Arañas y direcciones IP indeseables

Arañas y direcciones IP indeseables

Un administrador de sistemas que se precie debe estar en continua investigación y colaboración, así que como esta vez bebí de fuentes libres y sabias, que me han enseñado a librarme de la araña baidu y de las IP indeseables, tengo que devolver mi conocimiento a la red,

Servicio de administraciond e sistemas, mantenimiento de redes de ordenadores

con las pretensiones de dejar mi granito de arena en cuanto a la seguridad en las comunicaciones, esta vez tocando las visitas de la araña baidu y direcciones ip indeseables.

Si, me tomé unas vacaciones en cuanto a la redacción de entradas en el blog que no de trabajar.. ojalá, he estado liado, como cualquier informático que se dedica a la administración de sistemas, además nos han encomendado trabajo para realizar un par de proyectos de comercio electrónico, uno para venta de relojes y otro para libros.

Joomla HackeadoAl grano, en estos últimos tiempos hemos tendido un poquito de todo, una inyección de código con re-dirección a programas spamer en un CMS Joomla des-actualizado, así como la incansable visita de la araña baidu del buscador chino.

En el primer asunto, la inyección de código, no hay mucho que comentar, sólo que la herramienta de webmaster de google no se coscó pero uno, que es ‘aficcionado’ al munin y un empedernido lector de logs de servicios pues, tras un mosqueo en las estadísticas de carga del servidor, un repaso con lupa del log de apache, y unas consultas a San Google y su ejercito de colaboradores, pude encontrar la documentación de apoyo que me sirvió para eliminar el código maligno y actualizar el módulo obsoleto, así como repasar las medidas de seguridad.

El segundo asunto, el de nuestra amiga la araña baidu, ha sido un poquito mas filosófico, ya que me lo pensé. Los chinos, quien puede despreciar este enorme mercado, su buscador estrella «baidu», indexando nuestras páginas para su motor de búsqueda… uffff, me costo, pero vi que en las estadísticas de las webs alojadas en nuestros servidores no se producen visitas desde la China, que los colegas administradores de sistemas con los que me tope, en la red,estaban igual de mosqueado que yo y que la gran mayoría ya había tomado medidas,  y que coincidíamos en las malas prácticas de esta araña que no respeta las directrices de robot.txt.. y todos los días viendo los trayazos de carga en el munin… pues todo eso, hizo que me pusiera manos a la obra..

Araña Baidu

 

 

.. a ver .. ¿Que están haciendo las «tortugas marinas» en China.

 

Consultando en la red y a mi colaborador de referencia Antonio he decidido poner unas reglas en el cortafuegos para impedir la entrada de la araña baidu. Ya miraré el impacto, estaré atento a la evolución de baidu en cuanto a la mejora en sus prácticas de indexación y sobre todo a la intuición que los años me regalan.

Tras conseguir en los logs de apache una relación de las IP de la araña con el comando grep:

grep -ri Baidu /var/log/apache2/*.log | cut -f1 -d’ ‘ | sort | uniq >ip_baidu

edite las siguientes reglas para el cortafuegos iptables, correspondientes a los rangos de ip que revise en el fichero ip_baidu de salida del comando anterior

Acceso denegado

iptables -A INPUT -s 119.63.196.0/24 -j DROP
iptables -A INPUT -s 123.125.71.0/24 -j DROP
iptables -A INPUT -s 125.39.78.0/24 -j DROP
iptables -A INPUT -s 180.76.5.0/24 -j DROP
iptables -A INPUT -s 180.76.6.0/24 -j DROP
iptables -A INPUT -s 202.46.54.0/24 -j DROP
iptables -A INPUT -s 220.181.108.0/24 -j DROP

Estas reglas las puse al inicio de las reglas de entrada con su oportuno comentario y fecha de edición para que cuando vuelva  a visitar el cortafuegos, tenga todo claro.

control

De esta experiencia y conocimiento, me quedo con el método para conseguir las direcciones ip y con la regla de denegación de entradas de ragos de ip’s muy valiosas para neutralizar futuros ataques DOS y otros tipos de visitas indeseables. Sólo comentar que para estos casos, y teniendo en cuenta que estos ataques se hacen desde ip’s dinámicas, hay que activarlas y al paso de un tiempo, cuando el ataque termine, eliminarlas (o comentarlas).
Estos es todo por hoy, que es viernes, y que como todos los viernes, damos la bienvenida al FIN de SEMANA!!

Saludos cordiales.