¿Quién querría mi servidor SQL?

Todos sabemos que los cibercriminales quieren atacar a quien esté a su alcance. Y en Kaspersky Lab también sabemos que muchos administradores de redes no prestan suficiente atención al cuidado de sus recursos de Internet. Es lamentable, pero cierto: si le preguntas a un administrador si sus servidores están protegidos, te responderá: “¡Vamos! ¿Quién querría mi servidor SQL?”.

Hace pocos meses tendimos una trampa a los cibercriminales con un “honeypot” (http://www.mwcollect.org ) en nuestro centro de investigación japonés ubicado en Tokio. Casi siempre se emplea honeypot para recolectar ejecutables de Windows porque lo hace muy bien: emula shellcode cuando encuentra un exploit. Pero un efecto secundario de utilizar el honeypot para vigilar todos los puertos es que recibimos estadísticas y datos inesperados de varios puertos de red del servidor, que tiene una dirección IP global.

Este gráfico muestra el número de ataques y conexiones no deseadas en puertos específicos de nuestro servidor. Muestra los diez puertos usados con mayor frecuencia, pero hasta los menos atacados (en este caso el puerto 1130) recibe alrededor de 16 de conexiones diarias.

Esta tabla muestra los servicios que utiliza cada puerto con mayor frecuencia:

Esperamos que esto compruebe lo que nos parece obvio: ¡hay alguien en Internet que quiere tu servidor SQL! (y un par de cosas más…). Los datos de arriba también muestran que hay muchos cibercriminales en busca de servidores “huérfanos” con puertas traseras en Internet. Algunos buscan Backdoor.Win32.Noknok, y otros intentan penetrar en servicios legítimos como Radmin y Windows Remote Desktop.

Tal vez te preguntas preguntan quién estaría buscando recursos desprotegidos. Este gráfico muestra cuántas conexiones diarias se realizan desde diferentes países a nuestro honeypot.

¡Revísala por un minuto y compárala con el gráfico anterior! Podrás ver que el número de intentos de ataques MSSQL se refleja en ataques provenientes de China. Y hace poco los servidores surcoreanos también se unieron a este intento masivo para explotar el servicio.

Los honeypots nos ayudan a obtener información valiosa. Nos distraemos analizándola y calculando las cifras, pero a fin de cuentas es una forma económica de divertirnos. Nuestro honeypot se ejecuta en un CPU de 500 MHz con Pentium III que tiene 384 Mb de RAM, que hoy en día debe costar menos de $100. Así que si no sabes qué hacer con ese ordenador viejo y lento que consideras inútil, ¡instala un honeypot! 😉