Portada » El blog de Comvive » El Blog de Comvive » Hosting » El riesgo de los ficheros Dump o Backups

El riesgo de los ficheros Dump o Backups

Desde hace pocos meses hemos detectado un aumento de peticiones de ficheros intentando obtener ficheros Dumps en hosting que el cliente o algún plugin haya dejado disponible para la descarga.

¿Que es un fichero DUMP?

Un fichero Dump es un fichero que engloba una copia de seguridad o backup de algo. Puede ser un dump sólo de la base de datos o un dump de toda una web.

Estos dump normalmente están comprimidos para que ocupen lo menos posible y para que en un solo fichero tengamos el backup o copia de seguridad de todos los ficheros de nuestra web. Ese fichero lleva el contenido necesario para que una vez descomprimido poder restaurar lo que era originalmente ya sea nuestra web, nuestros ficheros o ambas cosas.

¿Quién genera estos ficheros?

Estos ficheros son generados normalmente por nuestra propia web, ya sea por la página en si o por algún módulo que tengamos encargado de hacer copia de seguridad de nuestra web.

Un ejemplo es el UpdraftPlus WordPress Backup Plugin para Wordpress o el Akeeba Backup para Joomla.

¿Dónde se guardan estos backups?

Normalmente los backups se guardan en el mismo hosting. Algunos de los plugins o complementos para backup ya tiene opción para enviarlo a un FPT, Google Drive, Owncloud, … pero lo más normal es que el usuario por comodidad o desconocimiento lo almacene en el mismo hosting.

¿Cómo saben el nombre?

Realmente no saben el nombre de ese fichero. Pero ellos intentan con los comunes dump.zip, dump.tar.gz, MIDOMINIO.zip db.dump, db.tar.g, backup.zip …

¿Cómo evito esto?

Lógicamente puedes mantener los ficheros dentro de una ubicación de tu hosting, pero asegúrate que esa ubicación no esté accesible desde el exterior. Otra opción es no guardarlo en tu hosting y mandarlo a otra ubicación.

Ejemplos de Logs

Lo logs son los ficheros donde se quedan registradas estas peticiones. Estos son algunos de los que nos hemos encontrado:

194.59.251.186 – – [14/Mar/2020:15:21:22 +0100] «GET /cgi-bin/mysqldump.sql HTTP/1.1» 404 407 «-» «-» «Mozilla/5.0 [en] (X11, U; OpenVAS-VT 9.0.3)»

47.241.8.44 – – [17/Mar/2020:10:43:20 +0100] «HEAD /combackup.sql HTTP/1.1» 404 – «-» «-» «-«

47.241.8.44 – – [17/Mar/2020:10:43:25 +0100] «HEAD /infobackup.sql HTTP/1.1» 404 – «-» «-» «-«

47.241.8.44 – – [17/Mar/2020:10:43:30 +0100] «HEAD /netbackup.sql HTTP/1.1» 404 – «-» «-» «-«

47.241.8.44 – – [17/Mar/2020:10:43:34 +0100] «HEAD /public.sql HTTP/1.1» 404 – «-» «-» «-«

162.158.94.98 – – [07/May/2020:09:45:46 +0200] «GET /dump.zip HTTP/1.1» 404 31745 «-» «-» «Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36»

45.10.26.14 – – [07/May/2020:13:03:33 +0200] «GET /www.zip HTTP/1.1» 404 38183 «-» «-» «Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36»

162.158.111.86 – – [07/May/2020:13:08:29 +0200] «GET /archive.zip HTTP/1.1» 302 – «-» «-» «Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36»

172.69.54.208 – – [07/May/2020:13:08:34 +0200] «GET /dump.zip HTTP/1.1» 302 – «-» «-» «Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36»

172.69.54.208 – – [07/May/2020:13:08:37 +0200] «GET /dump.tar.gz HTTP/1.1» 302 – «-» «-» «Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36»

162.158.111.86 – – [07/May/2020:13:09:42 +0200] «GET /data.zip HTTP/1.1» 302 – «-» «-» «Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36»

192.169.231.56 – – [07/May/2020:13:21:04 +0200] «GET /db.tar.gz HTTP/1.1» 404 21502 «-» «-» «Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36»

192.169.231.56 – – [07/May/2020:13:21:08 +0200] «GET /app.gz HTTP/1.1» 404 21502 «-» «-» «Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36»

192.169.231.56 – – [07/May/2020:13:21:09 +0200] «GET /app.tar.gz HTTP/1.1» 404 21502 «-» «-» «Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36»

Nuestra recomendación

Nuestra recomendación siempre es que las copias estén en un directorio protegido o fuera del mismo hosting. Lógicamente las contraseñas deben ser contraseñas seguras y no estar almacenadas a ser posible en ningún sitio. Además de su cambio de manera frecuente.

Le recomendamos también que tenga su correo protegido, ya que existen otro tipo de phishing.

Si te ha gustado, compártelo
× ¿Cómo puedo ayudarte?