Configuración para evitar ataques externos (SEGURIDAD)

Configuración para evitar ataques externos (SEGURIDAD)

de Xavi Bou -
Número de respuestas: 5

Buenos días,

Me dirijo a ustedes para comentarles una duda a ver si me pudieran dar su opinión. Actualmente, estoy trabajando con tres cursos de Moodle situados en el mismo servidor, un Cloud Hosting (las versiones de todos los cursos es la 1.9.13+). De momento me está dando muy buenos resultados el sistema no se ha caído ni resentido nunca aunque la concurrencia sea alta, pero hace poco varios de los alumnos me comunicaron que el sistema estuvo caído durante unas hora. Me comunicaron los responsables del Hosting que tal vez se tratara de una migración que ellos mismos estaban realizando, cosa que me sorprende, y después me acabaron diciendo que se trataba de que últimamente estamos sufriendo ataques externos, cosa que me preocupa enormemente y me sorprende más aún. Ya no se si es paranoia mía pero creo que hay datos que se han borrado en los cursos, es eso posible?

Pero la pregunta no es esa, la cuestión es como debo configurar mis cursos de Moodle para evitar cualquier ataque. Los MoodleData están situados fuera de la zona pública y además disponen de un archivo .HTACCESS con el siguiente código:

deny from all

AllowOverride None

 

Es suficiente esto? O debo añadir más cosas? La otra cuestión es que me asesoren, si son tan amables, en la disposición de permisos en las carpetas y archivos. He leído mucho en el foro y hay opiniones para todos los gustos. Además en la propia página de Moodle hay unas instrucciones “paranoides” para dicho cometido pero que tampoco me queda muy claras.

Les agradecería enormemente que me guiaran en el proceso de configuración de Moodle para ampliar la seguridad.

 De antemano muchísimas gracias.

Promedio de valoraciones: -
En respuesta a Xavi Bou

Re: Configuración para evitar ataques externos (SEGURIDAD)

de Mario Gayo -

No puedo darte mucha ayuda, únicamente comentarte una experiencia sufrida hace unos años con la versión 1.7 pero que puede que se de en otras.

Un buen día descubrí que en los editores de texto de los foros no aparecían las barras de herramientas. Buscando por Internet se comentaba que se trataba de un ataque. Efectivamente, el fichero config.php había sido modificado, le habían insertado un bloque codificado en su inicio y la URL del servidor, con algunos parámetros estaba siendo utilizada para redireccionar a páginas con contenido pornográfico.

La solución fue borrar esa cabecera del fichero config.php y marcar todos los ficheros como solo lectura.

En ese caso, no se advirtió la falta de ningún archivo ni ningún otro cambio, pero una vez atacado ya es cuestión de lo que quieran hacer. En ese momento sólo la falta de las barras de herramientas en los editores de texto que supongo que no era algo intencionado sino consecuencia de un fallo del ataque, porque realmente fue la única señal que advertimos. Dado lo significativo de esta ausencia, el ataque fue detectado de forma muy temprana.

Espero te ayude. Comprueba el config.php que encontrarás en la raiz del sitio Moodle.

Promedio de valoraciones: -
En respuesta a Mario Gayo

Re: Configuración para evitar ataques externos (SEGURIDAD)

de Xavi Bou -

Muchas gracias por la respuesta. He verificado todos los archivos config.php y no he encontrado nada anormal. Es posible que el ataque, si es que realmente lo ha habido, se pueda localizar en algún otro archivo .PHP? cual? La otra cuestión es que recomendaciones son las óptimas para la configuración de permisos en carpetas y archivos, tanto de MoodleData como de la carpeta Moodle propiamente dicha.

Promedio de valoraciones: -
En respuesta a Xavi Bou

Re: Configuración para evitar ataques externos (SEGURIDAD)

de David Hernández -

Hola Xavi,

Creo que es buena la paranoia (lo dice un paranoico guiño )

Pero pídele pruebas a tu proveedor.

Dile que te dé datos concretos, de otra manera, pudiera ser un pretexto para justificar sus errores (lo cual me parece muy poco ético y profesional).

Aparte de las medidas ya mencionadas de seguridad, busca en los foros y en la documentación de Moodle (si no les entiendes, insiste, tienes que entenderlas, sino, no puedes ser un buen administrador...)

Sólo como comentario, en mi opinión, tener permisos 505 para carpetas y 404 para archivos es una buena configuración. Si usas el binario de Latex, también colócale 505.

Como tienes tu "moodledata" en el área privada del servidor estás totalmente protegido (bueno tal vez no totalmente, pero sí muy protegido). Sólo verifica que su archivo ".htaccess" tenga permisos 444.

Ahora, para ultra previsión, te recomendaría estudiar y en su caso implementar la tecnología CrawlProtect.

Un tiempo la estudié y de lo que recuerdo es que inicialmente se desarrolló una herramienta llamada CrawlTrack, cuya funcionalidad era la de una herramienta "Web Analytics", sólo que basada en PHP, no en JavaScript.

El plus de dicha herramienta era un sistema de protección contra ataques "tipo".

Ahora parece que la parte de "Web Analytics" y la de protección se han separado, a fin de que escojas entre una u otra o las dos (esto necesitas confirmarlo, pues no estoy seguro).

Puede ser que te convenga utilizar este tipo de medidas.

Saludos

Promedio de valoraciones: -
En respuesta a David Hernández

Re: Configuración para evitar ataques externos (SEGURIDAD)

de Xavi Bou -

Hola David,

Muchísimas gracias por la extensa explicación. Actualmente estoy a la espera de que mi proveedor de Hosting me de noticias de lo sucedido estas días, a ver que me dicen. Tras las largas búsquedas en la documentación y foros de Moodle, lo entiendo todo perfectamente, el problema es que entre los usuarios hay disparidad de opiniones y por este motivo no me quedaba claro cual era la mejor opción a la hora de implementar permisos en las carpetas y archivos. Ahora lo empiezo a tener un poco más claro. En efecto, que la carpeta esté fuera de la zona pública me deja más tranquilo, además ya le he incluido el archivo .htaccess correspondiente, con lo que me da un plus más de tranquilidad. No obstante, te agradezco muchísimo tu propuesta sobre el nivel de permisos y sobre la tecnología CrawlProtect que mencionas. Lo estudiaré a ver si vale la pena implementarlo.

Muchas gracias de nuevo y cuando tenga más noticias os lo haré saber.

Promedio de valoraciones: -
En respuesta a Xavi Bou

Re: Configuración para evitar ataques externos (SEGURIDAD)

de Jose García | Nosolored -
Imagen de Moodlers de gran ayuda

Buenos días.

Como medida principal de seguridad deberías actualizar el aula Moodle de la versión 1.9.13+ a la última 1.9.16+ ya que corrigen bastantes errores y es un riesgo añadido utilizar versiones anteriores de Moodle.

Comprueba si tu hosting tiene activado el cortafuegos mod_security y activa también en Moodle el antivirus ClamAV para que chequeen los archivos que suben los usuarios vía Web al aula.

Revisa los ficheros logs (si es posible con la ayuda de tu proveedor) para comprobar cuándo fueron borrados los archivos.

Activa las copias de seguridad de tu hosting (bases de datos y ficheros, las copias diarias de tu Moodle (mantén 2 o más cada día) y descargalas a diario para disponer de copias adicionales en tus equipos.

Un saludo.

Jose García 

Promedio de valoraciones: -