximos por hora

Ponemos un límite de envíos de correo por hora que consideremos que pueda ser elevado, para ello vamos a:

Home / Server Configuration / Tweak Settings
max_hourly_emails

Buscamos la opción “Max hourly emails per domain” y marcamos la opción que nos deja poner una cifra, en este campo, ponemos un número entero que consideremos, este límite es por dominio, no es por servidor.

 

5.- Aumentar la fortaleza de las contraseñas

Esta opción, será para que no se puedan crear contraseñas “inseguras” para los diferentes accesos con los que cuenta cPanel.

Home / Security Center / Password Strength Configuration
password_strength

Una vez dentro, indicamos el valor que creemos que es mas óptimo.

 

6.- Rechazas correos salientes con potencial de SPAM

Con esta configuración, impediremos que se envíen correos con un potencial de SPAM evitando así, que nuestra IP entre en listas negras.

Home / Exim Service Configuration / Exim Configuration Manager

outgoing_malware
Buscamos la opción “Scan outgoing messages for spam and reject based on defined Apache SpamAssassin™ score” y ponemos un valor que creamos óptimo, en este caso, nosotros recomendaríamos 6.

Una vez hayamos establecido dicho valor, pincharemos en save para guardar la configuración.

 

7.- Reescribir la cabecera (EXPERIMENTAL)

Con esta configuración los envíos sin autenticación salgan a través del nombre del servidor, de esta manera evitaremos el phising desde nuestro servidor.

Home / Exim Service Configuration / Exim Configuration Manager

EXPERIMENTALEXPERIMENTAL: Rewrite From: header to match actual sender: Remote

Hay que aclarar, que si activamos esta opción, es muy probable que tengas problemas con los formularios de todas las páginas web, pues al cambiar la cabecera del correo, el correo será enviado con el nombre del servidor y no con la cuenta que hayas indicado (en caso de que el envío sea sin autentificación)

Una vez hayamos realizado estas configuraciones, habremos ganado en seguridad en nuestro cPanel/WHM a la hora de que los usuarios envíen correos o si se produjese phising, sería más fácil de detectar al cambiar las cabeceras del correo.

Pueden consultar la documentación de cPanel donde se le explican todas las características con las que cuenta el mismo. Desde la página de nerion también se pueden encontrar con diferentes tutoriales de cPanel que le ayudaran a entender las diferentes opciones con las que cuenta.

Tipos de certificados de Seguridad SSL

¿Qué permite un certificado SSL? Los certificados de seguridad permiten que la información que viaje entre los extremos (servidor – cliente) se encuentre cifrada, esto se consigue a través del intercambio de una clave pública entre el navegador del cliente y el servidor, y la fuerza del cifrado dependerá del algoritmo utilizado por el certificado.

Sabremos que nuestra conexión se encuentra cifrada cuando accedamos a la página web a través de https, y el certificado se encuentre validado por la empresa certificadora (GeoTrust, Symantec,…). En la barra de direcciones de nuestro navegador deberá aparecer un candado junto al nombre del dominio o con recuadros en verde con el nombre de la empresa asociada al dominio y/o certificado.

nerion_https

Algunas de las ventajas de usar certificados de seguridad para nuestros sitios web son:

  • Aumento de la seguridad, ya que la información irá encriptada.
  • Aumento de la confianza, las personas que visiten tu página web se sentirán más seguras si saben que el envío de datos por la red se encuentran encriptados y puede traducirse en un aumento de ventas.
  • Garantizar la identidad de la empresa u organización
  • Eliminación de malware, ya que se escanea la web en busca de código dañino (dependiendo del certificado).
  • Mejora el posicionamiento.

Hay diferentes certificados en el mercado, habrá que seleccionar el más apropiado dependiendo del uso que tenga el sitio web, de si únicamente es para un dominio o para varios, etc…

Según el número de dominios que certifica:

Certificados de Dominio Único

Los certificados de dominio único te permiten añadir seguridad SSL a un único dominio, por este motivo suelen tener un precio más ajustado que los certificados de otro tipo. Si únicamente dispones de un proyecto web en el que deseas asociarle un certificado de seguridad esta será tu mejor opción.  Algunos ejemplos de certificados de este tipo son:

  • RapidSSL
  • Thawte SSL 123
  • GeoTrust True BusinessID

Certificados Multidominio (SAN)

Se pueden certificar varios dominios con un mismo certificado SSL, esta sería la forma más facil de certificar varios dominios. El precio de este tipo de certificados es mayor que el de certificado de dominio único, pero es más barato que comprar un certificado para cada dominio. Disponemos de los siguientes certificados de tipo SAN:

  • GeoTrust True BusinessID SAN
  • GeoTrust True BusinessID EV Multi-Domain

Certificados WildCard

Este tipo de certificado nos da la posibilidad de asociar un único certificado al dominio y sus subdominios.

  • GeoTrust True BusinessID Wildcard
  • RapidSSL Wildcard

Los certificados también pueden ser divididos según el tipo de validación, es decir, según el proceso que debe de seguir la persona o empresa que solicita el certificado para que se lo faciliten.

Certificados de Seguridad SSL

Según el tipo de validación:

Validación por dominio:

Este tipo de validación es la más sencilla, la más rápida, podrás disponer de tu certificado en pocos minutos, y normalmente va asociada a los certificados más baratos. Esta verificación se realiza a través de un correo electrónico que se enviará al email que aparece en el whois con un enlace para su confirmación.

Hay que tener en cuenta que los dominios que se encuentran con whois privado deberán desactivar el servicio de privacidad temporalmente hasta que se complete la verificación.

Estos son algunos de los certificados que tienen este tipo de validación:

  • RapidSSL Standard
  • RapidSSL Wildcard
  • Thawte SSL 123

Validación por empresa:

Este tipo de validación precisa de datos adicionales para completar su emisión. El primer paso será confirmar el certificado a través del correo electrónico que enviarán a la cuenta de correo del whois, posteriormente la empresa solicitante deberá de presentar el Documento de incorporación de la empresa (CIF) o la licencia de apertura, y por último una vez se hayan realizado los dos anteriores pasos la entidad encargada de la emisión del certificado se pondrá en contacto con la empresa solicitante a través de una llamada telefónica.

Importante: El número de teléfono de la empresa debe aparecer en alguna base de datos pública (como páginas amarillas).

A continuación se indican algunos certificados que requieren este tipo de validación:

  • GeoTrust True BusinessID
  • GeoTrust True BusinessID SAN
  • GeoTrust True BusinessID Wildcard

Validación extendida:

La Validación Extendida (EV) es la verificación más completa de las disponibles, pues además de validar el dominio y la empresa, se debe de enviar documentos adicionales que nos facilitarán desde la empresa certificadora.

Se recomienda este tipo de certificados SSL a tiendas online y empresas que cuentan con compras integradas en su sitio web. Este tipo de certificado se reconoce por la barra verde que aparece en la barra de direcciones, es el signo más visible y por lo tanto aumentará la confianza de tus clientes a la hora de introducir datos sensibles en tu sitio.

Estos son algunos de los certificados con este tipo de validación:

  • GeoTrust True BusinessID EV
  • GeoTrust True BusinessID EV Multi-Domain

Si estás interesado en contratar uno de estos certificados no dudes en ponerte en contacto con nosotros, si quieres conocer más a fondo las características echa un vistazo a nuestro catálogo de certificados de seguridad.

Vulnerabilidad Crítica en WordPress que afecta a 10 millones de sitios web

Actualización de Seguridad - WordPress 4.0.1

Ha sido detectada una vulnerabilidad crítica en WordPress que afecta principalmente a la versión 3 del sistema de gestión de contenidos. La empresa que ha localizado la vulnerabilidad, Klikki Oy, alerta que está activa hasta la versión 3.9.2. Según las estadísticas de WordPresss, alrededor de un 86% de los sitios web con WordPress utilizan una versión vulnerable. Se estima que el número total de WordPress instalados a día de hoy supera los 10 millones.

La vulnerabilidad se ha encontrado activa en los últimos 4 años, en concreto desde el lanzamiento de la versión 3.0 de WordPress. La versión 4.0. liberada en Septiembre de este año, no es vulnerable.

¿En qué consiste la vulnerabilidad?

Para aprovecharse del error, el atacante sólo necesita que exista un campo de texto, tal como el formulario de introducción de comentarios que se encuentra habilitado por defecto.

De esta forma el atacante podría aprovechar esta vulnerabilidad mediante la introducción de comentarios sin la necesidad de loguearse como administrador. El código inyectado en forma de comentario podría ser ejecutado por el navegador web del administrador al leerlo. Es en ese momento cuando el código se activa y comienza a realizar operaciones con permisos administrador. Estas operaciones incluyen acciones tales como: cambio de contraseña de la cuenta administrador, creación de nuevas cuentas, y en el caso más grave puede afectar al servidor inyectando código PHP en él.

Os recomendamos encarecidamente que actualicéis vuestro WordPress a esta última versión estable, ya que además de introducir mejoras y nuevas funcionalidades, se corrigen fallos de seguridad como éste. Así mismo si utilizáis otros CMS también es recomendable estar al día de las actualizaciones estables.

Aspectos Técnicos

Una función desconocida del archivo wp-includes/formatting.php del componente Comment Handler es afectada por esta vulnerabilidad. El problema ocurre en una función de manipulación de texto llamada wptexturize(), que habitualmente es ejecutada para cada comentario y otros bloques de texto. La función reemplaza ciertos caracteres con entidades utilizadas en HTML. Por ejemplo, los símbolos de comillas rectas son reemplazadas por comillas en cursiva (unicode 8220 y 8221 respectivamente). El problema está en que la manipulación no se hace de forma correcta causando un agujero de seguridad de clase cross site scripting. Concretamente la vulnerabilidad se encuentra en esta parte del código:

$textarr = preg_split('/(<.*>|[.*])/Us', $text, -1, PREG_SPLIT_DELIM_CAPTURE);

Una actualización a la versión 4.0.1 elimina esta vulnerabilidad. Para aquellos que no puedan realizar una actualización de la versión de WordPress, por ejemplo por incompatiblidad en el tema o plugins instalados, ha sido publicada inmediatamente después de descubrir esta brecha de seguridad. La vulnerabilidad se tratará con las siguientes líneas de código:

function wptexturize($text) {
    return $text; // ADD THIS LINE
    global $wp_cockneyreplace;

Más información técnica del exploit: http://klikki.fi/adv/wordpress.html

Descubierta vulneralidad Bash (GNU/Linux/Unix) – Shellshock

Bash es el interprete de comandos de la mayoria de sistemas GNU/Linux/Unix. La vulnerabilidad, denominada CVE-2014-6271 (Shellshock), ha sido descubierta por Stéphane Chazelas, y permite la ejecución de código malicioso, con lo que se podría conseguir el control del sistema.

bash-500x375

El error se encuentra en como Bash trabaja con las variables de entorno, y permite la ejecución de cualquier código añadiendolo al final de una línea de ejecución Bash dentro de las variables de entorno.

La mayoría de servidores web LAMP ejecutan PHP como CGI (normalmente mediante FCGI o FastCGI). Dependiendo de la configuración del servidor, las páginas PHP en modo CGI se ejecutan a través del intérprete Bash. De este modo, esta vulnerabilidad pone en riesgo la seguridad del sistema que aloja tus páginas web, p0r lo que recomendamos la actualización urgente de tu interprete Bash desactualizado.

¿Cómo detectar si mi servidor es vulnerable?

Para detectar si tu servidor tiene una versión de bash vulnerable a este fallo de seguridad, puedes conectarte a tu servidor por SSH y ejecutar:

env x='() { :;}; echo Vulnerable' bash -c /bin/true

Si es vulnerable la salida estándar de este comando te devolverá la palabra ‘Vulnerable’

Si no es vulnerable no te devolverá nada.

¿Cómo resolver la vulnerabilidad Shellshock?

Muchas distribuciones de Linux como Ubuntu, Red Hat y CentOS ya disponen de parches que impiden la ejecución de código después del final de una función Bash.

En caso de tener que actualizar el bash de tu servidor Cloud con sistema Red Hat/CentOS es necesario escribir el siguiente comando en el sistema:

yum update bash

En caso de tener que actualizar el bash de tu servidor Cloud con Ubuntu o Debian 7 es necesario escribir el siguiente comando en el sistema:

sudo apt-get update && sudo apt-get upgrade bash

Si tu servidor tiene instalada una distribución Debian 6, es necesario añadir un repositorio adicional a tu fichero /etc/apt/sources.list y ejecutar el comando de Ubuntu/Debian 7:

  • Editar el archivo /etc/apt/sources.list
  • Agregar la siguiente linea al final del fichero: deb http://ftp.us.debian.org/debian squeeze-lts main non-free contrib
  • Una vez agregado el repositorio ejecutar sudo apt-get update && sudo apt-get upgrade bash
  • Borrar la línea agregada al fichero /etc/apt/sources.list

Protege tu dispositivo Android con CONAN mobile

Cada día la información que manejamos en nuestros dispositivos móviles es mas cuantiosa. Ya no hay que pensar unicamente en la información perdida en caso de hurto o rotura, sino también los permisos que concedemos a las aplicaciones que instalamos en nuestros dispositivos o  el uso de redes wifi no seguras que ponen en peligro nuestros datos. Ante estas amenazas INTECO (Instituto Nacional de Tecnologías de la información) ha lanzado CONAN mobile.

CONAN mobile es una aplicación gratuita para sistemas Android enfocada para mejorar la seguridad de los dispositivos móviles y proteger la información critica que contienen. La aplicación analiza la configuración del dispositivo móvil alertando de aquellas carácteristicas potencialmente peligrosas para la seguridad de nuestra información e indicando en cada caso las posibles soluciones que puede llevar a cabo el usuario para corregirlas.

conan

A continuación os indicamos las diferentes funcionalidades que realiza la aplicación:

  • Recomendaciones al usuario para mejorar el nivel de seguridad del dispositivo
  • Analisis de las aplicaciones: Clasificación de las aplicaciones en base a su nivel de peligrosidad.
  • Clasificación de los permisos: Clasificación de los permisos que declaran las aplicaciones en función del riesgo que suponen.

Además, realiza un seguimiento a tiempo real del dispositivo y nos alerta ante determinados eventos:

  • Conexiones a redes WIFI inseguras.
  • Modificación del fichero hosts.
  • Instalacion de paquetes peligrosos
  • Monitorización de SMS y llamadas.

La aplicación actualmente se encuentra en fase Beta, por lo tanto puede producirse algún fallo en la aplicación mientras se encuentra ejecutada. Aun así en menos de un mes ha conseguido un gran volumen de descargas.

Bienvenido al blog de nerion

Empresa de servicios cloud, hosting y registro de dominios. Trust us, we take care of you!.
Suscripción a nerion
Siguenos en Twitter Siguenos en Facebook Siguenos en Linkedin Siguenos en YouTube Siguenos en Flickr Siguenos en Foursquare
Entradas antiguas por mes
Twitter
nerion en Facebook