No se sabe a ciencia cierta porqué algunas personas que se hacen llamar “hackers” contaminan páginas web con troyanos que infectan a las computadoras que visitan las páginas web.
Lo que si se sabe es que estas personas se dedican a robar información de miles y posiblemente millones de víctimas que pueden ser desde simples usuarios hasta empleados, funcionarios públicos de alto nivel, policías, militares, congresistas, banqueros, etc
Ultimamente hemos visto que algunos hackers han infectado algunas páginas web muy conocidas, pero técnicamente hablando no es una gran hazaña de hackers. (según los conocedores)
Los hackers logran introducir archivos Shell o backdoor que luego son accesados por estos mismos y toman el control del servidor, se dice que esto no es un gran logro técnicamente hablando por que no requiere muchos conocimientos técnicos y más bien es pura suerte.
Lógicamente el acceso que tienen los hackers a la web víctima es lenta y nunca conocen o pueden encontrar la contraseña del hosting (Ej. Cpanel/plesk) por qué esta está a otro nivel de seguridad, sin embargo si el administrador de la página usa una sola contraseña para todos sus login… está perdido ….. el hacker haciendo una búsqueda por la base de datos podrá conocer las contraseñas y modificar lo que desee.
¿Qué hacer?
- Las contraseñas en el servidor deben estar guardadas en MD5, esto le impide al hacker descubrirlas.
- No Usar las mismas contraseñas en el cpanel/plesk, correos y demás servicios.
- Cerrar inmediatamente las carpetas desprotegidas, quitarle los permisos 777, que es por donde logran meter los archivos troyanos.
¿Cómo desinfectar el servidor?
Para eliminar estos archivos depende del nivel del webmaster o el personal de sistemas. Hay dos recomendaciones.
– Opción 1, y tediosa es buscar con el programa FTP cada archivo sospechoso y eliminarlo, normalmente encontrarás más de uno en diferentes carpetas y con diferentes nombres. Casi siempre son archivos .php pero hemos visto que también pueden cambiar la extensión a .jpg o cualquier otro.
Además al darse cuenta que por seguridad se busca estos archivos los hackers han optado por encriptar los mismos para hacerlos supuestamente invisibles, pero igualmente se detectan.
– Opción 2 y más efectiva, conectarse mediante SSH y buscar/eliminar todos los archivos que contengan las cadenas «c99shell» … por ejemplo… estas cadenas pueden variar según el programita que hayan metido en el hosting ….
Es convenientes agregar un script que cada minuto busque archivos sospechosos y los elimine, o activar un antivirus para servidores de linux que haga esa tarea, de esta manera cada archivo que se suba al servidor será analizado y borrado en el acto.(recomendable)
Una vez limpio el sistema, es conveniente cambiar las contraseñas y cerrar las carpetas que quedaron abiertas con los permisos 777.
Si eres un webmaster y eres el único que sube archivo a tu web, ya sea blog o página comercial/personal, cambia los permisos y sube tus archivos por FTP, con eso ya está seguro tu hosting sobre este tema de seguridad.
Ahora recuerda que debes grabar cada IP que accesa a tu servicios, con estos registros dependiendo del daño se podrá hacer una denuncia policial.
Existen otros ataques a los servidores un poco más sofisticados que iremos tocando en otro artículo, por mientras hay que cuidarse de este tipo de infección.