Bogotá D.C., Colombia
Martes 20 de agosto de 2019

Estimado cliente,

El siguiente informe pretende dar a conocer lo sucedido en uno de nuestros servidores con incidencia presentada desde el martes 13 de agosto de 2019, con falla total de servidor el día sábado 16 de agosto de 2019 10:00pm, que solo afecta a nuestros clientes alojados en el servidor power.

Sistema de respaldos
Doble disco duro en estado mirror, para garantizar en caso de ruptura física
Generación de Respaldo automático diario (3 copias) y semanal (última semana domingo)
Traslado backup a servidor externo.
Monitorización mediante notificación via email al finalizar el proceso.

Procedimiento contra ataques
El servidor cuenta con bloqueo de firewall a tres intentos de contraseña errónea.
Firewall
Sistema anti.ddoss
Sistema antivirus
Un servidor atacado primero es revisado por antivirus, luego inspección y eliminación de archivos no autorizados y cambio de contraseña principal de cuenta. Actualización de sistema de la pagina Web Wordpress y plugins. Revisión de firewall de Wordpress: wordfence.

Procedimiento en caso de falla total de servidor:
El el caso de que el servidor quede inasequible se procede con reinstalación de OS
Conexión a servidor de respaldos
Traslado de Copias de seguridad a servidor reinstalado.
Despliegue de copias de seguridad.

 

Incidente

Fecha: Desde martes 13 de 2018
Máquina: power.mipagina.net
IP Compartida: 158.69.117.229
Usuarios: 134/300

El servidor se ve afectado por phishing y cambios de contraseñas de cPanel, principal contraseña del sistema. Nos llegan alertas de phishing desde nuestro sistema en datacenter, El phishing es una actividad que pretende robar credenciales, por ejemplo de bancos o accesos personales, con sitios fraudulentos.

Se recibe notificación de sistema que el respaldo se ha generado completo, esta notificación se recibe cada dos días y se revisa en caso que la notificación indique algún error.

Se intenta mitigar el ataque Phishing, mediante el Procedimiento contra ataques, sin resultados óptimos. El ataque afecta la contraseña root, no nos da acceso al disco.

Se intenta restaurar contraseña root sin acceso al reiniciar la máquina con la nueva contraseña resignada, sistema operativo cae. Se trata de revisar en datacenter para recuperar, se dá como fallo total de servidor, se inicia procedimiento.
Montar el servidor, instalar sistema operativo 00:00am 00:50
Configurar Servidor cPanel 00:50 - 1:05
Acceder a respaldos ftpbk desde terminal para importarlos. 1:05 2:30
Restaurar respaldo. 2:30 - 6:05
Importar al nuevo servidor los DNS Zone (sin sincronizar).
Si todo Ok, activar sincronizar DNS.
Si todo Ok, activar respaldos FTPBK nuevamente.

Una vez terminado procedimiento se observa que el sistema de respaldo automático, no envió copia al servidor de respaldos externo, la copia de seguridad notificada en el sistema, solo estaba quedando en el servidor principal y este respaldo no fue accesible cuando el ataque vulneró la contraseña root, y había que soportarse en los backups enviados al servidor de respaldo externo, el servidor externo de respaldo indicaba 480GB de información respaldada, desafortunadamente información de hasta abril de 2018.

Se solicita a los clientes que han generado sus respectivos Backup más actualizados de manera local, por fuera de la infraestructura de Mipagina, enviarlos al correo soporte@mipagina.net para ayudar en su restauración y verificación, si lo requiere.

Como gerente de Concept Design S.A.S. propietaria de la marca mipagina.net pido excusas por este incidente presentado, y pongo a disposición las demás herramientas que están a nuestro alcance para sobrepasarlo.

Dario Vargas
Gerente General.
CONCEPT DESIGN S.A.S.