0
Piense en cuánto tiempo y dinero puede perder si esto sucede de repente. ¿Qué pasará si de repente su sitio, que genera, por ejemplo, 1.000€ o dolares de publicidad, de repente resulta infectado, los motores de búsqueda lo pesimizan o incluso lo arrojan fuera de los resultados de búsqueda? No habrá tráfico ni dinero tampoco, luego durante unos meses para restaurar las posiciones anteriores, si es que lo hay...
¿Y qué pasará si los s que compras, por ejemplo, en el directorio se infectarán con un virus o se redirigirán a otro lugar? Algo de frustración.
En la mayoría de los casos, los propietarios de sitios ni siquiera conocen esta piratería, que puede conducir a:
Cada aplicación web PHP contiene un promedio de 11 vulnerabilidades críticas...(extracto de un artículo *)
Tristes estadísticas de vulnerabilidades según Positive Technologies (la empresa es uno de los líderes en los mercados europeo y ruso).
Como puede ver:
Yo mismo, mientras investigaba, descargué accidentalmente varios complementos diferentes y cada uno era vulnerable. Es bueno si solo hay algunas configuraciones pequeñas que no afectan particularmente el funcionamiento del sitio, pero ¿y si, por ejemplo, es posible cargar su archivo o editar uno existente? Todo el problema. Estas son las cosas más peligrosas de las estadísticas.
DataLife Engine, Wordpress y algunos CMS por cierto, también está hecho en php, aunque por supuesto no tiene tantas vulnerabilidades en este momento. WP es popular, hay mucho y todo el mundo lo investiga constantemente y ayuda.
Sin embargo, esto no se aplica a un montón de adiciones al motor, en la mayoría de los casos están escritas por programadores con menos experiencia y hay muchas veces más vulnerabilidades, se encuentran constantemente y no siempre son buenas personas.
Por ello se aconseja mantener los complementos de tus CMS actualizado, ademas de tu sistema de gestión de contenido a la ultima versión. Hablar con tu proveedor de hosting para considerar qué hacer si ya te has infectado, opciones para buscar estantes, borrar virus, puertas traseras, enlaces izquierdos entre otras infecciones y así poder solucionar estos problemas.
Existe una causa que nos atreveríamos a decir supone el 90% de todos los ataques efectivos, las aplicaciones no actualizadas.
La aparición de aplicaciones como DataLife engine, Wordpress, Joomla, Drupal, entre muchos otros, hicieron que el a crear una web sea cuestión de clicks, no obstante la instalación es únicamente el primer paso, en el mantenimiento y actualización de estas aplicaciones está la clave.
Las actualizaciones de aplicaciones y los elementos de terceros (plugins, componentes, themes...) tienen la finalidad de añadir nuevas funciones, mejorar rendimiento pero sobre todo, solventar fallos de seguridad, sin aplicar dichas actualizaciones con frecuencia se tendrían abiertas "puertas" para cualquier atacante que conozca dicho fallo (lo que es habitual en el caso de aplicaciones de código abierto).
Los efectos que produce un ataque efectivo pueden ser muy diferentes, depende de la finalidad del hacker, no obstante los más comunes son:
- Todos los dominios y webs alojadas en una misma cuenta fueron afectadas: Si alojas varias webs y dominios en un mismo servicio de hosting, debes tener en cuenta que únicamente es suficiente un único fallo de seguridad en una de las aplicaciones para que el atacante tenga a todo el árbol de directorios del servicio y por lo tanto pueda alterar el resto de dominios y apps que alojes en esa misma cuenta.
- Envío de spam: El atacante añade scripts a la cuenta por medio de los cuales envía spam masivo. Esto provocará que el dominio caiga en lista negra de spam y los correos legítimos enviados sean rechazados por los receptores.
- Contenido ilícito alojado (phishing, malware): Se produce una adición de ficheros ilícitos como por ejemplo páginas de phishing o ficheros tipo ejecutables con virus para infectar a los s que los descarguen.
- Fallos en el funcionamiento de la web y/o aplicación: Ya sea por eliminación intencionada de ficheros imprescindibles o por infección de código malicioso, las aplicaciones o webs comienzan a funcionar con problemas presentando páginas en blanco de forma parcial o total, e incluso realizando redirecciones a urls externas.
- Bloqueos por parte de los buscadores: Buscadores como Google cuentan con sistemas que detectan las webs infectadas y las bloquean. En el caso de Google va un poco más lejos, la iniciativa Safe browser está implementada en muchos navegadores por lo que al acceder a una web que Google detecta como infectada serás bloqueado con un mensaje de web sospechosa.
- Detección y limpieza de bases de datos y ficheros infectados: Te diríamos que esta tarea es sencilla pero la realidad es que no existe un caso igual que otro, lo mejor es que nos es para evaluar la situación, contamos con diversas herramientas que nos permitirán detectar y eliminar todo tipo de infecciones, malware, herramientas de hacking, inyecciones de código entre otros.
- Restauración de copias de seguridad: Si por la gravedad del ataque no se hace posible repararlo, se debería proceder con una restauración, para ello contamos con un sistema de copias de seguridad con un históricos de backups por fechas.
- Bloqueo por parte de Google, sistema Safe Browser: En caso de ser bloqueado por Google, se debe solicitar una revisión del caso desde el centro de de Google: - Listado de comprobaciones de seguridad: Para terminar, aunque se limpie, repare o restaure una cuenta infectada, se deberán realizar adicionalmente las siguientes comprobaciones:
Recuperarse de un primer ataque es una tarea compleja, un atacante puede realizar cientos de modificaciones en ficheros con el uso de un simple script, muchas de ellas están documentadas, son conocidas y disponemos de su patrón, otras no, esto hace que el atacante pueda conseguir dejar una puerta trasera que pasa desapercibida para acceder en el futuro, y es aquí donde aún teniendo todo al día y tomando ciertas pautas de seguridad el problema vuelve a suceder una y otra vez.
En estos casos partir de una copia de seguridad totalmente limpia es la mejor opción, no obstante esto no es siempre posible ya que hay ataques que no son detectados por el de la web hasta que han pasado meses y puede requerir una tarea intensiva de comprobaciones para eliminar cualquier rastro:
¿Y qué pasará si los s que compras, por ejemplo, en el directorio se infectarán con un virus o se redirigirán a otro lugar? Algo de frustración.
¿Tiene 100% de confianza en que sus sitios no están pirateados o no están pirateados actualmente, en un momento en el que se relaja?
En la mayoría de los casos, los propietarios de sitios ni siquiera conocen esta piratería, que puede conducir a:
- El envío de email SPAM se realiza desde su sitio.
- En los resultados de búsqueda, estás significativamente más bajo de lo que deberías o no estás en absoluto, tu sitio está marcado como peligroso.
- Los enlaces se venden desde su sitio y los visitantes se eliminan.
- Los s de su sitio están infectados con virus.
- Pueden publicar entradas (contenido spam), por lo que tendrás problemas con los motores de búsqueda durante mucho tiempo.
- Sus clientes y sus datos personales le son robados.
- Tus competidores conocen desde hace mucho tiempo tus datos secretos.
Cada aplicación web PHP contiene un promedio de 11 vulnerabilidades críticas...(extracto de un artículo *)
Tristes estadísticas de vulnerabilidades según Positive Technologies (la empresa es uno de los líderes en los mercados europeo y ruso).
La versión completa de este estudio, así como la colección de Positive Research '2020 de todos los estudios de vulnerabilidad del año pasado (SCADA, RBS, telecomunicaciones, etc.), se pueden encontrar en ptsecurity.ru/lab/analytics
Como puede ver:- 70% de los sitios son vulnerables a XSS (secuencias de comandos entre sitios), muchos por cierto subestiman el peligro de XSS, pero no solo puede robar cookies para obtener autorización, sino que también puede usarlas para llenar el caparazón, no directamente, por supuesto, pero las posibilidades son suficientes. Como por ejemplo las bibliotecas de [email protected] entre otras...
- 48% inyección sql.
- 40% fueron vulnerables a la adivinación de contraseñas y abandonaron.
- 55% Predicción de sesión, permite interceptar sesiones de otros s.
- 40% Autorización insuficiente, da a información sin autorización, por ejemplo, a una parte del de istración.
- 35% CSRF (Cross-Site Request Forgery), un hacker podrá realizar algunas acciones en el sitio en nombre de otra persona, por ejemplo, agregar un nuevo o subirlo si el de istración lo permite, por supuesto, wp, dle y algunos CMS inicialmente tiene protección contra esto, pero en algunos casos puede no ser, además, junto con XSS, bajo una coincidencia exitosa, esta protección se puede omitir.
Yo mismo, mientras investigaba, descargué accidentalmente varios complementos diferentes y cada uno era vulnerable. Es bueno si solo hay algunas configuraciones pequeñas que no afectan particularmente el funcionamiento del sitio, pero ¿y si, por ejemplo, es posible cargar su archivo o editar uno existente? Todo el problema. Estas son las cosas más peligrosas de las estadísticas.
DataLife Engine, Wordpress y algunos CMS por cierto, también está hecho en php, aunque por supuesto no tiene tantas vulnerabilidades en este momento. WP es popular, hay mucho y todo el mundo lo investiga constantemente y ayuda.
Sin embargo, esto no se aplica a un montón de adiciones al motor, en la mayoría de los casos están escritas por programadores con menos experiencia y hay muchas veces más vulnerabilidades, se encuentran constantemente y no siempre son buenas personas.
Por ello se aconseja mantener los complementos de tus CMS actualizado, ademas de tu sistema de gestión de contenido a la ultima versión. Hablar con tu proveedor de hosting para considerar qué hacer si ya te has infectado, opciones para buscar estantes, borrar virus, puertas traseras, enlaces izquierdos entre otras infecciones y así poder solucionar estos problemas.
¿Cómo hackearon mi web / cuenta?
Existe una causa que nos atreveríamos a decir supone el 90% de todos los ataques efectivos, las aplicaciones no actualizadas.
La aparición de aplicaciones como DataLife engine, Wordpress, Joomla, Drupal, entre muchos otros, hicieron que el a crear una web sea cuestión de clicks, no obstante la instalación es únicamente el primer paso, en el mantenimiento y actualización de estas aplicaciones está la clave.
Las actualizaciones de aplicaciones y los elementos de terceros (plugins, componentes, themes...) tienen la finalidad de añadir nuevas funciones, mejorar rendimiento pero sobre todo, solventar fallos de seguridad, sin aplicar dichas actualizaciones con frecuencia se tendrían abiertas "puertas" para cualquier atacante que conozca dicho fallo (lo que es habitual en el caso de aplicaciones de código abierto).
Mantén un estricto hábito a la hora de actualizar y te aseguramos estarás libre de cualquier ataque en un porcentaje muy alto.
Otras causas frecuentes
- Infección de ficheros por medio de FTP vulnerado.
- Fallos de seguridad en aplicaciones de desarrollo propio.
- Uso de elementos que carecen de mantenimiento, por ejemplo plugins o themes que son abandonados por sus desarrolladores dejando cualquier bug que sea descubierto sin solución.
- Robo de datos de a anel por medio de virus o troyanos instalados en el equipo del cliente.
Efectos y consecuencias ocasionados por un hacking
Los efectos que produce un ataque efectivo pueden ser muy diferentes, depende de la finalidad del hacker, no obstante los más comunes son:
- Todos los dominios y webs alojadas en una misma cuenta fueron afectadas: Si alojas varias webs y dominios en un mismo servicio de hosting, debes tener en cuenta que únicamente es suficiente un único fallo de seguridad en una de las aplicaciones para que el atacante tenga a todo el árbol de directorios del servicio y por lo tanto pueda alterar el resto de dominios y apps que alojes en esa misma cuenta.
- Envío de spam: El atacante añade scripts a la cuenta por medio de los cuales envía spam masivo. Esto provocará que el dominio caiga en lista negra de spam y los correos legítimos enviados sean rechazados por los receptores.
- Contenido ilícito alojado (phishing, malware): Se produce una adición de ficheros ilícitos como por ejemplo páginas de phishing o ficheros tipo ejecutables con virus para infectar a los s que los descarguen.
- Fallos en el funcionamiento de la web y/o aplicación: Ya sea por eliminación intencionada de ficheros imprescindibles o por infección de código malicioso, las aplicaciones o webs comienzan a funcionar con problemas presentando páginas en blanco de forma parcial o total, e incluso realizando redirecciones a urls externas.
- Bloqueos por parte de los buscadores: Buscadores como Google cuentan con sistemas que detectan las webs infectadas y las bloquean. En el caso de Google va un poco más lejos, la iniciativa Safe browser está implementada en muchos navegadores por lo que al acceder a una web que Google detecta como infectada serás bloqueado con un mensaje de web sospechosa.
Solución
- Detección y limpieza de bases de datos y ficheros infectados: Te diríamos que esta tarea es sencilla pero la realidad es que no existe un caso igual que otro, lo mejor es que nos es para evaluar la situación, contamos con diversas herramientas que nos permitirán detectar y eliminar todo tipo de infecciones, malware, herramientas de hacking, inyecciones de código entre otros.
- Restauración de copias de seguridad: Si por la gravedad del ataque no se hace posible repararlo, se debería proceder con una restauración, para ello contamos con un sistema de copias de seguridad con un históricos de backups por fechas.
- Bloqueo por parte de Google, sistema Safe Browser: En caso de ser bloqueado por Google, se debe solicitar una revisión del caso desde el centro de de Google: - Listado de comprobaciones de seguridad: Para terminar, aunque se limpie, repare o restaure una cuenta infectada, se deberán realizar adicionalmente las siguientes comprobaciones:
- Actualizar cualquier aplicación instalada así como sus plugins y themes.
- Eliminar toda aplicación, plugin o theme que no esté en uso para minimizar las posibles vías de entrada.
- Revisar los s de las apps, modificando contraseñas por combinaciones seguras combinando números y mayúsculas/minúsculas.
- Revisar que en el listado de es de las aplicaciones no existan s sospechosos, en muchos casos los atacantes añaden s para poder acceder con posterioridad, esto se puede hacer revisando las bases de datos con la herramienta phpmy, por ejemplo, en el caso de Wordpress los s aparecerían en las tablas wp_s de cada base de datos
Recurrencia tras un primer hacking
Recuperarse de un primer ataque es una tarea compleja, un atacante puede realizar cientos de modificaciones en ficheros con el uso de un simple script, muchas de ellas están documentadas, son conocidas y disponemos de su patrón, otras no, esto hace que el atacante pueda conseguir dejar una puerta trasera que pasa desapercibida para acceder en el futuro, y es aquí donde aún teniendo todo al día y tomando ciertas pautas de seguridad el problema vuelve a suceder una y otra vez.
En estos casos partir de una copia de seguridad totalmente limpia es la mejor opción, no obstante esto no es siempre posible ya que hay ataques que no son detectados por el de la web hasta que han pasado meses y puede requerir una tarea intensiva de comprobaciones para eliminar cualquier rastro:
- Eliminar cualquier plugin, theme y que no sea estrictamente necesario, incluido plugins desactivados.
- Eliminar cualquier plugin o theme que no haya recibido actualizaciones por parte de sus desarrolladores, el intervalo depende, empezar por aquellos sin actualizaciones desde hace más de 1 año sería un buen punto de partida.
- Reinstalar los plugins y themes desde las fuentes oficiales.
- Eliminar cualquier aplicación o fichero que no se necesite.
- Reinstalar la aplicación en si misma sobreescribiendo los ficheros con los originales de la versión en uso.
- Aislar aplicaciones / webs alojadas en un mismo alojamiento web en planes de hosting diferentes para evitar que se afecten entre si.
Comentarios