ztevenreal
A menudo escribo sobre las mejores prácticas para los homelabbers, pero no siempre sigo mis propios consejos. Esto me molestó recientemente cuando mi laboratorio doméstico se vio comprometido y un androide criptográfico comenzó a ejecutar la CPU de mi servidor al 100 %. Esto es lo que hice para solucionarlo.
Solía cascar casi todos los servicios autohospedados a Internet con un proxy inverso.
Facilitó el entrada remoto, ¿vale?
Hace unos primaveras, hice un delirio fuera de mi laboratorio almacén. Yo tenía una VPN Lo configuré en una Raspberry Pi 3b y se me cayeron algunos servicios que necesitaba arreglar. Mi VPN era lenta y lenta (gracias al puerto de 10/100 Mbps en el Pi 3b) y eso hacía que fuera insoportable intentar arreglar los servicios.
Entonces, decidí usar el tiempo que estuve conectado a la VPN en el servidor para básicamente volver el proxy de todo en la red. Eso simplificaría el entrada remoto a cualquiera de los servicios autohospedados que tenía para administrarlos si no estaba en casa. Un beneficio adicional fue que incluso cuando estaba en casa, podía entrar a los servicios más fácilmente porque todos tendrían un FQDN (nombre de dominio completo).
El problema es que muchos homelabbers cometen el mismo error. Una vez que haya configurado Nginx Proxy Manager o Cloudflare Tunnels, es viable hacer que todos los servicios estén disponibles fuera de la red con solo unos pocos clics. Tener entrada foráneo a esos servicios es conveniente, pero definitivamente no es la opción correcta, como descubrí.
Hoy en día, tengo Tailscale instalado en la mayoría de mis dispositivos y se ejecuta en mi servidor con una conexión LAN de 2,5 Gb/s y una conexión WAN de 1 Gb/s. El problema es que todavía tengo muchos de mis servicios detrás de mi proxy inverso porque si no está roto… bueno, se rompió.
Un contenedor qBittorrent reinstalado fue mi perdición
Cambié de contenedor y olvidé restablecer la contraseña… ¡Uy!
Recientemente modifiqué todo mi laboratorio doméstico, moví servicios de un nodo a otro y reinstalé servicios para hacerlos más sólidos; qBittorrent fue uno de esos servicios.
Moví la viejo parte de la información de configuración de qBittorrent cuando cambio a un nuevo contenedor. El problema es que en efectividad no le puse una contraseña. Ha pasado tanto tiempo desde la última vez que implementé un contenedor qBittorrent nuevo que olvidé por completo que generó una contraseña en los registros y configuré el nombre de sucesor en admin. Sinceramente, pensé que mover mis archivos de configuración trasladaría mi sucesor/contraseña del servidor antiguo al nuevo; estaba errado.
Poco que no sabía es que existen botnets que están rastreando activamente Internet en averiguación de interfaces de sucesor web de compañía de qBittorrent expuestas para atravesarlas con fuerza bruta. Nunca antaño había sido víctima de ellos porque no estaba usando admin como nombre de sucesor y mi contraseña tenía 48 caracteres y se generaba aleatoriamente.
El nuevo contenedor, sin retención, tenía una contraseña de ocho caracteres y usaba el nombre de sucesor admin, y de ahí surgió mi problema. Aunque tenía una contraseña generada aleatoriamente, solo tenía ocho caracteres, lo cual es relativamente viable para las botnets utilizar la fuerza bruta. Entonces, con el nombre de sucesor admin y una contraseña fácilmente descifrable, mi instancia de qBittorrent se vio comprometida y había una botnet.
Una vez adentro de la instancia de qBittorrent, la botnet descargó un torrent de prueba para cerciorarse de que tuviera los permisos correctos que necesitaba, y luego se apagó: un minero criptográfico rápidamente se puso a trabajar en el servidor y comenzó a fijar los núcleos de mi CPU al 100%. Fue entonces cuando me di cuenta de lo que estaba pasando y comencé a trabajar para solucionarlo.
Es un error viable de cometer, pero las consecuencias pueden ser graves.
Por fortuna, la opción no fue tan difícil, pero no debería sobrevenir tenido que hacerlo en primer extensión.
Mi cliente qBittorrent se ejecuta en mi servidor de montaje en armazón Lenovo RD440, que es todo menos silencioso. Normalmente, hace conveniente frío, mi oficina se mantiene fresca con un atmósfera acondicionado montado en la ventana y no hay mucho estrés, por lo que los ventiladores nunca giran. Sin retención, el minero criptográfico que se ejecuta al 100% de uso de CPU en ambas CPU Xeon hizo que el servidor normalmente silencioso se convirtiera en un motor a reacción.
Esto me hizo sumergirme instantáneamente en el sistema para ver qué estaba pasando. Pude encontrar el proceso incorrecto y eliminarlo, luego entré a mi cliente qBittorrent y cambié la contraseña. A partir de ahí, pensé que estaba a a excepción de, pero me perdí el torrente perdido que subió la botnet y además me perdí el cambio que se realizó en mi configuración de qBittorrent.
Finalmente, reinstalé el contenedor qBittorrent desde cero y moví todos mis estados ISO a donde estaban anteriormente, y el truco terminó. Fueron una o dos horas de disparate tratando de descubrir qué estaba pasando y cómo solucionarlo, pero finalmente logré recuperar el control.
Mi laboratorio doméstico es tan seguro como lo hago yo, y lo hice conveniente inseguro
Todavía estoy trabajando para recuperar todo el control de esta pequeña aventura, pero me mostró algunas cosas. El hecho de que no haya tenido ninguna violación de seguridad en más de cinco primaveras de funcionamiento de mi laboratorio doméstico no significa que nunca tendré una violación de seguridad.
Las mejores prácticas para un laboratorio doméstico lo son por una razón, y poner cada servicio detrás de un proxy inverso al que se pueda entrar externamente definitivamente no es una buena praxis.
Me tomaré las próximas semanas para acrecentar verdaderamente la seguridad de mi laboratorio doméstico y trasladar los servicios de nombres de dominio externos a nombres de dominio de proxy inverso internos y hacer que tenga que utilizar una VPN para entrar a ellos nuevamente. Tailscale en un sistema más rápido avala mucho mejor que mi antigua VPN en mi Pi, y es hora de que mueva adecuadamente los servicios según deben ser.
