Sobre seguridad
Cosas sobre seguridad, firewall, permisos y sistemas de defensa
- Autounblock para desbloquear IP bloqueadas
- Brute Force Manager
- CSF Configserver Firewall
- Logs Servidor Correo
- Logs Dovecot
- Mod Security Logs
Autounblock para desbloquear IP bloqueadas
Seguridad y el servidor no funciona
Muchas veces llegan a soporte tickets sobre problemas de acceso a los servicios. En la cabecera del ticket, la frases típicas.
- "El servidor no funciona"
- "No puedo acceder"
- "Ya estamos con problemas..."
El 99% de las veces se trata de un bloqueo de la IP del cliente poor algún motivo derivado del mal uso de las credenciales y/o por cuestión del sistema de seguridad Web.
En estos casos, el servidor funcioan, esta operativo para todo el mundo excepto para la IP desde la que se produjo el incidente, que esta bloqueada, o biend e forma temporal, o bien de forma permanente, según las acciones que producjeron el bloqueo de dicha IP.
Autounblock
Para poder conocer si estamos sujetos a este problema hemos habilitado un sitio, llamado unblock.castris.com en el que el usuario puede conocer y en su caso desbloquear la ip.
Además conocedores de que el problema persistira, la ip estará en lista blanca durante 8 horas, tiempo suficiente para que en caso de ser necesario, el técnico de servicio pueda responder al problema.
El usuario recibirá un informe, detallado por eemail con los motivos del bloqueo.
Desbloquear, y no actuar para solventar el problema, es lo mismo que ha ocurrido para llegar al bloqueo. Insisitri una y otra vez, en hacer caso omiso de los mensajes que emiten programas de correo, de ftp y navegadores, es el camino a ser bloqueados de forma continua.
Descargo
Muchas veces hemos perdido clientes porque han sido incapaces de entender la cuestión de la seguridad, sobre todo la que se recibe de ModSecurity, responsable de evitar el 90% de los hackeos de páginas web. Pero no nos importa. La seguridad del cliente y la seguridad global de cada servidor son nuestra principal preocupación.
ModSecurity necesita muchas veces, un ajuste fino con algunos sitios web, en grabn medida, porque el software que usan, es muy deficitario, pero es el que mas se usa, y por tanto, el que más atacan.
Brute Force Manager
BFM (Brute Force Monitor) de DirectAdmin
Explicado para usuarios no técnicos
¿Qué es el BFM?
El BFM es el sistema de seguridad integrado en DirectAdmin que vigila, cuenta y bloquea intentos de acceso fallidos a:
- Panel de control (puerto 2222)
- Cuentas de correo (IMAP/POP/SMTP)
- FTP / SFTP
- SSH
- Aplicaciones web comunes (por ejemplo, WordPress)
Cuando detecta demasiados fallos desde una misma IP (o contra un mismo usuario) la bloquea automáticamente durante un tiempo, o la envía al cortafuegos para bloqueo permanente.
¿Cómo cuenta los intentos?
| Parámetro | Lo que controla | Valor típico |
|---|---|---|
brutecount |
Máximo de intentos fallidos antes de bloquear la IP | 20 |
user_brutecount |
Máximo de intentos fallidos contra un mismo usuario | 20 |
brute_dos_count |
Peticiones repetidas a la página de login del panel (DoS) | 100 |
Los límites se ajustan en Admin Level → Admin Settings → pestaña Security.
Picos frecuentes de intentos
- Panel de control: bots que prueban contraseñas de admin
- Correo: diccionarios contra cuentas populares (
info@,admin@…) - WordPress: ataques a
wp-login.php(activar la opción Scan for WordPress attacks en BFM)
Qué pasa al superar el límite
- La IP se añade a
/usr/local/directadmin/data/admin/ip_blacklist. - (Opcional) Si está activado el enlace con CSF/LFD, la IP se bloquea a nivel de cortafuegos y no puede volver a conectarse.
Buenas prácticas recomendadas
- Mantener
brutecount≤ 20 para cortar diccionarios rápidos - Contraseñas fuertes: el BFM bloquea, pero una clave robusta evita ataques exitosos
- Revisar BFM a diario: decide si alguna IP debe desbloquearse
- Activar “Scan WordPress attacks” si se usan sitios WordPress
Resumen
El BFM es un vigilante automático:
cuenta intentos, detecta patrones de ataque y bloquea al agresor antes de que entre.
Con límites bien ajustados y revisiones periódicas, mantenemos el servidor protegido sin afectar a los usuarios legítimos.
Aviso
Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris
Si necesitas soporte profesional puedes contratar con Castris soporte profesional.
CSF Configserver Firewall
CSF: ConfigServer Security & Firewall
Guía básica para usuarios no técnicos
¿Qué es CSF?
CSF (ConfigServer Security & Firewall) es un cortafuegos avanzado para servidores Linux.
Funciona como una capa de protección que filtra conexiones, limita ataques y bloquea IPs maliciosas.
Componentes clave
- iptables / nftables: motor de filtrado de red en Linux
- LFD (Login Failure Daemon): demonio que vigila logs y detecta intentos de acceso fallidos
- Integra con paneles como DirectAdmin, cPanel, Plesk
¿Cómo protege el servidor?
- Filtrado de puertos
- Solo permite los puertos necesarios (ej. 22, 80, 443, 2222).
- Detección de fuerza bruta (LFD)
- Cuenta intentos fallidos de SSH, FTP, correo, panel, etc.
- Si se supera el límite (p. ej. 10 fallos en 5 min), la IP se bloquea.
- Alertas por e-mail
- Envía notificaciones cuando bloquea o detecta actividad sospechosa.
- Rate limiting
- Limita conexiones simultáneas y velocidad (DoS ligero).
- Listas blanca / negra
- IPs de confianza (
csf.allow) - IPs bloqueadas permanentemente (
csf.deny)
- IPs de confianza (
Archivos y comandos principales
| Archivo / Comando | Descripción |
|---|---|
/etc/csf/csf.conf |
Archivo de configuración principal |
/etc/csf/csf.allow |
Lista blanca de IPs (permitir) |
/etc/csf/csf.deny |
Lista negra de IPs (bloquear) |
csf -r |
Reiniciar CSF (aplica cambios) |
csf -d IP |
Bloquear IP manualmente |
csf -a IP |
Añadir IP a lista blanca |
csf -g IP |
Buscar IP en todas las listas |
Parámetros importantes (csf.conf)
| Opción | Qué hace | Valor recomendado |
|---|---|---|
TCP_IN |
Puertos TCP permitidos de entrada | 22,80,443,2222 |
TCP_OUT |
Puertos TCP permitidos de salida | 80,443,53 |
LF_TRIGGER |
Nº de bloqueos antes de alerta | 5 |
LF_SSHD |
Intentos fallidos SSH antes de bloqueo | 5 |
CONNLIMIT |
Límite de conexiones simultáneas por IP | 80;20 (20 conexiones al puerto 80) |
Nota: Ajustar estos valores según tus servicios y nivel de riesgo.
Relación CSF ↔️ BFM (DirectAdmin)
- BFM detecta intentos fallidos en DirectAdmin y puede pasar la IP a CSF.
- CSF/LFD bloquea a nivel de red, impidiendo cualquier conexión desde esa IP.
Buenas prácticas
- Mantener CSF y el sistema actualizados
- Revisar las alertas: identificar falsos positivos o ataques reales
- No abrir puertos innecesarios
- Usar listas blanca para IPs fijas (oficina, hogar)
- Verificar logs de LFD:
/var/log/lfd.log
Resumen
CSF + LFD actúan como muralla de defensa:
- Bloquean puertos no usados
- Detienen ataques de fuerza bruta
- Alertan al admin en tiempo real
- Se integran con DirectAdmin para protección adicional
Configurado correctamente, CSF mantiene el servidor seguro con un impacto mínimo en los usuarios legítimos.
Aviso
Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris
Si necesitas soporte profesional puedes contratar con Castris soporte profesional.
Logs Servidor Correo
Detección temprana de reenvíos no autorizados y spam
1. ¿Qué es un reenvío no autorizado?
Un reenvío no autorizado (open relay) ocurre cuando un atacante usa nuestro servidor SMTP para mandar correos (normalmente spam o phishing) sin autenticación válida.
| Riesgo | Consecuencia |
|---|---|
| Spam enviado desde nuestra IP | Listas negras (RBL), correos legítimos bloqueados |
| Phishing o malware | Pérdida de confianza de usuarios y clientes |
| Sobrecarga de recursos | CPU, ancho de banda y almacenamiento saturados |
| Problemas legales | Posibles sanciones por incumplir normativas anti-spam |
3. Qué revelan los logs
- Volumen inusual de mensajes: picos que indican un robot o script.
- Fallos de autenticación repetidos: intentos de forzar contraseñas.
- IPs desconocidas enviando correo: posible exploiter de credenciales.
- Bloqueos externos (RBL): rebotes con errores 550/451 apuntando a spam.
4. Beneficios de un monitoreo constante
- Reacción temprana: se bloquea la actividad antes de que sea masiva.
- Reputación protegida: menos riesgo de terminar en listas negras.
- Visibilidad: se identifican usuarios o scripts mal configurados.
- Cumplimiento: ayuda a demostrar buenas prácticas anti-spam.
5. Flujo de detección (conceptual)
- Rotación diaria de logs.
- Revisión automática para buscar patrones sospechosos.
- Alerta al administrador si se supera un umbral.
- Acción: bloqueo temporal de IP/cuenta y análisis manual.
Resultado: el servidor permanece limpio y los correos legítimos llegan a destino.
6. Conclusión
Supervisar los registros de Exim no es un lujo, sino una medida esencial de higiene y reputación.
Permite detectar uso indebido, evitar bloqueos globales y garantizar que el correo de la organización siga siendo confiable.
Aviso
Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris
Si necesitas soporte profesional puedes contratar con Castris soporte profesional.
Logs Dovecot
Beneficios para usuarios finales y atención al cliente
1. ¿Qué es Dovecot?
Dovecot es el servicio que gestiona la lectura de correo en el servidor (IMAP y POP3).
Cuando abres tu buzón desde móvil, Outlook o webmail, hablas con Dovecot.
2. ¿Qué problemas detectan sus logs?
| Situación | Cómo se refleja en los logs | Por qué te importa |
|---|---|---|
| Contraseña incorrecta (olvidada, cambiada) | Repetidos intentos fallidos de inicio de sesión | Evita bloqueos de la cuenta y restablece la clave a tiempo |
| Cuentas hackeadas | Inicios de sesión desde países/IPs inesperados | Permite forzar cambio de clave antes de que lean tu correo |
| Buzón lleno | Mensajes “quota exceeded” | Sabes que debes limpiar correos antiguos o ampliar espacio |
| Errores de conexión (cliente mal configurado) | Desconexiones frecuentes, time-outs | Soporte puede guiarte para reconfigurar el cliente |
| Filtros mal puestos | Correos se mueven a carpetas inesperadas | Diagnostica reglas que archivan o marcan mensajes |
3. Beneficios directos para el usuario
- Correo disponible y sin sorpresas: los problemas se detectan y corrigen rápido.
- Seguridad: acceso sospechoso → alerta temprana → contraseña cambiada → tu privacidad intacta.
- Menos tickets repetitivos: el soporte identifica la causa en segundos.
- Experiencia fluida: menos “¿dónde está mi correo?” o “¿por qué me pide la clave otra vez?”.
4. Flujo de acción orientado al usuario
- Monitoreo automático: el sistema marca patrones irregulares.
- Notificación interna al equipo de soporte.
- Soporte proactivo: antes de que notes el fallo, recibes ayuda o un aviso.
- Cuestiones resueltas: tu buzón vuelve a la normalidad.
“Nuestro objetivo es que jamás pierdas un mensaje ni veas tu cuenta comprometida.”
5. Conclusión
Revisar los logs de Dovecot permite garantizar que tu correo siempre llegue, sea seguro y esté disponible.
No necesitas saber de comandos ni configuraciones: basta con entender que, gracias a ese seguimiento, tu equipo de soporte actúa antes de que el problema te afecte.
Aviso
Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris
Si necesitas soporte profesional puedes contratar con Castris soporte profesional.
Mod Security Logs
ModSecurity
Por qué NO conviene “desactivar reglas globalmente” y cómo beneficia al servidor
1. ¿Qué es ModSecurity?
ModSecurity (o ModSec) es un cortafuegos de aplicaciones web (WAF) que inspecciona cada petición HTTP antes de que llegue a tu sitio.
Detecta patrones de ataque (SQL-Injection, XSS, bots, etc.) y puede bloquear o registrar la petición.
2. Resultados reales en Castris
Con una instalación robusta y una depuración progresiva de falsos positivos (por usuario, URL y software), el número de hackeos ha descendido a niveles que no veíamos desde 2001.
En otras palabras, cada regla bien ajustada = un intento de intrusión menos.
3. El error habitual: “Rule desactivada globalmente”
| Mito | Realidad |
|---|---|
| “Si una regla salta como falso positivo, quítala para todos.” | Esa regla puede seguir bloqueando ataques en otras webs e incluso al usuio que se quejo de esa regla. Desactivarla globalmente abre un agujero innecesario. |
4. Cómo gestionar falsos positivos de forma responsable
- Identificar el caso concreto (URL, usuario, software).
- Revisar el log de ModSecurity: ver la ID de la regla que se dispara.
- Excluir la regla solo para ese contexto (ubicación, dominio, etc.).
- Documentar la exclusión para futuras auditorías.
Esto se traduce en:
Regla madura + exclusión localizada → Seguridad intacta y cero molestias para el usuario legítimo.
5. Beneficios de esta metodología
- Menos hackeos: reglas útiles siguen activas para el resto del servidor.
- Soporte eficiente: el equipo sabe dónde y por qué se excluyó.
- Historial limpio: facilita nuevos ajustes sin “parches” confusos.
- Confianza del usuario: menos falsos bloqueos y sitio más seguro.
6. Conclusión
Desactivar reglas globalmente es una “solución rápida” que socava la seguridad.
Con un proceso de revisión puntual y controlado:
- Se mantiene la protección integral de ModSecurity.
- El usuario final navega sin bloqueos injustificados.
- El equipo de soporte puede rastrear, justificar y revertir cualquier cambio.
Respetar las reglas = proteger el servidor y la reputación del proyecto.
Aviso
Esta documentación y su contenido, no implica que funcione en tu caso o determinados casos. También implica que tienes conocimientos sobre lo que trata, y que en cualquier caso tienes copias de seguridad. El contenido el contenido se entrega, tal y como está, sin que ello implique ningún obligación ni responsabilidad por parte de Castris
Si necesitas soporte profesional puedes contratar con Castris soporte profesional.