El hackeo reciente se agrega a todos los archivos javascript

5

Tengo alrededor de 10 sitios web alojados en un servidor compartido por a2hosting, el 20 de abril, algunos de los archivos js de algunos de los sitios web se agregaron con una función que detecta el dispositivo y, si es móvil, redirige a otros sitios web con promociones. Al usar find ./ -name "*.js" | xargs grep "adabefbccdbe()" del directorio public_html (donde adabefbccdbe() es el nombre de la función de redirección) puedo detectar todos los archivos afectados y eliminar el código. He emitido un ticket de soporte a mi proveedor de alojamiento. Cuando sftp a mi servidor puedo ver que todos los archivos se editaron el 20 de abril, afectó a los archivos javascript para wordpress, magento y sitios web estáticos, sin embargo solo afectó a 7 de cada 10 sitios web en el servidor.

Mi pregunta es ¿hay alguna manera de ver quién y cómo pudo editar estos archivos? ¿Y qué puedo hacer para asegurarme de que esto no vuelva a suceder?

    
pregunta AntK 21.04.2016 - 15:58
fuente

3 respuestas

4

Hay una pregunta canónica titulada "¿Cómo trato? ¿Con un servidor comprometido? ". Ya que estás en un host compartido, hay algunas limitaciones a lo que puedes hacer. Todavía te recomiendo encarecidamente que leas la respuesta completa aceptada.

A continuación, analizaré cómo esto se aplica a su situación (es decir, en un alojamiento compartido). Las citas son de la respuesta mencionada.

1. Baje su sitio.

  

Cualquier otro problema que tengas, dejar el sistema conectado a la web solo permitirá que el ataque continúe.

No puede estar seguro de haber eliminado todas las infecciones. ¡En este mismo momento, es muy probable que esté propagando malware a sus usuarios!

2. Control de daños.

  

Cambie todas sus contraseñas para todas las cuentas en todas las computadoras que estén en la misma red que los sistemas comprometidos.

  

Comprueba tus otros sistemas. Preste especial atención a otros servicios de Internet y a aquellos que poseen datos financieros u otros datos comerciales sensibles.

  

Si el sistema almacena datos personales de cualquier persona, informe de inmediato a la persona responsable de la protección de datos (si no es usted) e INSTE una divulgación completa.

3. Intenta averiguar qué ha pasado.

Si acaba de volver a poner su sitio como estaba, lo mismo volverá a suceder. Tienes que tratar de entender qué salió mal.

Con el alojamiento compartido, esto puede ser difícil, ya que es posible que los piratas informáticos utilicen una vulnerabilidad en el software del servidor o en la cuenta de otras personas. Deberá contactar a su proveedor de alojamiento y pedirle que lo ayude con esto. No se puede dar por sentado que cooperarán. Si no lo hacen, te recomiendo que leas tu contrato y posiblemente te comuniques con un abogado para averiguar qué derechos tienes.

Sin embargo, puede examinar algunas cosas por su cuenta, a saber, su propio sitio. Ir a través de todo el software que ejecuta (WordPress, Magento, etc). ¿Estás ejecutando las últimas versiones? ¿Está ejecutando algún plugin? ¿Existen agujeros de seguridad conocidos en las versiones o complementos que está ejecutando? Especialmente los complementos de WordPress son delincuentes frecuentes cuando se trata de seguridad.

Hay algunos forenses limitados que puedes hacer por tu cuenta. Si tiene copias de seguridad, compárelas para ver qué archivos se han modificado a qué hora. El JavaScript inyectado que descubrió podría no ser lo único que cambiaron los atacantes. Es posible que haya habido varios cambios en varias ocasiones (posiblemente por varios atacantes), por lo que no puede estar seguro de que la fecha en la que se cambiaron los archivos de JavaScript fue la fecha de la violación inicial.

Especialmente si ejecuta gran parte de su propio código, es posible que desee hacer un pentest más detallado para encontrar vulnerabilidades.

4. Considera un nuevo alojamiento.

Especialmente si la infracción fue "su culpa" o si no le ayudaron a determinar la causa de la infracción, podría ser el momento de pasar a un nuevo alojamiento. Como han mencionado otros, un VPS es más seguro, pero también puede requerir más esfuerzo de su parte para ejecutar.

5. Vuelve a hacer una copia de seguridad de tu sitio.

Restaurar archivos estáticos de una copia de seguridad antes de la violación. Reinstale todo el software, y use solo las últimas versiones. Así que no solo copie y pegue los archivos de su antigua instalación vulnerable de WordPress al servidor desde una copia de seguridad.

Y, obviamente, solucione cualquier problema descubierto durante el paso # 3.

    
respondido por el Anders 21.04.2016 - 23:13
fuente
3

Bien, intentaré concentrarme en la parte de "quién".

  

Mi pregunta es si hay una manera de ver quién y cómo se pudo editar.   estos archivos?

Depende, pero lo que puedes hacer es seguir:

  • analizar los registros del servidor (auth, apache, ftp, etc.)
  • mientras analiza los registros, tenga en cuenta que compruebe si hay algún tipo de información sobre la fase previa al ataque (a veces los atacantes cometen un 'error' y se olvidan de ocultar su información mientras recopilan información): esto puede ser útil
  • analizar los correos electrónicos, si hay algo sospechoso en el contenido (tal vez hicieron algo de ingeniería social)
  • analizar los archivos cargados (datos exif)
  • y, por último, compruebe si dejaron una página de desfiguración con su correo electrónico, facebook, twitter, apodo, apodos de amigos, etc. :)

Basándose en toda la información, haga un informe simple y ahora es su turno de recopilar información sobre él.

    
respondido por el Mirsad 21.04.2016 - 23:55
fuente
2

Básicamente, usted buscaría una investigación forense del servidor, que analizaría con gran detalle cualquier registro de acceso, registro de errores, archivos con marcas de tiempo inesperadas, etc., buscando el método específico que se utilizó en este caso . Sin embargo, esto debería llevarse a cabo a nivel de servidor para que valga la pena, lo que normalmente no sería posible con un proveedor de alojamiento compartido.

En este caso, todo lo que puede controlar es su propio sitio: podría realizar una auditoría de software o una prueba de penetración (con el consentimiento del propietario del servidor) y ver si hay algún problema específico dentro de este. Sin embargo, como es un servidor compartido, es posible que haya problemas en otros sitios en el mismo sistema que no puede afectar. En ese caso, su única opción sería mudarse a un proveedor diferente, idealmente un VPS, donde solo está su código. Existen varios proveedores de VPS administrados, aunque tienden a ser más caros que los proveedores de alojamiento compartido, ya que los requisitos de recursos son mayores.

    
respondido por el Matthew 21.04.2016 - 18:12
fuente

Lea otras preguntas en las etiquetas