Hace unos meses alquilé un servidor VPS para ejecutar mi sitio web. Hoy, miré /var/log/apache2/access.log
y noté una línea extraña:
192.0.2.123 - - [02/Aug/2015:05:21:29 -0400] "GET / HTTP/1.1" 200 4043 "http://buttons-for-website.com" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
192.0.2.123 - - [02/Aug/2015:05:21:38 -0400] "GET /ressources/css/genericons.css HTTP/1.1" 200 14062 "http://example.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
192.0.2.123 - - [02/Aug/2015:05:21:38 -0400] "GET /ressources/css/style.css HTTP/1.1" 200 894 "http://example.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
192.0.2.123 - - [02/Aug/2015:05:21:38 -0400] "GET /ressources/css/header-style.css HTTP/1.1" 200 1208 "http://example.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
192.0.2.123 - - [02/Aug/2015:05:21:38 -0400] "GET /ressources/js/mobile.js HTTP/1.1" 200 774 "http://example.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
192.0.2.123 - - [02/Aug/2015:05:21:40 -0400] "GET /ressources/frameworks/font-awesome/css/font-awesome.min.css HTTP/1.1" 200 5782 "http://example.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
192.0.2.123 - - [02/Aug/2015:05:21:44 -0400] "GET /ressources/img/nav.svg HTTP/1.1" 200 966 "http://example.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
No fue http://example.com/
, lo cambié por razones de privacidad. Estaba intrigado y decidí ir a ese sitio. Me sorprendió ver que era la copia exacta de la mía. Con mis propios archivos personales (CV, etc). Así que decidí verificar la dirección IP de ese sitio web:
; <<>> DiG 9.8.3-P1 <<>> example.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10369
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;example.com. IN A
;; ANSWER SECTION:
example.com. 14400 IN A IP_OF_MY_WEBSERVER
;; Query time: 60 msec
;; SERVER: 208.67.222.222#53(208.67.222.222)
;; WHEN: Tue Aug 4 16:52:53 2015
;; MSG SIZE rcvd: 49
Me sorprendió ver que era la IP de mi propio VPS. De hecho, parece que alguien alquiló el nombre de dominio example.com
y lo vinculó a mi sitio web.
- ¿Por qué alguien haría eso?
- ¿Hay algún problema de seguridad que deba preocuparme?