Todos nuestros planes de hosting están potenciados por uno de los más potentes servidores web del mercado LiteSpeed Enterprise por esta razón y debido a la calidad de nuestra red y servidores, podemos ofrecer mayor velocidad de carga de páginas que nuestros competidores, sin embargo esta vez hemos probado la velocidad contra nosotros mismos.

El experimento

Tomamos dos sitios web  (Datacenter1.com y Veneservidores.con) con el mismo contenido y ambos alojados en nuestra red, uno de los sitios (Datacenter1.com) fue pasado fue pasado a un servidor cPanel equipado con LiteSpeed, el otro (Veneservidores.com) fue dejado en un servidor H-Sphere utilizando Apache.

Medimos la velocidad de carga utilizando la excelente herramienta de Pingdom

Read more…

Google ha decidido ofrecer un servicio gratuito de resolución de nombres, a diferencia de mi servicio favorito OpenDNS, el servicio de google no contará con redireccionamiento ni publicidad (algo muy extraño proviniendo de Google). Este servicio es ideal para aquellos usuarios que tienen problemas con los dns de sus respectivos proveedores de Internet, en muchos casos los proveedores de Internet ofrecen el servicio gratuito de DNS pero este es deficiente, lento o ambos.

Si quieres probar este nuevo servicio de Google solo debes cambiar los dns de tu computador o servidor.

Los servidores DNS de Google son:

8.8.8.8
8.8.4.4

Las direcciones IP al menos son muy cool, un sencillo ping desde mi ubicación revela una rápida respuesta de solo 24 ms, sin embargo en mis pruebas OpenDNS fue el doble de rápido con solo 12 ms de latencia, por lo que sugiero probar ambos servicios.

Al hacer un test más profundo obtenemos interesantes resultados:

dig @8.8.8.8 datacenter1.com

; <<>> DiG 9.4.3-P3 <<>> @8.8.8.8 datacenter1.com
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17499
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;datacenter1.com.               IN      A

;; ANSWER SECTION:
datacenter1.com.        86316   IN      A       174.34.158.119

;; Query time: 13 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Thu Dec  3 20:38:10 2009
;; MSG SIZE  rcvd: 49

Note que Google ha tardado 13 mili segundos en devolver los datos

Veamos ahora la misma consulta para OpenDNS

dig @208.67.222.222 datacenter1.com

; <<>> DiG 9.4.3-P3 <<>> @208.67.222.222 datacenter1.com
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26613
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;datacenter1.com.               IN      A

;; ANSWER SECTION:
datacenter1.com.        84708   IN      A       174.34.158.119

;; Query time: 2 msec
;; SERVER: 208.67.222.222#53(208.67.222.222)
;; WHEN: Thu Dec  3 20:42:03 2009
;; MSG SIZE  rcvd: 49

Note que OpenDNS ha tomado solo 2 mili segundos en completar la tarea

Conclusión: Si estás cansado de los errores de “Servidor No Encontrado” prueba cambiar los dns de tu red o computador por los de Google, sin embargo OpenDNS ofrece un mayor rendimiento.

Tienes tu propio servidor y te gustaría compartir con nosotros los resultados? desde Linux solo debes ejecutar este comando:

Para Google: dig @8.8.8.8 datacenter1.com

Para OpenDNS: dig @208.67.222.222 datacenter1.com

L

Una grave vulnerabilidad ha sido descubierta en todos los kernels anteriores a la versión 2.6.30, esta vulnerabilidad permite a un atacante local escalar privilegios a root, se han reportado casos en los cuales un atacante ha hecho uso de alguna vulnerabilidad que le permita subir el código malicioso al servidor y luego ejecutar el exploit para obtener acceso root completo.

Para el momento de escribir esto, no ha salido un kernel para ninguna distro a excepción de Fedora, esta vulnerabilidad afecta a todas las distros incluyendo Centos, Ubuntu, RedHat, etc, las versiones 4.x de Centos/RedHat son especialmemte vulnerables.

En Centos 5.X para que la vulnerabilidad sea explotada, es necesario que SELINUX no este desactivado y mmap_min_addr  = 0 (cat /proc/sys/vm/mmap_min_addr para verificar el valor de su servidor)

Solución temporal si no desea compilar su propio kernel:

Para Centos 5.x

cd / ; wget http://www.rfxn.com/downloads/set_mmap_minaddr; chmod 700 set_mmap_minaddr; ./set_mmap_minaddr

Para Centos 4.x

cd / ; wget  http://www.rfxn.com/downloads/upkern_cos4; chmod 700 upkern_cos4 ; ./upkern_cos4

Debe reiniciar el servidor luego de aplicado el parche.

Estos fix son cortesía de http://www.rfxn.com

Todos los servidores de nuestros clientes (clientes manejados y no manejados) han sido debidamente parcheados.

Hoy en día los firewalls tradicionales han quedado algo obsoletos, ya no basta con filtrar puertos, las vulnerabilidades ahora están en las aplicaciones web, por esta razón ha surgido un nuevo tipo de firewall que se encarga de proteger las aplicaciones web.

mod_security es lo que se conoce como “Firewall de Aplicaciones” básicamente lo que hace es examinar el tráfico http en busca de patrones que concuerden con ataques conocidos, es bastante eficiente y además es gratis.

Las nuevas versiones de mod_security requieren de Apache 2.x

La instalación es bastante sencilla (requiere conocimientos básicos de administración de servidores) y puede verse en el sitio oficial de mod_security (Instalación de mod_security)

Muchos paneles de control, incluyendo cPanel y H-Sphere ya incluyen mod_security instalado, por lo que no hay necesidad de instalarlo nuevamente.

mod_security depende de algunas  reglas “rules” para su operación, por lo que es muy importante usar reglas de buena calidad y actualizadas, en pocas palabras el buen funcionamiento de mod_security depende de la calidad de las reglas en uso, un excelente sitio para obtener reglas relativamente actualizadas es gotroot.com, incluso es posible (servicio de pago) obtener actualizaciones en tiempo real.

mod_security al igual que cualquier sistema no es infalible, es común que a veces ciertas aplicaciones generen falsos positivos, es decir que mod_security bloquee tráfico legítimo, por lo que es muy importante revisar los logs y asegurarse que solo el tráfico malicioso está siendo bloqueado.

Parte de nuestro servicio de administración es ofrecer un conjunto de reglas probado (incluye algunas propias) y son actualizadas semanalmente de forma automática, para garantizar que siempre nuestros clientes estén debidamente protegidos.

Los virus iframes se caracterizan por incluir código en las páginas web, esté código es en la forma de una iframe invisible que redirecciona al usuario a una web maligna en donde le infecta, a diferencia de otros tipos de malware, este virus requiere de webmasters para propagarse, básicamente lo que hace el virus es esperar por conexiones FTP al servidor, una vez que el webmaster o dueño de un sitio web ha accedido a su sitio vía FTP el virus pasa al sitio web en donde modifica algunas páginas html e inserta un código similar a:

<iframe src=”http://sitio_malicionso.xxx” width=109 height=147 style=”visibility: hidden”/>

No importa cuantas veces borremos el código de la web, el virus volverá aparecer, la razón es sencilla:

La PC del webmaster o persona con acceso FTP está infectada y cada vez que se conecta FTP el virus pasa a las páginas web.

Consejos para eliminar este virus:

• Limpiar la PC infectada y asegurarse de que dispone de un buen antivirus y el mismo se encuentra actualizado.
• Usar la herramienta hijackthis para detectar la presencia del virus local.
• Eliminar el código malicioso en las páginas web.

Si tiene su propio Servidor o VPS, Clamav puede ayudarle a detectar los archivos que contienen el virus, este link a la wiki de Datacenter1.com le servirá para eso.

Los días en los que los servidores no necesitaban antivirus han quedado atrás, hoy en día es imprescindible que cualquier servidor de archivos, web, o correo electrónico, esté equipado con un antivirus actualizado.

En este artículo instalaremos Clamav un buen antivirus gratuito que le ayudará a detectar malware y esos molestos virus iframe.

Adicionalmente ofrecemos algunos consejos para correr Clamav de forma eficiente en servidores web.

Instalación de Clamav

La forma más sencilla de instalar y mantener clamav actualizado es usando los repositorios de Dag para ello solo basta agregar el repositorio a nuestro sistema:

• Visite http://dag.wieers.com/rpm/FAQ.php#B
• Escoja el Sistema Operativo, por ejemplo para Centos 5 64 bits, escoja la línea:

rpm -Uhv http://apt.sw.be/redhat/el5/en/x86_64/rpmforge/RPMS//rpmforge-release-0.3.6-1.el5.rf.x86_64.rpm

• Luego simplemente instale Clamav con el comando yum install clamav

Ya tenemos instalado Clamav en nuestro servidor ahora el siguiente paso es correrlo en busca de virus en el servidor.

clamscan / -ir

Si el servidor es un servidor en producción, pude correr clamscan con nice para evitar que clamav impacte fuertemente el uso de CPU e i/o

Para correr clamav con nice solo basta:

nice -15 clamscan -ir /
También puede sustituir la ruta "/" por su directorio de usuarios, ejemplo "/home".

Este comando solo listará los virus detectados pero no eliminará nada, si desea saber acerca de las opciones para eliminar archivos infectados o moverlos a un directorio, consulte la ayuda de clamscan.

Como ya hemos visto, Clamav puede elevar la carga del servidor, para evitar esto usaremos un pequeño truco:

Una vez que hemos realizado un escaneo completo inicial, no hay razón para tener que realizar el mismo pesado escaneo todos los días, en lugar de esto es más eficiente realizar un escaneo diario de solo los archivos que han cambiado en las últimas 24 horas, de esta forma el proceso será mucho más rápido y eficiente.

Para ejecutar el escaneo de los archivos modificados las últimas 24 horas en el directorio de usuarios, el comando sería:

nice -15 find /home -mtime 1 -type f -print0 | xargs -0 clamscan -ir

Aún podemos mejorarlo más y hacer que una tarea cron escanee el servidor diariamente y luego nos envíe el resultado a nuestro correo, para este caso las instrucciones serian:

crontab -e # Para abrir el archivo de configuración de cron

Incluya la siguiente línea en el cron: (recuerde cambiar la dirección de correo, hora y ruta de acuerdo a sus necesidades)

0 3 * * * nice -15 find /home -mtime 1 -type f -print0 | xargs -0 clamscan -ir -l /clamav.txt ; cat /clamav.txt | mail -s "Reporte de ClamAV" usuario@datacenter1.com ; rm -f /clamav.txt

Grabe los cambios.

Ahora tiene un eficiente servicio de detección de virus y scripts maliciosos totalmente gratis !

ClamAV para Windows:

Los usuarios Windows puede usar una versión basada en Clamav, la cual puede ser descargada desde http://www.clamwin.com/

CSF es un excelente y completo firewall para sistemas Linux, especialmente para servidores con cPanel ya que tiene una interfaz de configuración para el, sin embargo no es necesario tener cPanel para disfrutar de las ventajas de CSF

La instalación es sumamente sencilla.

rm -fv csf.tgz
wget http://www.configserver.com/free/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh

La configuración no es tan sencilla debido a la gran cantidad de parámetros que soporta, sin embargo el archivo de configuración está excelentemente configurado, lel archivo de configuración se encuentra en /etc/csf/csf.conf

Los comandos más comunes de CSF son:

csf -r reinicia el firewall
csf -f limpia todas las reglas (desactiva el firewall)
csf -d xxx.xxx.xxx.xxx bloquea la IP xxx.xxx.xxx.xxx

Hardening es el proceso de hacer un servidor más seguro y resistente a ataques y problemas se seguridad, idealmente se debe realizar a los servidores nuevos antes de conectarlos a Internet.

El proceso de Hardenig es gratis e incluido en todos los Servidores Administrados e incluye:

• Instalación y Configuración de Firewall CSF
• Instalación de Clamav
• Instalación y Configuración de mod_security
• Seguridad PHP
• Aseguramiento del directorio /tmp
• Aseguramiento de la memoria virtual
• Permisos de archivos
• Eliminación de paquetes no usados
• Seguridad de compiladores
• Seguridad de SSH
• Protección Anti-Spam
• Instalación de root logger
• Instalación de detectores de rootkit
• Protección de archivos críticos
• Seguridad de host.conf
• Seguridad de sysctl.conf
• Seguridad de resolv.conf
• Instalación de mod_evasive
• Protección de abuso de recursos, suspende y reanuda automáticamente las cuentas que abusan de recursos
• Protección del sistema de archivos
• Seguridad de Apache
• Seguridad de Bind
• Seguridad de MySQL

Un día nos levantamos, vamos directo a la PC a visitar nuestra nueva web de la cual estamos tan orgullosos y nos damos con la sorpresa de que la página inicial ha sido reemplazada por un horrible mensaje, en pocas palabras hemos sido hackeados, esto sucede todos los días a lo largo y ancho de Internet,

Cuando algo como esto sucede, la primera reacción es culpar al proveedor de hosting, sin embargo el problema es mucho más complejo de lo que parece y el usuario puede tener también su cuota de responsabilidad, para entenderlo, vamos a analizarlo desde 3 puntos de vista diferentes, el Cliente, el Proveedor y los desarrolladores de software. Read more…

Recientemente hemos visto un incremento en los casos de robo de dominio, por lo que he decido escribir este artículo para alertar y educar a nuestros usuarios y la comunidad acerca de este peligro y como evitarlo/enfrentarlo

¿ Como operan los ladrones de dominios?

Existen varios métodos conocidos mediante los cuales un ladrón de dominios, puede “engañar” al propietario legal y hacerse con el dominio, veamos los casos:

1. Artimañas legales: En este estratagema, el ladrón se hace pasar por un un abogado que amenaza con una demanda debido a que su dominio está supuestamente infringiendo alguna marca registrada y para evitar una demanda de miles de dólares, debe transferir el dominios en un corto lapso de tiempo.
2. Acceso a la cuenta de correo del propietario: Lamentablemente aún muchos propietarios de dominios ( e internautas también)  usan contraseñas verdaderamente ridículas para las cuentas de correo, un ladrón puede tener acceso a la cuenta de correo del propietario y autorizar la transferencia a otro dueño
3. Acceso a la interfaz de administración del dominio: Funciona igual que el anterior, pero el ataque es contra el password de la interfaz de dominios.
4. Phishing: El propietario recibe un email falso supuestamente de su registrador de dominios, en donde se le pide ingresar a x sitio web con su clave y contraseña, o hacer click en algún link, en la mayoría de los casos, la víctima lo que está haciendo es darle el usuario y password al atacante o autorizando la transferencia de su dominio.

Como podrán observar, en todos los casos el atacante, ha contacto con la colaboración de la victima y peor aún en una buena cantidad de casos, el propietario a colaborado de buena gana.

¿Que hacer para prevenir el robo de dominios?

1. Utilizar un buen password tanto en la interfaz de administración, como en la cuenta de correo (Usted deberá usar un password seguro en cualquier servicio de Internet).
2. En caso de que reciba un correo de su proveedor de dominios, indicándole que se loguee a una interfaz o que realice alguna acción, es muy probable que sea un email falso, escriba directo a su proveedor y verifique antes de ejecutar cualquier acción.
3. Si recibe amenazas legales, verifique la autenticidad del supuesto abogado, pida datos, teléfono, ubicación física, en caso de tratarse de algún asunto legal genuino, lo mejor es obtener asesoría legal antes de responder.
4. Utilice la función “Look” o Bloquear, cuando un dominio esta bloqueado, sus datos no pueden ser modificados y tampoco puede ser transferido sin antes desbloquearlo, para los clientes de DataOne, basta con ir al panel de dominios, en la sección Administración y hacer click en el botón “Bloquear/Desbloquear” asegurese de bloquearlo.
5. Utilice las opciones de privacidad: Casi todos los registradores, ofrecen algún tipo de privacidad del dominio, es decir que sus datos reales no aparezcan en un Whois, de esta forma será bastante difícil para un ladrón de dominios contactarle, los clientes DataOne, tiene el servicio de Privacidad Completamente GRATIS, para activarlo solo vaya a la Administración del Dominio y haga click en el botón “Privacy Protection”

Estas sencillas medidas le protegerán del robo de dominios.

¿Que hacer si me han robado el dominio?

Si le han robado el dominio, probablemente no ha seguido los consejos que hemos ofrecido, en este caso el procedimiento a seguir es:

1. Reúna toda la evidencia que disponga que demuestre que es su dominio, recibos de pago, etc.
2. Haga un whois a su dominio y observe cuidadosamente los datos del “nuevo propietario” vea que empresa es, cual es el registrador, prepare un email que incluya la evidencia y que indique claramente que la transferencia se realizó sin su consentimiento y envíelo al registrador que maneja el dominio (este dato puede ser visto en el Whois)
3. Contacte al actual tenedor del dominio e indíquele que el dominio fue transferido sin su consentimiento y ha notificado al registrador, además que procederá con todas las acciones necesarias para recuperar su dominio, a veces la presión suele obtener resultados.
4. Contacte a su actual registrado de dominio (la empresa a la que ha comprado el dominio) y exponga su caso

Recuperar un dominio no siempre es tarea fácil, pero si prepara un buen caso con abundante evidencia temdrá más posibilidades de éxito.