Fundamentos

La nube te cobra tres veces

admin
En marzo y abril de este año tuve una serie de ataques de bots impresionantes en sitios que manejo, principalmente en un foro MyBB que tengo de una vida anterior, de cuando los usuarios usaban computadora de escritorio y no celular.

 

Debido a cuestiones visuales, cansancio de los ojos y tamaño de pantalla, siempre recomiendo usar mejor computadora de escritorio que celular, pero esa es otra historia. El caso es que tengo un foro de MyBB con unos 130,000 mensajes, de los cuales 65,000 son públicos. Antes tenía otros dos foros similares, pero como casi no tenían respuestas, en 2020 los convertí a WordPress. El ataque brutal es sobre el de myBB.

Conceptos que hay que tener claros

Hay varios conceptos que mencionaré y que son importantes para entender la historia, no necesariamente por orden de importancia:
  1. Un servidor es tan bueno como su administrador. No hay forma de escapar de esto.
  2. La marca “comercial” y la distro importan. No son sinónimos.
  3. Egress: En términos de cloud, se le llama egress al consumo hacia afuera del ancho de banda de tu sitio. Por ejemplo, bots que obtienen respuesta de tu sitio o tus propios respaldos causan egress, y te lo cobran. Esto es importante porque literalmente sacar respaldos puede ser prohibitivo de manera diaria. Es una estrategia de los vendedores de nube para casarte con ella.
  4. En el mundo Linux es raro que haya problemas de versiones estables inseguras. En el caso de Windows 11 muchos preferimos no usarlo y quedarnos en Windows 10, pero no hay razón práctica para tener una distro de linux antigua que no sea LTS vigente o con soporte. Por ejemplo, estamos en Debian 13; no hay motivo válido, salvo casos excepcionales, para tener un Debian 7 conectado a internet.
Mi padre era médico, y por lo mismo mis conocimientos de medicina son bastante amplios.

 

Independientemente de los medicamentos genéricos o similares, uno de los grandes descubrimientos de la Segunda Guerra Mundial fue cómo hacer que un medicamento fuera a dar solo a una parte del cuerpo. Así mismo, existe un envase o “excipiente” que hace que un medicamento con producto activo idéntico funcione de manera diferente, ya que hay otras variables que pueden hacer más recomendable o desaconsejable uno que otro.

 

Un caso sería el metamizol sódico, prohibido en varios países (que curiosamente tienen problemas de adicciones al opio), pero realmente útil para el alivio del dolor. Magnopyrol y Prodolina son dos marcas comerciales, pero a algunas personas les hace efecto más rápido Prodolina que Magnopyrol. La marca importa.

 

Es importante estar al tanto de noticias de tus campos de conocimiento. Entre 1997 y 2000 una de las cosas que yo tenía que revisar constantemente era cuál antivirus era el mejor del momento. Había reportes de que Norton Antivirus no detectaba un virus relativamente inofensivo llamado Stoned. En aquella época no recuerdo si usaba Panda Antivirus, su antecesor o Malwarebytes (en caso de que ya existiera). El caso es que en mi trabajo di instrucciones a los administradores de sucursal que NO usaran Norton Antivirus.

 

¿Adivinen qué pasó en una? El mismo empleado que después iría a la cárcel por sabotaje industrial, instaló Norton y el virus Stoned infectó a toda su sucursal.

 

En otro incidente, en 2003, estaba trabajando en una PC con dos discos duros que tenía Windows 2000 Server y MSSQL Server. Estaba al tanto de que se había detectado ese día, tres horas antes, un nuevo virus para MSSQL Server. Me conecté, noté algo raro y por reflejo quité la corriente eléctrica. Apagué la computadora, cambié mi dirección IP manualmente reiniciando desde el otro disco duro, corrí el antivirus y sí: me detectó el virus que acababa de salir dos horas antes. No hubo consecuencias.

Rocky, Red Hat, Debian: no es solo preferencia

Rocky Linux, Red Hat y Debian no son solo “preferencias”. Puede haber una razón de peso para tenerlas como marca. En lo personal, Rocky Linux tiene una capa de protección de permisos de PHP (

SELinux  Security-Enhanced Linux es la capa de protección nativa que viene activada por defecto en Rocky Linux. No protege el código de PHP directamente, sino que actúa como una armadura alrededor de PHP a nivel de sistema operativo ) Por eso a mí no me gusta Rocky Linux para cosas que usen archivos ( donde los permisos de SElinux son contraproducentes), pero hay muchos lugares de negocio que, por regla de seguros y compliance, deben tener (digamos) Red Hat o Rocky Linux por cuestiones de su póliza.
Si yo puedo decidir, hago Debian. Pero hay razones para hacer caso a las instrucciones de dos tipos:
  1. Cuando te lo dice el reglamento.
  2. Cuando te lo dice por escrito alguien que sabe, no alguien que está en marketing.
Y debes conocer alternativas.

 

Esto se aplica desde antivirus hasta versiones de Linux. Un servidor es tan bueno como su admin.

 

Usando un ejemplo: puede estar el caso de que las gasas para heridas marca “Guadalupana” sean más chicas, o hayan salido frágiles, o con moho. Si en el hospital hay un reglamento o aviso que dice “mejor usar gasas marca Acme”, por lo general no depende de ti comprar, pero debes saber lo que estás haciendo. En este contexto, la marca importa.

Apache vs. Nginx: la elección informada

Apache y Nginx son parte de dos stacks muy parecidos bajo Linux. Apache es más antiguo, y se supone que Nginx es más rápido. Es cuestión de preferencias. Los de la guardia antigua usamos por lo general Apache, pero si es necesario usamos Nginx. Y por compatibilidad, muchos vendedores como cPanel manejan Apache, así que usar Apache como base tiene sus ventajas. Pero si el reglamento dice Nginx, usas Nginx.

 

Un ejemplo donde esto no aplica: me tocó hace un año o dos lidiar con servidores de una paraestatal que, según yo, tenían Apache, pero no tenían ni el root de Red Hat y no había posibilidad de ver las bitácoras de log. Como no tenían idea de qué estaban haciendo, luego cambiaron a un Rocky Linux mal configurado para un segundo servidor, de un proyecto fallido porque, aunque terminé el sistema, no querían pagar por él. Aunque hice las pruebas en un rocky linux propio, no dejé el sistema porque no me pagaron por el.

 

Y del sistema principal cuando fallaba el servidor Red Hat en Azure, lo que yo hacía muchas veces era levantar mi respaldo en un Debian, pagado por mí, en Vultr, con Apache. En muchos aspectos el que paga manda, pero era obvio que mi servidor era mejor que el de la paraestatal y a un costo mucho menor. Un servidor es tan bueno como su admin. Y además no había políticas para saber qué: solo dar el resultado.

 

120 GB de bots se reducen a 40 gb

Como dije, me tocó un tráfico muy alto de bots en el foro MyBB durante marzo y abril. Principalmente OpenAI y Facebook. Además de otros específicos que buscan vulnerabilidades, me encontré con la friolera de que mi foro recibía 120 GB de tráfico al mes. He manejado eso antes en otros sitios (sí, he manejado por respaldos volúmenes de tráfico de 6 TB mensuales), pero esos bots me hubieran tomado mucho costo de egress si hubiera estado en la nube, además de no tener respaldos.

 

Pero con Apache, dediqué dos o tres tardes a principios de mayo en poner filtros en el sitio, no en firewall, bloqueando a mano una o dos IP agresivas, y mandando a error 403 o 404 a los que cumplieran ciertas reglas. Por ejemplo, permito el bot de Claude porque es más o menos decente, y el Googlebot, pero ya bloqueo Amazon, Facebook y otros más.

 

El 31 de mayo había reducido a 43 GB de bandwidth, incluyendo unos 2 GB de respaldos, porque es un sitio estático en el sentido de que ya no lo actualizo.
Puedo mejorarlo, pero de momento es manejable.

La conclusión: pagas tres veces

Estamos en una situación ridícula donde Amazon, Google y Azure venden servidores a spammers, y ellos como proveedores de nube no les interesa corregir eso. ¿Por qué? Les cobran a los spammers, te cobran a ti por alojamiento y te cobran a ti por egress. Así que pagas porque te peguen.

 

Si no quieres que te pase eso, es mejor que vayas pensando en analizar tus logs de Apache y Nginx. Debes poder hacerlo porque un servidor es tan bueno como su admin. Y no sería raro que la factura de la nube que tienes “para crecer o escalar” sea en realidad pagar tres veces: por no tener control de tu servidor y estar bajo disposición de tráfico malicioso.

 

En muchos casos la nube es como usar un trailer para ir de tu Casa al Oxxo, cuando una camioneta o coche es mas que suficiente.

Le pedí a kimi que me hiciera el prompt de imagen.

  • “Ilustración editorial estilo infografía técnica con fondo oscuro tipo terminal Linux. En el centro, un servidor rack con logos de Apache y Nginx en la parte superior. A la izquierda, dos cajas de gasas médicas de marcas diferentes: una etiquetada “Guadalupana” (rota, con moho, frágil) y otra etiquetada “Acme” (limpia, sellada, profesional). A la derecha, tres monedas de oro grandes flotando en fila vertical, cada una con una palabra: “Alojamiento”, “Egress”, “Escalar”. En la parte inferior, una pantalla de monitor mostrando logs de Apache/Nginx con líneas de texto verde sobre negro. En el fondo, siluetas de logos de Amazon, Google y Azure conectadas a figuras de robots/spammers. Estilo: minimalista, colores azul eléctrico, verde terminal, dorado y rojo advertencia. Sin texto explicativo adicional.”
  • Manejar las cadenas “vibcodingmexico.com” y la nube te cobra tres veces

Como pueden ver gemini no esta bien (sin que yo lo pidiera me hizo la imagen TRES VECES idéntica). Grok me dio algo usable, pero copilot gana por goleada.

Gemini

Grok

Related Posts

Fundamentos

Dominios Registrars, Cuentas y Estrategia

admin
Fundamentos

Leer las noticias

admin

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *