Resolución de problemas y pautas para direcciones URL maliciosas

Descripción del problema

Por lo general, el alojamiento de contenido malicioso no es intencional, sino que es el resultado de una vulnerabilidad en un servicio (como una página web, una cuenta de usuario, etc.) o el sistema operativo.  No solo debe quitarse el contenido malicioso, sino que también debe corregirse el método utilizado por parte de terceros (tal como explotar vulnerabilidades de software, permisos débiles, una contraseña débil o una funcionalidad vulnerable) para publicar el material.  El proceso es generalmente el mismo independientemente de si el material está relacionado con el phishing o es malware de verdad.

Tenga cuidado de no visitar una URL que pueda tener contenido malicioso que pueda infectar su computadora de la estación de trabajo.

Sugerencias para la resolución

Se recomienda desconectar el sitio web de Internet hasta que esté seguro de que se ha limpiado.  Es posible que tenga que poner el sitio en línea de nuevo para una parte de los siguientes procesos, pero, en general, debe permanecer sin conexión hasta que el proceso de limpieza haya terminado.

  • Investigar y recopilar información acerca de la infección
  1. Identifique la cuenta de usuario en cuestión, el dominio y la ubicación del archivo malicioso
  2. Registre todas las marcas de hora, los permisos y la propiedad relacionada con el contenido malicioso
  3. En algunos casos, el contenido malicioso podría haber sido cargado en el sitio web o inyectado dentro del código de un archivo legítimo. Asegúrese de crear una lista de todos los archivos que pueden haber sido modificados, pero que sean archivos legítimos del sitio.
  4. A medida que revisa el contenido, busque cualquiera de los siguientes:
    1. Textos o enlaces basura Esto puede ser evidente, pero si no es así, trate de buscar palabras clave basura comunes como nombres de productos farmacéuticos o palabras como "barato", "gratis", "casino" y "amateur".
    2. Textos, enlaces o meta refresh basura codificados (que pueden ser más difíciles de detectar). Intente buscar en el código de la página palabras como base_64. Por ejemplo, el texto eval(base_64_decode("aisiYSlbYlaws...")) se puede utilizar para encubrir.
  5. Tanto las cuentas del sistema como las cuentas configuradas dentro de la aplicación de la página web pueden estar afectadas.  Verifique que no se hayan creado nuevas cuentas de usuario.  Si encuentra alguna, registre los nombres de usuario para su referencia.
  6. Cuando busque contenido malicioso, intente descubrir la intención del usuario malintencionado.  ¿Solo querían engañar a los usuarios finales para que suministren información personal mientras se hacían pasar por otra actividad (por ejemplo, phishing) o trataban de dirigir el tráfico a otro sitio usando la buena reputación de su sitio en los resultados de búsqueda?
  7. Si su sitio web utiliza una base de datos, debe revisar los registros de la base en su servidor y buscar contenido sospechoso en la base de datos.  Verifique que no se hayan producido daños secundarios, como usuarios creados inesperadamente en el propio sitio u otras modificaciones en la base de datos.
    1. Si el contenido de la base de datos no "tiene escape" o está "fuertemente tipado" y, por lo tanto, restringiría la salida, es probable que se insertó mediante una inyección de SQL y existe una vulnerabilidad en el sitio que da lugar a esta actividad. Una inyección SQL sucede cuando un usuario intencionalmente utiliza código mal escrito o desactualizado para insertar registros en una base de datos del sitio que más tarde se mostrará en su sitio web como contenido dudoso que tiene contenido basura, direcciones URL o contenido cuestionable.  Los usuarios malintencionados pueden también utilizar su base de datos para almacenar los datos obtenidos ilegalmente para que otros piratas los recuperen.
  8. Si cree que tiene una copia de seguridad limpia del sitio, puede comparar los archivos utilizando "diff" o "md5sum". Todos los archivos que sean diferentes pero no deberían serlo deben agregarse a su lista de archivos sospechosos para su posterior limpieza.

 

  • Limpiar el contenido malicioso identificado
  1. Si tiene una copia de seguridad actualizada y limpia, puede simplemente restaurar esa copia.
  2. Una copia de seguridad actualizada y limpia podría introducir la vulnerabilidad que permitió que el material se publique en primer lugar.   Las actualizaciones y los cambios de contraseña de usuarios del sitio se deben llevar a cabo después de restaurar la copia de seguridad.
  3. Si no tiene una copia de seguridad actualizada y limpia, debe emplearse un enfoque más manual para extraer el contenido malicioso.
  4. Verifique la presencia de otro contenido malicioso (revise archivos con la misma marca de hora o la misma ubicación)
  5. Quite cualquier cuenta de usuario o base de datos ilegítimas.
  6. Verifique otros sitios web alojados en el servidor para ver si también han sido infectados. Puede buscar contenido similar en los otros sitios web. La investigación y la limpieza debe darse en esos sitios de la misma forma.

 

  • Corrija la vulnerabilidad y proteja el sitio web o la cuenta

Identifique la vulnerabilidad que dio lugar a la publicación del material malicioso.

  1. Debe actualizarse el software desactualizado.  Esto incluye tanto el software y las herramientas del sistema operativo, así como el software del sitio en sí, y el sistema de gestión de contenidos, la plataforma de blogs, las aplicaciones, los complementos, etc.
  2. Cambie las contraseñas de todas las cuentas relacionadas con ese sitio web.  Esto incluye cuentas SSH/FTP, así como cuentas dentro de la aplicación del sitio (p. ej., Wordpress). Descifrar una contraseña débil puede ser fácil para los piratas teniendo en cuenta que pueden intentar averiguar una contraseña durante días por vez antes de ser detectados.  Es muy importante que todos los usuarios tengan contraseñas seguras.  Una contraseña suficientemente fuerte tiene mayúsculas y minúsculas y utiliza caracteres alfanuméricos.  La longitud de una contraseña decente debería ser de al menos 8 caracteres, pero usar más caracteres y signos de puntuación o símbolos (!@ #$%) es todavía mejor.
  3. Compruebe el directorio y subdirectorios del sitio para encontrar permisos inseguros
    1. Por ejemplo:
find <your-dir> -type d -not -perm 755 -exec ls -ld {} \;
  1. Compruebe los archivos del sitio para encontrar permisos inseguros
    1. Por ejemplo:
find <your-dir> -type f -not -perm 644 -exec ls -la {} \;
  1. Compruebe la presencia de infecciones virales en la estación de trabajo del administrador, como también el servidor en sí
    1. Use varios escáneres de virus para este fin.  También es útil reiniciar la estación de trabajo en modo seguro o en modo de usuario único antes de utilizar el antivirus para que las extensiones utilizadas para ocultar el virus no sean cargadas por el sistema operativo.

Deben eliminarse las prácticas de codificación permisivas.  Por ejemplo, se puede deshabilitar abrir archivos PHP de forma remota al limitar solo la apertura de archivos locales.  Abusar de esta clase de vulnerabilidad no solo puede cargar código remoto para que su servidor lo ejecute, sino que también puede resultar en la reorientación de visitantes a otros sitios.

¿Tiene más preguntas? Enviar una solicitud

0 Comentarios

El artículo está cerrado para comentarios.
Tecnología de Zendesk