Hace poco estuve a cargo de arreglar nuestro servidor en el trabajo y limpiar los sitios en él. Nos infectamos con algún malware que inyectó código en algunos de los sitios web de nuestros clientes. Aparentemente, también había alguna otra actividad en el servidor. Incluía:
- Brute Force Hacking (puedo verificar esto con los registros de autenticación)
- Intentos de malware de redirección. La gente comenzó a recibir advertencias de Norton y también recibí una advertencia de Firefox.
Después de eliminar por completo los sitios web y reinstalarlos, uno por uno, y agregarles complementos de seguridad, todo salió bien. He reforzado la seguridad en el servidor con fail2ban y otros parches y utilidades de seguridad. Todo parece haberse calmado y los ataques parecen haber desaparecido por completo o se han hecho irrelevantes.
No soy nuevo en Apache, Linux, PHP, MySQL y muchos otros temas relacionados con la web (SEO, Marketing, etc.), pero no sé por dónde empezar cuando se trata de seguridad. Quiero decir, ni siquiera sé cómo comenzó el problema de la inyección / XSS / malware. No sé quién lo comenzó, y por qué. Ni siquiera sé realmente si la amenaza y el problema están arreglados. ¿Dónde comienzo con esas preguntas?
Alguna información básica:
- Los sitios funcionan con Wordpress (última versión) con complementos de seguridad.
- Usando Apache2 con el servidor Ubuntu 11.10.
- Configuración de LAMP con seguridad básica implementada