¡Me hackeó mi hermano!… (…NOT! :P)
Escenario del día de hoy: estoy en la oficina por la mañana; recuerdo que debo realizar algunas actividades administrativas en el servidor de hosting en donde se encuentra hospedado este H.H.H. blog (y muchos otros sitios, el cual se encuentra como a 3,000 km. de aquí) y realizo una conexión por SSH con mi usuario y contraseña. Entro sin problemas, tecleo mi comando:
su –
… y obtengo:
[imoq@superserver ~]$ su -
Password:
su: incorrect password
[imoq@superserver ~]$
Lo hago una segunda vez (el password es largo y complicado: 21 caracteres incluyendo minúsculas, mayúsculas, un montón de números y símbolos); mismo error. Una tercera vez… ¡nada!. Lo tecleo en un editor de texto para comprobar que no me equivoque; hago copy/paste y… ¡nada!. El mismo horrible mensaje de «incorrect password».
Siento un hueco en el estómago, empiezo a sudar frío, ¿qué pasó?. Cojo el teléfono y de inmediato le llamo a la única otra persona que tiene el password de root del servidor y escucho las temidas palabras: «no, yo no le cambié el password e incluso entré al servidor el sábado por la mañana y lo usé, todo estaba en orden». Le digo que continuaré investigando (después de todo, YO soy el administrador del server, ¿no?). El comando «last» no me ayuda de mucho, pues siendo hoy 2 de junio y no habiéndose conectado nadie ayer, mi conexión por SSH al servidor es la primera del mes. Checo los procesos: no hay nada extraño ejecutándose, todo se ve «normal» en la carga del trabajo del servidor; no parece que haya sido hackeado ni mucho menos.
Por fortuna, tengo aquí enfrente a Max quien me sugiere que verifique la fecha en qeu se modificó el archivo /etc/shadow y mis peores sospechas se confirman: fue modificado el sábado 31 de mayo a las 18:11 de la tarde. ¡Espera!. Ese día, a esa hora, yo realicé una conexión al servidor… desde casa de mis papás. Resulta que un sitio de mi hermano lo tenía desactivado y él quería hacer respaldo de sus archivos, por lo que me conecté desde la computadora de mis papás a activar dicho sitio. ¡UPS!. Sí, me conecté DESDE SU COMPUTADORA, habiendo descaragdo el PuTTY. Mi primera suposición (ya para entonces andaba entre frío y morado de los nervios) fue que esa computadora estaba comprometida y le habían instalado un key logger, robándome así el password de root (pues hice SSH con mi usuario pero después hice un «su -» dentro del servidor). Por supuesto que eso pasó; no pudo haber sido de otra manera.
Pero… ¿para qué hackear un servidor y no ponerlo a hacer nada?. Todo el trabajo (al menos lo qeu se podía verificar sin acceso a root) se veía normal, nada de esto concordaba. Además, ¿por qué habrían de cambiar el password de root y mi password (con el primero que entré) estaba intacto?. No, no tenía mucho sentido. Un last -f al contenido del «lastlog» de respaldo (/var/log/wtmp.gz) me dio finalmente la respuesta, fue como una descarga eléctrica el recordar al ver la información ahí presentada: el usuario «imoq» (yo) se había conectado desde una conexión de infinitum (casa de mis papás) el día sábado 31 de mayo a las 18:10 y se desconectó a las 18:13. El password había sido cambiado a las 18:11 y según yo sólo había entrado a activar el sitio… ¡pues no!. En ese momento recordé que mi hermano me había dicho que olvidó su password y se lo cambié y entonces los cielos se abrieron para mí: seguramente ejecuté el comando «passwd» olvidando el pequeño detalle del parámetro del nombre de usuario de mi hermano; por tanto, la contraseña que mi hermano tecleó fue asignada a root y no a su usuario.
Traté por un buen rato de comunicarme con mi hermano: ni en su casa, ni en su móvil ni en su trabajo tuve suerte, y la ansiedad me carcomía hasta que por fin entró la llamada. Después de explicarle rápidamente lo que sucedió, me dio el password que había teclado y… ¡efectivamente! ése era el password de root 😛 :D.
No estoy orgulloso de la estupidez que cometí: en más de 12 años que llevo como sysadmin nunca había cambiado el password de root por equivocación y un error lo puede cometer cualquiera, aún con experiencia, pero… ¡qué feo se siente! :P.
Si te llega a suceder algo así… que no cunda el pánico y trata de pensar claramente antes de alucinarte con hackeos y keyloggers… ¡puede ser que te haya hackeado tu hermano! ¬¬ 😛 😀 :lol:.
Jojojo, creo que no te hackeó tu hermano, más bien fue un auto-hack! 😆 🙄 😎
Eso me recuerda a una vez que queriendo «limpiar» un directorio no útil para mí, le dí el fatídico rm -rf * sin percatarme que NO estaba el el directorio, sino en mi home…. claro que perdí todo lo que había en mi cuenta, con mi código y mi texto de la tesis de doctorado. Afortunadamente había un respaldo de un dia antes 😉 pero pasé aceite toda esa noche. fiu! 😀
Lo tomaré en cuenta… XD
Lo bueno es que lograste resolver el problema y que no pasó a mayores… claro que también puede ser que tu hermano, que es un super espía internacional esté ocultando lo que en realidad pasó en ese sitio jojojojo
Besitos y galletas:
Hely
Tiene siglos que no sé más de ti… ojalá podamos vernos pronto…
Jejeje uff he sentido ese frío varias veces, lina anecdota y divertida, recordé aquella historia por la uqe perdí mi shell contigo 🙁
y tantas otras en las que me haz ayudado 🙂 suerte alexito y cuidado con esos cambios de pass, imaginate que la respuesta de tu hermano hubiera sido «qué bueno que me hablas, olvidé mi contraseña me la vuelves a cambiar?… tu cara hubiera sido esta :-O
Saludos alexito y abrazos
mierda me dan pena hijos de puta q pagina ma aburrida 👿