Todos necesitamos de un proveedor de hosting para poder tener una presencia en línea sin embargo estos son también usados para realizar ataques a otros sitios.
Por medio de CloudFlare y sus reglas de cortafuegos, puedes conocer los detalles de los proveedores de hosting están siendo realizados los ataques.
Algunos de los ataques realizados a sitios de wordpress son hechos desde proveedores de hosting conocidos tales como Go Daddy, Digital Ocean, Amazon, OVH entre otros.
Veamos una de las maneras de mitigar estos ataques usando la red de contenido de CloudFlare.
Table of Contents
Bloquear Proveedores de Hosting por ASN
Gracias a CloudFlare se puede bloquear las visitas que se realizan desde proveedores de hosting por medio del número ASN.
El número ASN es un número único de los proveedores de hosting por lo que bloquear los ataques de bots instalados en ciertos servidores no estan complejo desde CloudFlare.
Esta es un ejemplo de mi regla de CortaFuegos de CloudFlare para detener ataques que provienen de ciertos proveedores de hospedaje web.
Los casos usados en los ejemplos corresponden a:
| 14061 | Digital Ocean |
| 37963 | Alibaba Cloud |
Puedes bloquear un gran número de empresas y proveedores de hosting con una de las cinco reglas gratuita de cortafuegos de CloudFlare.
Bloquear o Usar Desafios en CloudFlare
Una de las cosas que debes considerar es si deseas realizar un bloqueo por medio del número de ASN o si deseas usar un desafío JavaScript o desafio captcha
- Un bloqueo impide el acceso rotundo al sitio
- El bloqueo de Javascripts es un análisis del software que hace la solicitud
- El desafío captcha requiere de contestar un “puzzle” que usualmente tiene relación con el reconocimiento de imágenes.
Yo prefiero usar un desafío Javascript ya que es una medida de seguridad más tolerante.
El desafío JavaScript puede ser configurada para que aparezca cada cierto número de horas, días o inclusive meses
De esta manera evitarle problemas a los visitantes que son recurrentes de tu sitio
¿Por qué no Bloquear Todos los Servidores?
Quizás pienses que esto de bloquear servidores es algo muy fácil porque los visitantes de tu sitios son personas.
Esa lógica aplica en la gran mayoría de los casos pero hay excepciones:
- Si bloqueas los servidores de Google Cloud, estás bloqueando a los bots de Google y de Google Adsense
- Si bloqueas a ciertos proveedores de hosting, puedes estar bloqueando los proveedores usados por muchas Virtual Private Networks
Debido a ese desconocimiento, no podemos bloquear a todo servidores que se mueva.
Los ASN’s con Más IP’s de Riesgo
En la búsqueda de entender más sobre asegurar un sitio bloqueando ASN, encontré un interesante artículo sobre los ASN’s que presentan el mayor riesgo.
El artículo en Inglés que resume la información que estas apunto de leer se encuentra en el sitio Recorded Future bajo el título “From Chasing Risk Lists to ASN Policies: Large-Scale Analysis of Risky Internet Activity”
Estos son los ASN’s que tuvieron el mayor número de direcciones IP que presentan actividad maliciosa:
| Nombre de AS | País | Número de AS | Número de IP Maliciosas |
|---|---|---|---|
| Chinanet | China | AS4134 | 412,207 |
| CNCGROUP China169 Backbone | China | AS4837 | 250,878 |
| Data Communication Business Group | Taiwan | AS3462 | 99,538 |
| CANTV Servicios, Venezuela | Venezuela | AS8048 | 74,573 |
| CLARO S.A. | Brazil | AS28573 | 68,844 |
| PJSC Rostelecom | Russia | AS12389 | 59,743 |
| VNPT Corp | Vietnam | AS45899 | 50,251 |
| PT Telekomunikasi Indonesia | Indonesia | AS17974 | 45,559 |
| National Internet Backbone | India | AS9829 | 42,259 |
| TELEFÔNICA BRASIL S.A | Brazil | AS18881 | 40,890 |
Lista Actualizada de los Peores Botnets
Spamhaus también ha creado una lista de los proveedores de hosting que se dedican a sembrar spam y a actividades ilegales en la web.
Si deseas leer más información sobre las peores red de bots por ASN, debes revisar esta publicación:
ASN’s Sospechosos en mis Registros
Estos son algunos de los números de ASN de algunos proveedores de hosting desde los cuales se han realizado ataques a mis sitios.
Estan divididos en bloques de 5 para facilitar agregarlos a una regla de cortafuego:
| #1 | OVH | AS16276 |
| #2 | AS-CHOOPA | AS20473 |
| #3 | Linode | AS63949 |
| #4 | Alibaba Cloud | AS45102 |
| #5 | HETZNER | AS24940 |
| #6 | Iran Cell Service and Communication Company | AS44244 |
| #7 | Asia Pacific Network Information Centre | AS38282 |
| #8 | CHINANET-BACKBONE | AS4134 |
| #9 | Bharti Airtel Ltd. AS for GPRS Service | AS45609 |
| #10 | Iran Telecommunication Company PJS | AS58224 |
| #11 | Telecom Algeria | AS36947 |
| #12 | PT Telekomunikasi Indonesia | AS7713 |
| #13 | VNPT Corp | AS45899 |
| #14 | Idea Cellular Limited | AS45271 |
| #15 | Mobile Communication Company of Iran PLC | AS197207 |
| #16 | GODADDY-AMS | AS21501 |
| #17 | Digital Ocean | AS14061 |
| #18 | PonyNet | AS53667 |
| #19 | HOSTSLICK-GERMANY | AS208046 |
| #20 | Converge ICT | AS17639 |
| #21 | Amazon | AS16509 |
| #22 | China Unicom | AS4837 |
| #23 | TOT Public Company Limited | AS23969 |
| #24 | Bharti Airtel Ltd Telemedia Services | AS24560 |
| #25 | The Corporation for Financing & Promoting Technology | AS18403 |
| #26 | Contabo | AS51167 |
| #27 | ||
| #28 | ||
| #29 | ||
| #30 |
En algunos casos, muchos de los ataques vienen de países que tienen reputación de atormentar con bots, spam y ataques.
Pero debes tomar en cuenta que también recibirás ataques de servidores de países de primer mundo.
La ventaja de aplicar desafíos y bloqueos a compañías de países como Vietnam es que estamos seguro que probablemente no usamos servicios que usen esos proveedores.
Reporte de CloudFlare
En un reporte acerca de los ataques mitigados por el cortafuegos de CloudFlare se encontró que las principales redes usadas para realizar ataques maliciosos incluye a:
- Hetzner Online GmbH (Número de sistema autónomo 24940)
- Azteca Comunicaciones Colombia (ASN 262186)
- OVH en Francia (ASN 16276)
Reporte de Clean Talk
CleanTalk confirma algunos de estos datos al indicar que 10.97% de los ataques que detectan son realizados de servidores de OVH.
55% de lo ataques detectados por CleanTalk son realizados desde AZTECA SUCURSAL COLOMBIA
Información Relacionada
Espero que bloquear o desafiar los visitantes de ciertos ASN’s te ayude a aumentar la seguridad de tu sitio de WordPress
Estos son algunas publicaciones relacionadas con el tema de seguridad que te podrian ser de utilidad.
- Reseña sobre WordFence: Gratis y Premium
- Reseña Honesta de SecuPress: ¿Es el Mejor?
- Reseña Sobre el Plugin BBQ Pro
- 9 Errores Comunes de Seguridad en WordPress
- Remover Backdoors de tu Sitio WordPress
- Hacker con Acceso Remoto a tu Sitio
- Plugins y Temas GPL: ¿Puedo Usarlos?
- Analizar tu Sitio con WPScan
- Desactivar el Rest API de WordPress
Si tienes pregunta sobre este tema, puedes escribirme por medio de mis redes sociales .
