Jump to content

¿Cómo me han «hackeado» la web?


Recommended Posts

¡Hola amigos!

Esta tarde me telefonea mi hermana y me dice agobiada que que su página web dedicada a la información diaria de eventos en Cantabria sale sin contenido o con simbolos raros en algunas páginas.

A los pocos minutos detecto que en el index.php se ha añadido unas cuantas líneas de código que no debiera estar ahí y que inyectaba en cada página mil direcciones de páginas web de todo tipo como enlaces. 😱

Acto seguido he borrado ese código malicioso, cambiado las contraseñas del FTP y paneles de administración por otras más seguras y revisado si existían otros archivos recientemente modificados.

De momento todo va OK.

Y mi pregunta es: ¿Cómo puede un extraño modificar un archivo index.php?

Lo único que se me ocurre es que ha obtenido acceso al servidor FTP de alguna manera: Ataque de fuerza bruta, ingenería social, ataque al proveedor de alojamiento, etc.

La contraseña antigua del FTP (que ya he cambiado) 😏 me parece relativamente segura: kUskD9b2652w y no la usa nadie casi nunca. No se comparte.

¿Existe otra manera de atacar este archivo alojado que no sea por acceso FTP?

Esto lo pregunto por simple ansia de conocimiento.

Gracias como siempre.

 

       mon

Link to post
Share on other sites

¡Hola!

Pregunta de laaarga respuesta. Pero lo abrevio en 2 palabras: ¡Ni idea!

Respuesta larga:

Aunque hayas puesto una clave segura, uno de los primeros pasos a hacer, ciertamente, es cambiarla y optar por una clave segura (aparte de la utilidad que tiene en MacOS, hay muchas utilidades, por internet) Una vez escogida, recomiendo, pásate por https://haveibeenpwned.com/Passwords para comprobar si la que has seleccionado está en alguna BBDD de las malas.

Como paso siguiente, tener en cuenta que ftp NO es la opción más segura. Comprobad si hay alguna posibilidad de deshabilitar ftp y utilizar otro protocolo más seguro (la alternativa directa es sftp ya que es ftp sobre un túnel ssh)

¿Y ahora? ... ¡toca esperar y cruzar los dedos que no vuelva a pasar! (entendiendo que existe una copia de seguridad hecha) 

Durante la espera...Comprueba otros dominios que estén colgados del mismo sitio (entiendo que tienes todo alojado fuera de tu control ya sea por hosting o housing) Esto te puede dar motivos de sospecha que el ataque haya sido horizontal ....estooo...¿que qué es un "ataque horizontal"? pues que, posiblemente, no han querido atacar a tu web, sino a otra/s...o el mismo servidor Tu web ha sido víctima del ataque, por casualidad o porque haya pasado a otras. Así han podido acceder a través de otro usuario/contraseña y se hayan <<desplazado horizontalmente>> (o sea de carpeta) hasta la que correspode a tu web. Por ello, échale un vistazo a las web que cuelgan del mismo servidor para ver que sensación te dan. Si ves alguna sospechosa, pide que te cambien de servidor o cambia de proveedor. Para poder encontrarlas usa un Reverse IP ( como https://dnslytics.com/reverse-ip )

Ciertamente hay que entonar el "mea culpa" y pensar si el error ha sido, de alguna forma, por vuestra parte (intencionadamente o desintencionadamente - véase el caso de una empresa a la que entraron sin problemas porque...¡alguien había colgado en las redes una foto en su trabajo, y en el monitor tenía un post-it con el usuario/contraseña! ) Una de las preguntas a considerar es ¿hay alguien/algún_motivo para que se haya hecho intencionadamente?

Otra opción es comprobar el servidor, directamente. ¡ja! eso ya son palabras mayores ¿verdad? Bueno, pues no. Con un poco de destreza (que puedes adquirir investigando un poquito) utiliza nmap, que seguro lo tienes instalado en el Mac, para controlar vulvenrabilidades del servidor. ¡Yo me he encontrado con servidores web que tenían vulnerabilidades del 2000! Si lo quieres más visual (pero más difícil de controlar) usa Nagios. Creo recordar que te puedes abrir una cuenta gratuita para hacer el control.

¡Ya ves! No es de respuesta fácil, pero ya te he dado 3 pasos para intentar encontrar la respuesta acertada. A mi, de principio, que se ofrezca ftp NO me gusta nada. Así que no sería un servidor que yo considerara cuando tuviera que colgar algo

 

 

🧐

 

  • Me gusta 2
Link to post
Share on other sites

Hola Zenaida:

Intentaré responderte rápidamente ya que no me encuentro muy bien (lumbalgia). ¡Ah! gracias por tu completa respuesta.

El 16/12/2020 a las 12:12, Zenaida dijo:

Aunque hayas puesto una clave segura, uno de los primeros pasos a hacer, ciertamente, es cambiarla y optar por una clave segura (aparte de la utilidad que tiene en MacOS, hay muchas utilidades, por internet) Una vez escogida, recomiendo, pásate por https://haveibeenpwned.com/Passwords para comprobar si la que has seleccionado está en alguna BBDD de las malas.

Sin problemas. Ni la antigua ni la nueva están comprometidas y la última es muchísimo más robusta.

 

El 16/12/2020 a las 12:12, Zenaida dijo:

Como paso siguiente, tener en cuenta que ftp NO es la opción más segura. Comprobad si hay alguna posibilidad de deshabilitar ftp y utilizar otro protocolo más seguro (la alternativa directa es sftp ya que es ftp sobre un túnel ssh)

Aquí empiezan los problemas. El hosting (compartido) de mi hermana solo permite FTP. Tendría que contratar otro plan por el doble de precio y no está dispuesta. No lo entiende. Tampoco es un gran desembolso para una página que en 2019 recibió 1.300.000 visitas. Este año al ser una web que reseña eventos públicos la caída ha sido bestial.

El 16/12/2020 a las 12:12, Zenaida dijo:

Durante la espera...Comprueba otros dominios que estén colgados del mismo sitio (entiendo que tienes todo alojado fuera de tu control ya sea por hosting o housing) Esto te puede dar motivos de sospecha que el ataque haya sido horizontal ....estooo...¿que qué es un "ataque horizontal"? pues que, posiblemente, no han querido atacar a tu web, sino a otra/s...

Comprobe enseguida los 56 dominios alojados con la misma IP (supongo mismo servidor) y todos correctos. También comprobe otros dominios que ella tiene en el mismo proveedor pero diferente IP. Y otros dominios que yo tengo en otros proveedores por si la filtración de la contraseña hubiera sido a nivel de mi ordenador o el suyo. Todo bien.

El 16/12/2020 a las 12:12, Zenaida dijo:

Ciertamente hay que entonar el "mea culpa" y pensar si el error ha sido, de alguna forma, por vuestra parte (intencionadamente o desintencionadamente - véase el caso de una empresa a la que entraron sin problemas porque...¡alguien había colgado en las redes una foto en su trabajo, y en el monitor tenía un post-it con el usuario/contraseña! ) Una de las preguntas a considerar es ¿hay alguien/algún_motivo para que se haya hecho intencionadamente?

Por aquí nada que arrascar, creo. Las contraseñas solo las uso yo. Y las gestiono con un gestor de contraseñas.

El 16/12/2020 a las 12:12, Zenaida dijo:

Otra opción es comprobar el servidor, directamente. ¡ja! eso ya son palabras mayores ¿verdad? Bueno, pues no. Con un poco de destreza (que puedes adquirir investigando un poquito) utiliza nmap, que seguro lo tienes instalado en el Mac, para controlar vulvenrabilidades del servidor.

He utilizado Zenmap que es un interfaz gráfico para nmap y no veo nada extraño. Tan solo los puertos habituales abiertos. Aunque a este nivel se me escapa casi todo.

Comentaré que el proveedor de Hosting es una conocida empresa catalana que lleva ya 20 o más años en el mercado. 🤔

---------

Otra posibilidad que se me ocurre es la vulnerabilidad de algún módulo o plugin del software que lo gestiona: cmsms.   La versión utilizada tiene ya 5 años y está desactualizada. Esto podría implicar que a través de está vulnerabilidad se pueda inyectar código en el index.php.

Para mi esto último es casi lo más probable.

 

Bien, lo dejo ya. Algo hemos avanzado en conocimiento. 🙂

Te reitero mi agradecimiento por tu colaboración.

 

      mon

  • Me gusta 1
Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.