El sábado (18 de mayo) comencé una de mis máquinas virtuales (ejecutando Ubuntu 18.04 Server).
Para mi sorpresa, la VM intentó conectarse casi de inmediato d16r8ew072anqo.cloudfront.net:80
, algo que nunca había visto antes: es una instalación bastante "prístina" de Ubuntu, sin apt
repositorios personalizados , y solo unos pocos paquetes instalados. Nunca antes se había conectado a algo sospechoso, principalmente a dominios Ubuntu y Snap. (Uso Little Snitch para monitorear el tráfico de la red, así que veo las conexiones en tiempo real y también puedo negarlas).
Pasé un tiempo tratando de averiguar qué sucedió y creo que lo reduje a la unattended-upgrades
instalación de parches de seguridad. Específicamente, cuando reinstalé manualmente el intel-microcode:amd64
paquete pude reproducir la conexión extraña a CloudFront (aunque podría haber sido solo una coincidencia).
Luego, el lunes, quería documentar el problema en caso de que algo similar ocurriera nuevamente, pero para mi sorpresa, ya no pude reproducir la conexión extraña.
Y la única diferencia observable el lunes fue que la salida de
sudo apt-get install --reinstall intel-microcode:amd64
[1] no tenía la Ign:1
línea.
Busqué en la web, incluyendo http://archive.ubuntu.com/ubuntu , grep
edité el disco de la máquina virtual, verifiqué los registros DNS de misceláneos. ubuntu.com
subdominios, probé wget
diferentes URL para encontrar una redirección al dominio sospechoso, pero no pude encontrar ninguna pista sobre la extraña conexión a CloudFront.
Mi pregunta es: ¿alguien sabe lo que sucedió, o al menos notó la misma conexión en sus registros?
(Por cierto, conozco un ejemplo en el que el equipo de Ubuntu usó CloudFront para liberar sus servidores: desajuste de MD5 en mi ISO 12.04, ¿qué está pasando? ¿Entonces espero que este sea un caso similar? )
[1]:
$ sudo apt-get install --reinstall intel-microcode:amd64
Reading package lists... Done
Building dependency tree
Reading state information... Done
0 upgraded, 0 newly installed, 1 reinstalled, 0 to remove and 0 not upgraded.
Need to get 1,801 kB of archives.
After this operation, 0 B of additional disk space will be used.
Ign:1 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 intel-microcode amd64 3.20190514.0ubuntu0.18.04.2
Get:1 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 intel-microcode amd64 3.20190514.0ubuntu0.18.04.2 [1,801 kB]
Fetched 1,801 kB in 20s (89.2 kB/s)
(Reading database ... 107477 files and directories currently installed.)
Preparing to unpack .../intel-microcode_3.20190514.0ubuntu0.18.04.2_amd64.deb ...
Unpacking intel-microcode (3.20190514.0ubuntu0.18.04.2) over (3.20190514.0ubuntu0.18.04.2) ...
Setting up intel-microcode (3.20190514.0ubuntu0.18.04.2) ...
update-initramfs: deferring update (trigger activated)
intel-microcode: microcode will be updated at next boot
Processing triggers for initramfs-tools (0.130ubuntu3.7) ...
update-initramfs: Generating /boot/initrd.img-4.15.0-50-generic
fuente