Hola a tod@s!
Últimamente los sitios web están siendo atacados por terceros.
Inyectan código malicioso en el sitio. Insertado
este código en los archivos se pretende
infectar las computadoras de cada visitante que visite el sitio Web, la técnica es denominada
( drive-by download).
Esto representa una grave amenaza para la seguridad de los
datos del hosting y de los visitantes del sitio.
Esto que cuento hoy, le ocurrió a una persona cercana no
hace mucho.
Lo primero de nada, ya sé que no es fácil, es no perder los
nervios, centrarse y pensar como, cuando y porque sucedió esto. Vamos a ver los
puntos que seguiremos para restablecer la Web dañada.
1. Análisis del
ataque
2. Consecuencias del
ataque
3. Cómo restablecer
la presencia y la seguridad de la Web
1. Análisis del ataque
1.1 Como ya sabemos Hackers oscuros (malos), han introducido código malicioso en algunos de
los archivos. Este código está diseñado para descargar automáticamente un virus
en cualquier equipo que navega por el sitio Web (drive-by download).
1.2 Realiza un análisis de los logs en buscas de prubas o información importante.
1.3 Estas modificaciones han podido ser realizadas por FTP.
1.4 De este modo se puede concluir que los datos de acceso FTP fueron descubierto
y comprometidos previamente por un virus o troyano instalado en el equipo
local.
2. Consecuencias del ataque
2.1 Los sitios representan un peligro inminente para todos
sus visitantes. Al buscar el dominio Google
puede mostrar una alerta: “este sitio
puede dañar su equipo”.
2.2 Esto repercute muy negativamente para tu sitio web,
perder usuarios y entrar en listas negras.
2.3 Usuarios infectados al entrar en tu web. Que a su vez
infectarán su PC.
2.4 Mala reputación.
2.5 El ataque puede relevar información sensible de sus
archivos webs, información local, e información de tus clientes.
3. Cómo restablecer la presencia y la seguridad de sus
sitios Web
Eliminar el virus en el equipo que espió a los datos de
acceso. A continuación cambia tus contraseñas.
3.1 Cambiar las contraseñas del FTP.
3.2 Posteriormente, cambiar password de Panel de control y Webmail.
3.3 El virus puede haber espiado otros datos de acceso,
también cambiar todos
-tus otras contraseñas.
-las cuentas de e-mail
-su cuenta de banca en online.
-cuentas en eBay, Amazon, PayPal por ejemplo, que se lie a
comprar por ti.
3.4 Eliminar todos los archivos maliciosos de tu espacio web.
3.5 Reemplazar los archivos infectados. Restablece tu Web
con una copia de seguridad, importantísimo de tener la copia de seguridad en
medio extraíble fuera del PC para evitar su posible infección también, pasarle
un análisis a la copia de seguridad antes de subirla. Si no tenéis copia de
seguridad, os tocará hacer de nuevo la web.
3.6. Por último, asegúrate de que los permisos de los
archivos estén correctamente ajustados 644.
Con el análisis de los logs y buen análisis forense es posible saber mas sobre lo sucedido y dar con el autor de los hechos, geolocalización de IP, rastreo IP, posibles huellas dejadas por el hacker, se podra dar con el o quizás no.
No seáis malos. 