800 palabras
Una puerta quedó "abierta": el panel de control de nuestro sitio aún no estaba resguardado con el sistema cifrado, protocolo HTTPS o conexión SSL "segura". El invasor estuvo en todo momento pendiente y finalmente, ¡atacó a fondo!
Se creó su propia "cuenta", como súper usuario con el nombre Xnom y entró a hacer de las suyas.
El miércoles 10 había sido un día "normal" para el sitio a7.com.mx. Tuvimos el promedio normal de visitas y el promedio normal de páginas vistas por cada visita. Así transcurrió todo el día 10. La hora "pico" —entre las 5 de la tarde y las 8 de la noche— pasó sin novedad.
El invasor atacó, entonces, cerca de las 11 de la noche del 10 de marzo. Entró al panel de control y ejecutó una serie de sentencias SQL contra nuestra base de datos, o bien, insertó un disparador en la base de datos que tiene como objetivo desencadenar miles de intentos de "consulta" por segundo.
Los sentinelas del sistema en el servidor compartido que usamos, notaron la inusitada y destructiva situación y procedieron a desactivar nuestro sitio. Quizás la última acción del invasor fue destruir la base de datos, para borrar así el disparador que había colocado. Nuevamente, la bitácora fue alterada de tal manera que no podemos ver la actividad que se llevó a cabo durante varios minutos antes de su acción destructiva.
Por instrucciones de nuestro proveedor de servicios, tuvimos que retirar todos nuestros elementos. Ya no somos bienvenidos en ese servidor. Ahora estamos en un servidor que nos permite vigilar constantemente la subida de intensidad de uso del CPU.
Sin embargo, aún habiendo abandonado el servicio anterior, la IP, de nuestra propiedad —es una IP exclusiva adquirida para el sitio a7.com.mx— volvió a ser objeto de intento de destrucción. Esto provocó un nuevo aviso de los proveedores del servicio anterior, de asegurarnos no tener elemento alguno que se relacione con nosotros en sus máquinas.
La actividad había ya regresado a la normalidad pero notamos que "algo" estaba haciendo que el uso de nuestro sitio fuera en todo momento superior a la media de las otras páginas que comparten el servicio. Finalmente, la actividad fue disminuyendo conforme al quitar un nombre de usuario.
Por el momento, las páginas de a7.com.mx están restringidas. El proveedor de servicio permite que sólo se pueda ver completa si la solicitud viene de nuestra IP local. Éste es, para el hacker, oficial o no, ¡un gran triunfo!
Le vamos a encontrar una solución y también vamos a encontrar a los atacantes. Si usted está leyendo esta nota y sabe algo, comuníquese al teléfono 999-285-5013 o escriba al correo a7@coinsuy.com y cuéntenos —aunque sea en forma anónima— lo que sepa.
Por ahora los ataques nos han provocado principalmente pérdida de tiempo, aunque en esta ocasión no fue posible recuperar la totalidad de la base de datos, sino sólo hasta el respaldo anterior. Sigue siendo "tiempo" lo perdido y oportunidades de información a nuestros visitantes del sitio.
Algunas personas nos han preguntado insistentemente que quiénes creemos que nos estén atacando. Decir el nombre de un individuo o de alguna institución, es sólo especulación. Lo que resultaría ilógico es que sean nuestros amigos y correligionarios políticos los que perpetraran el ataque. Tampoco sería lógico esperar que se tratara de ataques planificados por aquellas personas que no hemos denunciado en nuestras páginas.
Por lo tanto, la respuesta está clara: en cada página de Artículo 7 cada semana y en el sitio de Internet debe encontrarse la respuesta.
El problema aún no termina, pero la solución ya está en camino.