Imprimir

Como puedo asegurar mi cuenta luego de una intrusión / inyección de archivos?

Cada tanto recibimos reportes de entidades externas que nos indican que una cuenta cliente de HostBA ha sido vulnerada y está siendo utilizada sin consentimiento o conocimiento del titular para participar en actividades prohibidas (por lo general envíos de spamphishing ).
Si tu cuenta fue vulnerada, podés tomar una serie de medidas para asegurar la misma y prevenir el abuso en curso.
En todos los casos, nos pondremos en contacto con el titular de la cuenta involucrada para hacerle saber lo que sucedió y darle la oportunidad de asegurar su sitio.
Hay que tener en cuenta que (si bien entendemos que seguramente no tenías intención de que tu cuenta sea vulnerada) el cliente es el responsable último de garantizar la seguridad de cualquier software de terceros instalado en su sitio. Si detectamos alguna intrusión o inyección de archivos en tu cuenta te vamos a informar, pero por desgracia HostBA.com no podrá llevar a cabo una auditoría de seguridad completa del contenido de las cuentas del cliente o realizar mejoras a las mismas.
Por favor, lee detenidamente las siguientes instrucciones para asegurar tu cuenta. El siguiente es un proceso que puede llevar tiempo para ser realizado, pero es fundamental que completes todos los pasos a continuación:
Paso 1: Cambiá todas las contraseñas
Tenés que cambiar inmediatamente todas las contraseñas asociadas a la cuenta de la intrusión. Esto no sólo incluye las contraseñas de FTP, sino también las contraseñas de MySQL que podrían haber sido obtenidas mediante archivos de configuración de las aplicaciones instaladas en tu sitio.
IMPORTANTE: Nunca almacenes las contraseñas de acceso FTP en el programa, dado que las mismas pueden ser accedidas por un virus residente en tu computadora. Ingresalas manualmente cada vez que inicies una conexión para mayor seguridad. Recordá también que cada acceso FTP que le proporciones a otra persona, es una potencial puerta de entrada para alguien que quiera vulnerar tu sitio. Se cuidadoso con los usuarios FTP que administrás.
Paso 2: Revisá tu computadora (y todas las que tenían acceso FTP a la cuenta)
Revisá en busca de spywarekeyloggers y otros programas maliciosos.
Debés  comprobar el equipo local para asegurarte que no esté infectado con alguno de los arriba mencionados.. El software malintencionado, podría haber sido instalado sin tu conocimiento de muchas formas (a veces simplemente visitando el sitio web equivocado). Los usuarios de Microsoft Windows en particular, son especialmente vulnerables (para ellos, se recomienda utilizar copias actualizadas de AdwareSpybot para detectar software malicioso y quitarlo). Si detectás algún malware , eliminalo inmediatamente y cambiá tus contraseñas de nuevo (tu nueva contraseña podría haber sido interceptada también).
Otros programas y aplicaciones web recomendadas son:
http://sucuri.net/global (escaneo del sitio)
Paso 3: Eliminar archivos / directorios sospechosos
A menudo, los intrusos dejan atrás archivos y/o secuencias de comandos para su uso posterior. Para asegurar tu cuenta por completo, es importante buscar y eliminar cualquiera de los mencionados antes de que puedan ser utilizados nuevamente. Deberás revisar todos y cada uno de los directorios de tu cuenta y eliminar cualquier archivo sospechoso que no pertenezca al sitio. Asegurate de buscar, encontrar y eliminar los archivos y directorios ocultos (usá el "ls-alh" desde la consola SSH o activá la visualización de archivos ocultos de tu cliente de FTP para verlos) que te resulten sospechosos o no pertenezcan a tu cuenta .
Paso 4: Verificá los permisos de directorios y archivos
Es fundamental que verifiques que los permisos sean 755 para directorios y 644 para archivos, o lo más restrictivos posible. Si no sabés que son los permisos, podés empezar por acá.

Si tenés experiencia utilizando la consola SSH podés cambiar los permisos de manera recursiva (lo cuál te va a ahorrar mucho trabajo). Ingresá al servicio (recordá que es solo para planes Large y superiores). Una vez en tu espacio web, ejecutá los siguientes comandos
Para corregir los permisos de carpeta solamente:
find . -type d -exec chmod 755 {} \;

Para corregir los permisos de archivos:

find . -type f -exec chmod 644 {} \;
Paso 5: Actualizar o reemplazar el software
Eliminar el/los archivo/s de la intrusión (sitios de phishing o accesos basados en secuencias de comandos web, por ejemplo) no es suficiente. También debés quitar el acceso que el intruso utiliza para entrar en su cuenta como primer medida. Esto significa actualizar todos los programas o scripts alojados en tu cuenta con las últimas versiones disponibles o (si el software ya no es mantenido) sustituirlo por alternativas más seguras. Muchos scripts populares como Wordpress, Joomla, Drupal, etc son actualizados con regularidad para tapar los agujeros de seguridad que son encontrados por los desarrolladores. Si utilizás este tipo de software, por favor asegurate de comprobar a menudo las actualizaciones y parches de seguridad.
Tené en cuenta que para el caso de una inyección de archivos, es recomendable sustituir todos los archivos del sitio, dado que los intrusos pueden haber agregado su propio código de acceso a los mismos.
Recomendaciones generales
No bajes la guardia! Incluso después de eliminar la infección de su cuenta, es importante mantener una actitud alerta para  que tu experiencia informática y de alojamiento web sea segura. Para evitar futuras intrusiones debés practicar "safe-computing" en todo momento.
En la práctica, esto significa:
Escanear regularmente tu computadora en busca de malware, utilizando herramientas como el AdawareSpybot .
No seguir los links enviados por correo electrónico a menos que confíes en el remitente. No seguir los links que pretendan ser de tu banco, eBay, Paypal, etc
Evitá abrir archivos adjuntos de correo electrónico a menos que estés absolutamente seguro de que son confiables (en especial los enviados en mensajes en cadena , tarjetas de saludos, etc)
Elegí contraseñas seguras de al menos 8 caracteres de longitud, compuestas de letras y números al azar. No las armes en base a palabras o nombres. En este sitio podés generar contraseñas seguras fácilmente.
Activamente buscá actualizaciones de los scripts de terceros instalados en tu sitio web.  Instalá las mismas en cuanto estén disponibles.
Evitá el software históricamente inseguro, utilizá alternativas más seguras (es decir, utilizá el navegador Firefox en lugar de Internet Explorer, Thunderbird en lugar de Outlook, etc).
En general, evitá instalar software de terceros a menos que confíes en su origen.