Recuperar Acceso SSH a una Máquina en Amazon AWS

news and informations automotive,business,crime,health,life,politics,science,technology,travelautomotive,business,crime,health,life,politics,science,technology,travel

Hace unos días que un cliente me llamó porque a una de las máquinas que tiene en Amazon AWS le ocurría algo extraño. Era posible acceder a los servicios alojados en esta máquina como HTTPS, pero no vía SSH, y no habían hecho cambios en la máquina, ni en el firewall ni en el grupo de seguridad.

Hay que decir que este error se está produciendo desde que sufrieron un ataque del que hablaremos en otro post. El resultado del ataque fue la instalación de un software de minado de criptomonedas aprovechando una vulnerabilidad en un servicio no actualizado.

Por supuesto, lo primero es tener los sistemas actualizados, implementar las medidas de seguridad necesarias y hacer backups periódicos, pero ya sabemos que muchas veces esto no es así y cuando el cliente llama tenemos que buscar alguna otra alternativa. Quizás después de esto sea más consciente de la importancia de proteger sus sistemas, pero ahora me ha parecido interesante resumir aquí el proceso para recuperar el acceso vía SSH.

Lo primero fue mirar los logs de la instancia en la consola de AWS. Nos encontramos con el siguiente mensaje:

Vemos que nos dice que no es posible ejecutar el demonio de SSH por un problema de permisos.

Para ver que está ocurriendo, paramos esta máquina y desconectamos su volumen SDA1 para conectarlo en otra máquina aislada de prueba que hemos creado y así poder acceder al sistema de archivos. Nos encontramos con lo siguiente:

Vemos que el ejecutable del demonio SSH tiene sus permisos en 0000. De hecho, no es el único ejecutable que nos encontramos así, sino que hay otros como top, netstat, … Para encontrar los archivos con permisos nulos es muy sencillo hacer lo siguiente:

find /punto_de_montaje_del_volumen -perm 0000

La solución en este caso no es demasiado complicada, sólo tenemos que restaurar los permisos en los ejecutables:

Para luego desmontar este volumen, desconectarlo de la máquina de prueba y volverlo a conectar en la máquina original para poder acceder vía SSH.

En este caso ha habido suerte porque recuperar el acceso a la máquina no ha sido complicado, pero el ataque podría haber supuesto la eliminación de todo el sistema de archivos, el acceso a información confidencial, el uso de la máquina como plataforma para llevar a cabo otros ataque, …

Es importante, y por suerte relativamente sencillo, implementar las medidas necesarias para que esto no ocurra, o al menos para ponerlo bastante más difícil a los atacantes.

, , ,