Escenario del día de hoy: estoy en la oficina por la mañana; recuerdo que debo realizar algunas actividades administrativas en el servidor de hosting en donde se encuentra hospedado este H.H.H. blog (y muchos otros sitios, el cual se encuentra como a 3,000 km. de aquí) y realizo una conexión por SSH con mi usuario y contraseña. Entro sin problemas, tecleo mi comando:
... y obtengo:
Lo hago una segunda vez (el password es largo y complicado: 21 caracteres incluyendo minúsculas, mayúsculas, un montón de números y símbolos); mismo error. Una tercera vez... ¡nada!. Lo tecleo en un editor de texto para comprobar que no me equivoque; hago copy/paste y... ¡nada!. El mismo horrible mensaje de "incorrect password".
Siento un hueco en el estómago, empiezo a sudar frío, ¿qué pasó?. Cojo el teléfono y de inmediato le llamo a la única otra persona que tiene el password de root del servidor y escucho las temidas palabras: "no, yo no le cambié el password e incluso entré al servidor el sábado por la mañana y lo usé, todo estaba en orden". Le digo que continuaré investigando (después de todo, YO soy el administrador del server, ¿no?). El comando "last" no me ayuda de mucho, pues siendo hoy 2 de junio y no habiéndose conectado nadie ayer, mi conexión por SSH al servidor es la primera del mes. Checo los procesos: no hay nada extraño ejecutándose, todo se ve "normal" en la carga del trabajo del servidor; no parece que haya sido hackeado ni mucho menos.
Por fortuna, tengo aquí enfrente a Max quien me sugiere que verifique la fecha en qeu se modificó el archivo /etc/shadow y mis peores sospechas se confirman: fue modificado el sábado 31 de mayo a las 18:11 de la tarde. ¡Espera!. Ese día, a esa hora, yo realicé una conexión al servidor... desde casa de mis papás. Resulta que un sitio de mi hermano lo tenía desactivado y él quería hacer respaldo de sus archivos, por lo que me conecté desde la computadora de mis papás a activar dicho sitio. ¡UPS!. Sí, me conecté DESDE SU COMPUTADORA, habiendo descaragdo el PuTTY. Mi primera suposición (ya para entonces andaba entre frío y morado de los nervios) fue que esa computadora estaba comprometida y le habían instalado un key logger, robándome así el password de root (pues hice SSH con mi usuario pero después hice un "su -" dentro del servidor). Por supuesto que eso pasó; no pudo haber sido de otra manera.
Pero... ¿para qué hackear un servidor y no ponerlo a hacer nada?. Todo el trabajo (al menos lo qeu se podía verificar sin acceso a root) se veía normal, nada de esto concordaba. Además, ¿por qué habrían de cambiar el password de root y mi password (con el primero que entré) estaba intacto?. No, no tenía mucho sentido. Un last -f al contenido del "lastlog" de respaldo (/var/log/wtmp.gz) me dio finalmente la respuesta, fue como una descarga eléctrica el recordar al ver la información ahí presentada: el usuario "imoq" (yo) se había conectado desde una conexión de infinitum (casa de mis papás) el día sábado 31 de mayo a las 18:10 y se desconectó a las 18:13. El password había sido cambiado a las 18:11 y según yo sólo había entrado a activar el sitio... ¡pues no!. En ese momento recordé que mi hermano me había dicho que olvidó su password y se lo cambié y entonces los cielos se abrieron para mí: seguramente ejecuté el comando "passwd" olvidando el pequeño detalle del parámetro del nombre de usuario de mi hermano; por tanto, la contraseña que mi hermano tecleó fue asignada a root y no a su usuario.
Traté por un buen rato de comunicarme con mi hermano: ni en su casa, ni en su móvil ni en su trabajo tuve suerte, y la ansiedad me carcomía hasta que por fin entró la llamada. Después de explicarle rápidamente lo que sucedió, me dio el password que había teclado y... ¡efectivamente! ése era el password de root .
No estoy orgulloso de la estupidez que cometí: en más de 12 años que llevo como sysadmin nunca había cambiado el password de root por equivocación y un error lo puede cometer cualquiera, aún con experiencia, pero... ¡qué feo se siente! .
Si te llega a suceder algo así... que no cunda el pánico y trata de pensar claramente antes de alucinarte con hackeos y keyloggers... ¡puede ser que te haya hackeado tu hermano! .
Comentarios:
16
Comentarios
Autor
Comentario
Carlos
Asunto: Hackeoescrito: 03 jun, 2008
no registrado
Jojojo, creo que no te hackeó tu hermano, más bien fue un auto-hack!
Eso me recuerda a una vez que queriendo "limpiar" un directorio no útil para mí, le dí el fatídico rm -rf * sin percatarme que NO estaba el el directorio, sino en mi home.... claro que perdí todo lo que había en mi cuenta, con mi código y mi texto de la tesis de doctorado. Afortunadamente había un respaldo de un dia antes pero pasé aceite toda esa noche. fiu!
Lo bueno es que lograste resolver el problema y que no pasó a mayores... claro que también puede ser que tu hermano, que es un super espía internacional esté ocultando lo que en realidad pasó en ese sitio jojojojo
Besitos y galletas:
Hely
Tiene siglos que no sé más de ti... ojalá podamos vernos pronto...
---
"If men had wings and bore black feathers, few of them would be clever enough to be crows."
-Rev.Henry Ward Beecher ("Bird Brains")
oscar rovira
Asunto: El frio inconfundibleescrito: 07 jun, 2008
no registrado
Jejeje uff he sentido ese frío varias veces, lina anecdota y divertida, recordé aquella historia por la uqe perdí mi shell contigo
y tantas otras en las que me haz ayudado suerte alexito y cuidado con esos cambios de pass, imaginate que la respuesta de tu hermano hubiera sido "qué bueno que me hablas, olvidé mi contraseña me la vuelves a cambiar?... tu cara hubiera sido esta
Saludos alexito y abrazos
gabi
Asunto: pelotudosescrito: 19 sep, 2008
no registrado
mierda me dan pena hijos de puta q pagina ma aburrida
Agregar un nuevo comentario
Acerca de Imoq
Computólogo de corazón, usuario de software
libre por convicción. Me gusta disfrutar de la vida y la compañía de los
amigos. Me encantan los videojuegos, sobre todo los RPGs.
Disfruto mucho leer, mi autora favorita es Anne
Rice y siempre sueño
con sus fantásticas historias de vampiros, brujas, momias, fantasmas y espíritus. Amo el cine y con frecuencia gusto de ver toda clase de películas. Comparto
mi vida con mi pareja
y caminamos juntos en todo; así soy feliz. Nos
agrada viajar juntos sobre todo a las playas aunque también
nos gusta
salir del país y conocer otras culturas.
Design by Slackhat Todos los logos y las marcas registradas en este sitio son propiedad de su respectivo dueño. Los comentarios son propiedad de quienes los emitan. Los artículos y fotografías se encuentran sujetos a la licencia Creative Commons. This web site was made with PostNuke, a web portal system written in PHP. PostNuke is Free Software released under the GNU/GPL license.
Puedes obtener los titulares de este sitio en formato RSS usando el archivo backend.php
También puedes obtener las historias completas en RSS 2.0 con el archivo xBackends.php?feedtype=rss2
Adicionalmente, puedes obtener los comentarios de los usuarios en RSS 2.0 con el archivo index.php?module=EZComments&func=feed
)
.
.
pero pasé aceite toda esa noche. fiu! 
suerte alexito y cuidado con esos cambios de pass, imaginate que la respuesta de tu hermano hubiera sido "qué bueno que me hablas, olvidé mi contraseña me la vuelves a cambiar?... tu cara hubiera sido esta 
![[Valid RSS]](/images/valid-rss.png "Validate my RSS feed"){kind=small}
no registrado