¿Qué hacer si hackean tu blog?


Una serie de consejos para no perder la calma y saber cómo reaccionar en el caso de que un blog alojado sobre un dominio personal sea vícitma de un ataque malicioso.

Ahí fuera hay millones y millones de blogs. La mayoría están alojados sobre plataformas gratuitas que ofrecen el soporte técnico y las actualizaciones necesarias para su mantenimiento, por lo que los autores generalmente no tienen que preocuparse más que de actualizar sus posts.

Pero también hay muchos blogs alojados sobre un dominio propio, que pueden dar más de un dolor de cabeza a sus creadores por vulnerabilidades o fallos de configuración del software. Y no digamos ya si sufren algún tipo de ataque externo.

En esos casos, no hay que perder la calma ni dejarse llevar por el pánico, aunque sí es importante actuar rápido para minimizar los posibles daños. La compañía
BitDefender ofrece una serie de recomendaciones a seguir en caso de sufrir la -no deseada- visita de un hacker:
  1. Ante todo, hay que hacer inaccesible el blog tanto para usuarios como para los motores de búsqueda, con el fin de no difundir malware ni ser marcados por Google como un sitio malicioso. Puesto que todos los archivos de la web requerirán un análisis y probablemente una restauración, no es recomendable borrar ninguno. Es más fácil bloquear todo el tráfico poniendo un archivo .htaccess en el directorio raíz de la web. El archivo .htaccess debería contener una sola línea: denegar todo (deny from all). Si nuestro servidor no soporta archivos .htaccess o no está funcionando con Apache, lo mejor es cambiar el nombre del archivo index.php y crear uno en blanco en su lugar. Es importante recordar que hay que crear la falsa página index.php, pues en caso contrario corremos el riesgo de exponer otros archivos en nuestra cuenta FTP.

  2. Hacer una copia de seguridad completa de la carpeta de inicio. Por lo general, ésta incluye no sólo todos los archivos de nuestra cuenta de alojamiento, sino también las bases de datos SQL que podamos tener. Si no podemos crear una copia de seguridad completa, lo mejor es descargar el contenido de nuestra cuenta usando un cliente FTP y, a continuación, exportar manualmente la base de datos como un archivo de SQL. Es posible que deseemos ejecutar un escaneo profundo con nuestro antivirus favorito en los archivos descargados, ya que algunos de los scripts maliciosos inyectados por los cibercriminales son detectados por los escáneres.

  3. Retirar los registros de acceso de nuestro servidor web y almacenarlos en un lugar seguro. Cuanto más rápido lo hagamos, mejor, la mayoría de los proveedores de hosting los conservan durante un período limitado de tiempo (generalmente 12 horas o 24). Necesitaremos los registros para investigar qué es exactamente lo que los atacantes han hecho en nuestro sitio web. Este análisis forense en nuestra cuenta de hosting probablemente será capaz de revelar el lugar exacto de nuestro sitio web que ha sido atacado y, posteriormente, nos permitirá resolver definitivamente el problema de una manera más fácil.

  4. Hacer una copia de todos los archives modificados que encontremos. Estos podrían incluir plantillas, plugins y archivos subidos como contenido (prácticamente, todo lo que no puede ser descargado desde la web de nuevo). Deberemos almacenar sólo aquellos necesarios para comenzar de nuevo, sin perder ningún contenido.

  5. Comenzar a buscar dentro de cada plugin y cada archivo fragmentos de texto sospechosos. Tendremos que prestar especial atención a líneas de texto como “eval(base64_decode)" seguidas de una serie de números y letras ilegibles, así como cualquier secuencia de comandos incluidas desde dominios que no conocemos (como src="http://[dominiodesconocido]/scriptname.php">. Base64 es el método de ofuscación elegido para ocultar códigos maliciosos al ojo humano. Si encontramos algo así, significará, necesariamente, que sea dañino, ya que algunos diseñadores de plantillas (temas) usan Base64 para proteger sus composiciones con copyright de ser alteradas. Ante una situación así, debemos comparar el tema modificado con el original: si no hay código base64 en el último, deberíamos limpiar los archivos modificados.

  6. Ir a través de la base de datos tabla por tabla buscando cualquier link sospechoso. Hay que poner especial atención a las tablas de los administradores, los parámetros de configuración y los artículos del blog. Si encuentras un administrador desconocido, elimínalo. Las dos últimas tablas podrían contener un redirección basada en Javascript.

  7. Después de que el proceso de inspección y limpieza termine, tendremos que eliminar los archivos de nuestro servidor web. Si la base de datos también se vio afectada, debemos dejarla de lado y restaurar la copia que se ha revisado manualmente.

  8. Empezar a cargar el script del blog en el servidor. Tendremos que asegurarnos de que lo hemos descargado desde el repositorio oficial y el archivo MD5 es idéntico al que se muestra en la página web oficial. Es obligatorio que descarguemos la última versión del script. Modificar el archivo de configuración para que coincida con los datos de nuestro servidor web (usuario de SQL, base de datos, contraseña, ruta del archivo y el resto de la configuración). (Nota: muchos de los scripts CMS comerciales se pueden descargar desde páginas de software pirateado, con su protección comercial “rota”. Hay que tener en cuenta que el uso de este tipo de scripts es extremadamente peligroso, ya que suelen contener código “bombed” –backdoors- establecido por el “anulador” -el que pirateó el software original- para poder tomar el control de sitio web de la víctima.).

  9. Asegurarse de que no se establecen permisos sobre archivos y carpetas más altos que los que realmente necesitamos. Tendremos que configurar los archivos y carpetas a CHMOD 777, lo que podría permitir a un atacante escribir en ellos y volver a inyectar código malicioso. Por eso, tendremos que consultar la documentación técnica del guión y establecer los permisos adecuados para cada archivo y carpeta. Finalmente, deberemos cambiar las contraseñas de los administradores, del blog y de los FTP.

  10. Subir los archivos modificados de nuevo a su lugar correcto a través de FTP. Si tenemos bloqueado el acceso a la raíz del sitio con un archivo .htaccess, tendremos que eliminarlo ahora. Además, buscaremos nuestro blog en un motor de búsqueda usando su nombre o el título del blog como palabras clave, y accederemos a los resultados mostrados. La mayoría de las veces, el malware comprueba si la visita se produce desde un motor de búsqueda o si el visitante ha accedido directamente y sólo se muestra en el primer caso.
El bloqueo por culpa de un hackeo podría ocurrir debido a varios factores y algunos de ellos, incluso, escapan a nuestro control. Por ejemplo, una pobre configuración del servidor o el uso en éste de software vulnerable pueden permitir el acceso a nuestra web a un ciberdelincuente. Para minimizar estos riesgos, BitDefender aconseja:

  • Nunca usar scripts modificados o procedentes de webs poco fiables.

  • Mantener la cuenta FTP limpia: no hay que mezclar la cuenta de un blog con otros scripts que casualmente estemos probando en línea. Una pequeña vulnerabilidad en un script puede poner nuestro blog en manos ajenas. Las pruebas deben realizarse siempre en un servidor web instalado localmente.

  • No añadir temas o extensiones innecesarias al blog. Hay que usar sólo lo que realmente necesitamos y reducir al mínimo la probabilidad de tener un plugin o tema defectuoso. Además, tenemos que asegurarnos de que cualquier plugin proviene de una fuente de confianza, en caso de duda, preguntaremos a la comunidad.

  • Generar y almacenar copias de seguridad de SQL con regularidad.

  • Utilizar contraseñas fuertes para las cuentas FTP y las cuentas de los administradores. No debemos reveler esas claves bajo ninguna circunstancia. Podríamos, además, instalar una solución antimalware para asegurarnos de que el sistema está limpio de troyanos. Muchos ataques exitosos proceden de claves robadas mediante el uso de keyloggers y troyanos.

  • Hay que poner especial interés en seleccionar un buen proveedor de hosting.Tenemos que asegurarnos de que ofrecen backups automáticos diarios, registro de acceso y una configuración adecuada del servidor web para acoger nuestro blog automáticos diarios, registro de acceso y una configuración adecuada del servidor web para acoger nuestro blog.

Fuente: baquia

0 comentarios: