Si por cualquier razón necesitáis bloquear el tráfico de un servidor desde algún país en concreto en http://www.countryipblocks.net/ mantienen una lista actualizada de los rangos de ips de cada país.

Puedes descargar varios formatos, incluso uno preparado para insertar directamente en un fichero .htaccess, aunque a mi no me parece el mejor formato ya que obligas a que el servidor web revise una lista de ips que puede llegar a ser muy grande antes de que muestre la página y eso podría hacer que la navegación se enlenteciera demasiado, además un servidor web no es el más adecuado para realizar esa función.

Os pongo varios ejemplo de como realizar el bloqueo desde la línea de comandos. Para los ejemplos he utilizado korea, no se os ocurra utilizar rangos de ips de el país en el que estáis por que os podéis bloquear el acceso. Como diría un amiguete, «no seáis gañanes»

Con iptables:

.
/usr/bin/wget -O /tmp/pais.txt https://www.countryipblocks.net/e_country_data/KR_cidr.txt; for i in $(/bin/cat /tmp/pais.txt | /bin/grep -v '#'); do sbin/iptables -A INPUT -s $i -j DROP; done; /bin/rm /tmp/pais.txt

Con apf:

.
/usr/bin/wget -O /tmp/pais.txt https://www.countryipblocks.net/e_country_data/KR_cidr.txt; for i in $(/bin/cat /tmp/pais.txt | /bin/grep -v '#'); do /etc/apf/apf -d $i; done; /bin/rm /tmp/pais.txt

ACTUALIZACIÿN
countryipblocks.net ya no permite descargar esos ficheros así que ahora utilizo el listado de maxmind.com

Como lo dan en otro formato he tenido que cambiar la rutina que lo proceso, ahora en una sola línea, aunque tiene el inconveniente de que necesitas tener instalada la aplicación ipcalc (sudo apt-get install ipcalc) para calcular el cidr.
Tened en cuenta que sólo permite descargar la base de datos unas pocas veces al día.

En esta rutina bloquea todo el tráfico que viene de china (CN)

curl http://geolite.maxmind.com/download/geoip/database/GeoIPCountryCSV.zip | funzip | grep CN | tr -d '"' | awk '{split($0,a,","); print "ipcalc -r "a[1]" "a[2]" | head -2 | tail -1"}' | sh | awk '{print "iptables -A INPUT -s "$0" -j DROP"}' | sh

WordPress muestra en las cabeceras de todos los blogs la versión que estás ejecutando. Si quieres añadir una pequeña capa más de seguridad a tu instalación de WordPress lo mejor es eliminar esa información.
Una forma sencilla y rápida de hacer esto es añadir al final de tu fichero functions.php del tema este código:

remove_action('wp_head', 'wp_generator');

Muchas veces cuando instalas en un servidor algún plugin o algún cms, como prestashop, te crean permisos de lectura, escritura y ejecución que no son los más adecuados para la seguridad del servidor. Personalmente me molesta especialmente encontrarme con directorios y ficheros con 777.

Modificar a mano una cantidad muy grande de ficheros y directorios puede requerir mucho tiempo así que he preparado un pequeño script en python que hace esas modificaciones por mi. Sólo hay que cambiar el string ruta_a_explorar por el path y el sólo modifica los ficheros y directorios dejando los permisos 644 para los ficheros y 755 para los directorios.

Espero que os sea útil.

#! /usr/bin/env python
# -*- coding: utf-8-*-
import os, sys, stat
 
 
ruta_a_explorar="/ruta/a/explorar/"
 
for root,dirs,files in os.walk(ruta_a_explorar):
        for file in [f for f in files]:
                pp=os.path.join(root, file).replace("""\\""",'/')
                if stat.S_ISDIR(os.stat(pp)[stat.ST_MODE]):
                        os.chmod(pp,stat.S_IRWXU|stat.S_IWUSR|stat.S_IRGRP|stat.S_IXGRP|stat.S_IROTH|stat.S_IXOTH)
                elif stat.S_ISREG(os.stat(pp)[stat.ST_MODE]):
                        os.chmod(pp,stat.S_IRUSR|stat.S_IWUSR|stat.S_IRGRP|stat.S_IROTH)
 
        for dir in [f for f in dirs]:
                pp=os.path.join(root, dir).replace("""\\""",'/')
                print pp
                if stat.S_ISDIR(os.stat(pp)[stat.ST_MODE]):
                        os.chmod(pp,stat.S_IRWXU|stat.S_IWUSR|stat.S_IRGRP|stat.S_IXGRP|stat.S_IROTH|stat.S_IXOTH)
                elif stat.S_ISREG(os.stat(pp)[stat.ST_MODE]):
                        os.chmod(pp,stat.S_IRUSR|stat.S_IWUSR|stat.S_IRGRP|stat.S_IROTH)

Estos días están saliendo muchas noticias en todos los medios tanto en línea como en papel haciéndose eco de la noticia de El país sobre el comentario de panda referente a que «Uno de cada tres ordenadores está infectado en España«, que digo yo que será verdad, pero que tampoco hay que extrañarse.
Hoy en día es raro el hogar que no tiene un ordenador, usado tanto para ocio como para trabajo, comprado en uno de esos supermercados de informática donde lo mismo te venden un equipo con las últimas prestaciones como un cepillo de dientes eléctrico, pero no hay que olvidar que un ordenador no es un electrodoméstico como otro cualquiera.

Lo primero que se debería hacer entender a los usuarios de ordenadores con conexión a internet de banda ancha es que lo de los antivirus no es una manía y que no todo lo que aparece en la pantalla es verdad, que cuando nos aparezca una ventana diciendo que nos ha tocado un premio de xxx dólares no se debería pulsar por que lo más probable es que nos metan un buen virus o cuando una moza ligerita de ropa nos cuenta que si pulsas en su foto vas a ver Sodoma y Gomorra pues idem, y mejor no hablar de los correos por que se nos alargaría esto una barbaridad.

Lo malo no es que les entre uno o doscientos virus, lo realmente malo es que a muchos no les importa. He escuchado infinidad de veces la frasecita de «da igual que tenga virus, pa lo que tengo en el ordenador …» o «siiii tengo antivirus, pero lo suelo cerrar por que el ordenador me va muy lento«.

Y es que de lo que no se dan cuenta es de que a lo mejor su ordenador lo están utilizando para:

  • Almacenar y distribuir material pedófilo.
  • Enviar millones de correos electrónicos con mas virus o phishing.
  • Almacenar contraseñas y datos sensibles robados.
  • Ser utilizado para atacar a otros ordenadores.
  • Ser usado como proxy para robar en bancos.
  • etc. etc. etc.

Uno de esos famosos ordenadores zombies de los que por lo visto hay miles en España.

Y luego dicen que soy un exagerado por que siempre le digo a todo el mundo que hay que instalar un firewall y un antivirus y además me miran como si estuviera loco cuando les digo que es imprescindible que lo actualicen diariamente. Supongo que muchos ya me lo oiríais decir otra veces pero creo que para usar ciertos servicios a muchos les deberían exigir un carnet de manejo de ordenadores.

Veo en el blog de Sergio Hernando un artículo muy bueno sobre como elegir nuestras claves adecuadamente.

Hay cuatro reglas que si seguimos, probablemente conducirán a que tengamos claves adecuadas. Son los siguientes:

  • Nunca bases tu clave en información personal: ni nombre, ni nombre de usuario, ni fecha de cumpleaños, números de pasaporte o documentos de identidad, ni aniversarios ni nada que sea fácilmente adivinable o intuíble, o que simplemente se pueda averiguar conociendo un poco a la persona.
  • No elijas claves que sean palabras que puedan aparecer en cualquier diccionario. Los ataques de diccionario se basan precisamente en esto.
  • No escojas transformaciones simples de palabras. Si me llamo Sergio, emplear la clave Oigres no es una buena idea. Tampoco lo sería s3rg10. Son las dos transformaciones típicas que cualquier programa para crackeo de contraseñas contempla.
  • Por último, y como norma general, evita escoger claves de menos de 8 caracteres. También hay que evitar seleccionar claves sólo numéricas (1234) o sólo compuestas de letras (abcd). Es recomendable combinar ambos y emplear caracteres no alfanuméricos (;&%$/). Las claves, cuanto más cortas, son más fácilmente resolubles por ataque de fuerza bruta.

Mas información en artículo original.

Hace unos días he recibido en varias de mis direcciones de correo diferentes mensajes con una misma pauta, el remitente y el destinatario son yo y el contenido del mensaje una serie de números.

Hoy leyendo el blog de Shell Security he visto que es algo masivo y creo que ya nos podemos empezar a preocupar. Si alguien se toma tantas molestias para comprobar si nuestra dirección de correo funciona o no, muy gorda la deben de estar montando.

Habitualmente todos recibimos un montón de mensajes de correo de bancos con mensajes de lo mas alarmante aunque curiosamente no tengamos ni siquiera cuenta en ellos. Estos mensajes son una estafa por internet llamada phising. Básicamente consiste en enviar millones de mensajes solicitando con cualquier razón que introduzcas tus datos para entrar en el servicio de banca electrónica del banco para así poder robar el dinero de los incautos que pican. Desconozco si pica mucha gente pero me imagino que si ya que los mensajes se repiten día si y día también. Como soy muy curioso suelo mirar casi todos los que me llegan para ver si esta vez se han lucido o siguen igual de torpes utilizando un español que no utilizaría ni un extranjero que llevara una semana aquí. Además siempre es interesante ver que técnica han utilizado esta vez y a quien le han robado el servidor donde alojan las páginas falsas. Últimamente suelo ver cada vez más los "kits" que se venden por internet para "fabricar" phising a medida. Algo así como un sistema genérico preparado para funcionar en zonas geográficas concretas (direcciones de correo de españoles p.e.) y con claves robadas de servidores para alojar las páginas a los que sólo hace falta meter el correo y la página de trampa. Debe de ser por que ya no es tan rentable robar así que venden los kits. Según comentan en otros sitios de seguridad los precios no pasan de los 600 euros, Por otro lado también es interesante estudiar cuanto tiempo tardan en cerrar el servidor donde está alojado el phising y como reacciona el banco atacado. Como ejemplo comentar que desde ayer llevo recibidos un montón de correos con un phising de bancaja bastante bien hecho . Os dejo esta imagen para que lo podáis ver como es un mensaje de estos. phising de bancaja Como podéis ver está casi casi en correcto español aunque llama un poco la atención la forma de expresarse. La dirección de origen no se corresponde con bancaja, Pero lo que realmente llama mas la atención es que todavía aparezca el logo de bancaja en esta página ya que si se mira el fuente del html se puede ver claramente que está alojado en los servidores de bancaja. Hay cosas tan sencillas y rápidas como cambiar esas imágenes por otras con un aviso de que están viendo un intento de robo, p.e., que son tremendamente efectivas. Alguna entidad ya ha utilizado este método y les ha funcionado a las mil maravillas. Algunos podéis pensar que como alguien puede picar con estos mensajes a estas alturas. Yo creo que es lo mas normal del mundo teniendo en cuenta que hoy en día hay un porcentaje altísimo de personas con ordenador en casa y sin apenas conocimientos del medio en que se mueven. Muchas veces lo comento aunque se que a mucha gente le parece prepontente pero pienso que es totalmente cierto. Un ordenador no es una lavadora, es algo mucho mas complicado y delicado, no por lo la máquina en sí, si no por la información que contiene o que nos puede llegar. Si para poder conducir un coche necesitas pasar un un aprendizaje previo, un psicotécnico y un examen, para manejar un ordenador pues lo mismo. Y no os riáis que lo del psicotécnico no es ninguna broma, mirad barrapunto, lo que era y lo que es hoy en día. Por hoy ya está bien, dos meses sin escribir ni una palabra y en un sólo día una parrafada del copón. Voy a pillar tendinitis. =;-) Saludos.