He estado en un plan de alojamiento web compartido durante 10 años y recientemente cambié todos mis sitios (varios sitios de WordPress y complementos asociados, todos en PHP, un sitio de MediaWiki y muchas cosas estáticas) a mi propio VPS . Yay! Ahora no tengo a nadie a quien culpar sino a mí mismo por cualquier problema relacionado con la disponibilidad, el rendimiento y la seguridad .
Con respecto a la seguridad, estuve auditando la salida 'netstat' en este VPS basado en Linux hoy y noté que tenía una conexión establecida con el puerto 443 (HTTPS) en un servidor diferente. Descubrí a qué nombre de DNS se resuelve esta dirección IP y golpeé los googles. Este dominio solo está asociado con fraudes y fraudes monetarios.
Así que esta conexión HTTPS está simplemente dando vueltas. Visito el sitio y la página raíz es una pequeña porción de JavaScript que recopila información básica sobre el navegador y el tamaño de la pantalla del usuario y luego la redirige a una segunda página en el sitio que planta una cookie.
Ejecuté lsof -i y determiné que uno de los procesos de Apache en mi servidor ha establecido la conexión con el servidor seguro.
¿Alguna idea de lo que podría estar pasando aquí? Parece bastante claro que algo turbio está sucediendo. Mi mejor teoría es que un atacante está secuestrando un proceso de Apache que, a su vez, solicita dinámicamente JavaScript a través de una conexión encriptada y lo inyecta en páginas salientes.
Otros puntos de datos: he buscado en todos mis archivos y no puedo encontrar ningún rastro de este nombre DNS o su dirección IP; sin embargo, sé que no es una evidencia concluyente porque he visto un malware basado en JS que puede confundir las URL con bastante facilidad. Además, he revisado todas mis computadoras que han estado accediendo a mis diversos sitios y no puedo encontrar ningún rastro de la cookie que el JS estaría plantando (lo que podría significar que aún no había alcanzado el proceso sospechoso de Apache).
Siempre el programador, quería intentar reproducir el problema, así que reinicié el servidor y no he visto que la conexión se establezca nuevamente.
Tengo algunas ideas sobre la mitigación o el seguimiento (bloquee las conexiones al servidor incorrecto, ya sea a través del firewall o del archivo / etc / hosts; redirija las solicitudes HTTPS a mi propio sistema con un certificado falsificado solo para investigar la transacción de la red si es el mismo las circunstancias surgen de nuevo). Parece realmente extraño que la conexión se haya dejado abierta (cuando solo se podía recuperar la página una vez y se había terminado), pero tal vez esta era una condición errante y se suponía que no debía permanecer abierta.
Lo siento si esto es un montón de detalles, o si estoy pensando demasiado en algo simple. Solo estoy siendo paranoico acerca de cuidar mi pequeña porción de internet. Esperaba ver si estos detalles activaban alguna alarma de familiaridad.