Una pequeña historia de un sysdamin descuidado

Cada semana hago un backup una copia de seguridad de Incognitosis y de The Unshut que dejo bien guardadita en mi NAS. Eso me permite estar relativamente tranquilo, porque en caso de que internet explote sé que voy a tener tanto el directorio con todos los ficheritos de WordPress de ambos blogs como la base de datos actualizada. Restaurarlos a partir de ahí es moco de pavo, y como mucho perderé las creaciones (y comentarios) de toda una semana, algo que es bastante soportable.

El caso es que hago esas copias de seguridad manualmente. Podría automatizarlo todo, pero me gusta lo de darme un paseo por el servidor para ver si hay cositas que hacer. El caso es que tras el cambio de infraestructura en el que usé CentminMod cambiaron algunas cosas, y lo malo de usar scripts que te automatizan la instalación de todo (aquí sí que preferí algo automático, había oído demasiados comentarios positivos) es que no te enteras de cómo funcionan muchas cosas a no ser que te metas en harina. Y como (normalmente) todo funciona fenomenal, no te metes.

Pero claro, luego pasan cosas como la de hoy. Mi teclado está un poco cascado y al ir a hacer el backup hoy introduje mal la contraseña de accceso un par de veces y lo mismo me ocurrió al hacer la copia de un par de ficheros vía scp. No sabía qué tecla de las narices fallaba, pero el caso es que creí que no pasaría nada: si no metes bien la contraseña, el sistema te la vuelve a pedir un número limitado de veces y al final logré teclearla bien en ambos casos.

Pero ocurre que fueron 5 intentos fallidos en un periodo inferior a 3.600 segundos, así que mi CentOS se mosqueó. Es script instala un firewall llamado CSF que yo jamás había usado pero que es bastante más picajoso que yo: cuando eso ocurre crea automáticamente una regla que hace que la IP desde la que eso ocurre quede bloqueada.

Total, que de repente no podía acceder al servidor desde casa. Ni al servidor, ni a los blogs, claro. Ni siquiera se me ocurrió que fueran las iptables, algo que descubrí tras ponerme en contacto con la gente de Gigas, que tienen un servicio de soporte alucinante. Ahí uno tira de chat -te contestan enseguida- pero es que al contrario de lo que pasa en otros servicios -hace poco hablaba de ello– resulta que te encuentras con que la tira cómica que puse de xkcd hace poco se hace realidad.

La persona que me atendió podía acceder perfecto, así que sugirió lo de las reglas de iptables, y a mí me extrañó la sugerencia, pero dije, «bueno, vamos a mirar, pero yo ahí no he tocado nada». De hecho pensé que 1) la persona de Gigas no podía tener razón o 2) que la tenía, y un hacker cracker me había hecho la puñeta.

Ja.

En Twitter algunos contestásteis y me comentásteis que os iba bien, y efectivamente: sin enchufarme a la WiFi de casa sí pirulaba todo: abrí una sesión SSH con JuiceSSH en Android (si no lo habéis probado, mola que te mola) y comprobé que podía acceder y que todo estaba bien: podía navegar por Incognitosis y The Unshut, así que era evidente que la persona de Gigas estaba en lo cierto. ¿Qué hice? Pues como desde el móvil toquetear no es muy sano, me metí desde el PC (con la IP baneada) en otro VPS que tengo por ahí y desde allí sí pude hacer ssh a la máquina afectada. Podía entrar, por supuesto.

Ahí es donde quedó claro el problema. Mirando la documentación de CentminMod vi que puede pasar lo que me pasó, así que eché un vistazo al fichero /etc/csf/csf.deny y al final del mismo, esto:

80.xxx.xxx.xxx # lfd: (sshd) Failed SSH login from 80.xxx.xxx.xxx (ES/Spain/xxx.red-80-xxx-xxx.staticip.rima-tde.net): 5 in the last 3600 secs – Mon May 30 13:3$

Ahí le has dado. Mi IP estaba baneada y no podía hacer nada: ni ssh, ni puerto 80 normal y corriente… nada. La solución era inmediata, claro. Eliminar esa línea (en realidad la comenté para recordarme a mí mismo el error en el futuro) y reiniciar el cortafuegos con un csf -r.

Mano de santo, oiga. Incognitosis volvía a la vida (para mí, para el resto del mundo siguió vivo todo el rato y no me di cuenta). En otro tiempo me hubiera agobiado porque llevaba estos temas a nivel profesional en la época de los Muys, pero ya estoy curado de espantos y cuando pasan estas cosas me lo tomo con filosofía y tranquilidad, y hasta disfruto resolviendo el problema. Un poco, claro. Tampoco soy un sysadmin experimentado ni vocacional: me encanta trastear de cuando en cuando y aprender alguna nueva cosilla, pero conozco mis limitaciones. Eso sí, lo a gusto que me he quedado cuando lo he resuelto no me lo quita nadie.

A la cama no te irás sin aprender algo más. Bien por CSF. Y bien por Gigas: chapeau por sus tiempos de respuesta, por abrir un ticket y comentarme la situación y por estar pendientes en todo momento del tema. De hecho acaban de contestarme con un

Hola Javier,

No te preocupes, para eso estamos. Gracias por tu confianza

Así da gusto, caray. No es porque me patrocinen desde hace tres años (que también), pero es que uno queda muy tranquilo con este servicio de atención y por un panel de control que acaban de actualizar y que mola más que nunca. Plas, plas plas. Recomendados 100%, de verdad.

Puede que no lo sepas: puedes colaborar con una propinilla en Incognitosis a través de Patreon: suscríbete y aporta una cantidad mensual si esto de leer mis entradas te compensa. Y si no lo hace, ¡pues también, hombre!

Suscríbete a Incognitosis

7 comentarios en “Una pequeña historia de un sysdamin descuidado”

Jesus dice:

Hola Javier, recomiendas alguna herramienta para hacer los backup? Estoy trasteando con alguna herramienta que haga un backup de manera facil de varios WP.
La copia de Plesk no la termino de entender y no hace mas que llenar el disco de copias, y mas copias, que nos llena el 100% del disco.

Tengo algún script que parece funcionar bien con rsync, que tengo que afinar http://www.lifehacker.com.au/2012/02/automatically-back-up-your-website-every-night/

Puedo confirmar que el soporte de Gigas (por lo menos por chat) es muy recomendable, nos ha salvado mas de una vez 🙂

lunes, 30 mayo de 2016 a las 7:00 pm
- JaviPas dice:
  
  Uy, aquí cada maestrillo tiene su librillo. Hay varios servicios que ofrecen copias de seguridad automatizadas y plugins varios tanto de pago como gratuitos -durante un tiempo usé WP-Cron para planificar copias de las bases de datos, que son importantes- pero yo acudo a lo que tu comentas: un buen rsync y listo para el directorio de WP y listo. En cuanto a la base de datos, tampoco me complico, un mysqldump para generar la copia de seguridad y un scp para pasarlo al NAS. No tiene mucho misterio.
  
  lunes, 30 mayo de 2016 a las 8:48 pm
- manuti dice:
  
  Yo estoy usando en un par de sitios Updraft en versión gratuita https://updraftplus.com/ y por lo menos no me llenan el Hosting de cosas. Aún no he necesitado restaurar así que en realidad no sé cómo de bueno es, y no me atrevo a experimentar.
  
  lunes, 30 mayo de 2016 a las 10:26 pm
Pablo dice:

Hola Jesús,

no soy Javier pero espero ayudarte. Te recomiendo para gestionar a nivel de WordPress los backups el siguiente panel: https://mainwp.com/ y a nivel de sistema http://elkarbackup.github.io/

Saludos 🙂

lunes, 30 mayo de 2016 a las 7:46 pm
Vicent dice:

Me huelo un futuro post de teclados ..

lunes, 30 mayo de 2016 a las 10:07 pm
Anonimox dice:

Joder soy un bestia, me gusta hacer las copias a manopla mediante sftp y conectarme a la bbdd por consola y hacerlo mano, soy una antigua……. eso si con un script y copia incremental…….

lunes, 30 mayo de 2016 a las 11:01 pm
senseye3led dice:

Para la próxima tal vez si vas desde una IP ESTÁTICA puedas meterlo en algún filtro de IPs aceptadas y así, aunque metas la contraseña X veces de manera incorrecta nunca te baneará.

La herramienta que comentas no la conocía, pero lo normal es poner un fail2ban en el servidor y editar las reglas para que tu IP entre en la lista de los permitidos de manera permanente.

Tal y cómo has mencionado, conectarte por otra IP también puede ser la solución.

Un saludo,

jueves, 2 junio de 2016 a las 5:16 pm

Comentarios cerrados