HTTP referrers de Sinkhole y qué hacer con ellos

¿Qué es un sinkhole?

Un sinkhole (en español, cueva o hundimiento de tierra), en el contexto de seguridad informática, es un servicio creado deliberadamente y que se utiliza para representar a un verdadero servicio, ya sea un servicio legítimo o malintencionado como un host de comando de control de botnet. En este caso en particular, el sinkhole aquí es un servicio dirigido por una organización de seguridad para atrapar y registrar visitas a sitios web que se redirigieron por suplantación a donde tendrían que ser redirigidos.

Solución:

Si usted recibe un aviso sobre un sinkhole de parte del Equipo de Seguridad y Antiabuso de iWeb, utilice la información que se le ha enviado, que debería contener el "host http visitado" y también el "tipo de infección" para detectar cómo y dónde se produce la referencia. Podría ser tan simple como una redirección completa al usar un archivo .htaccess o dentro de un iFrame en su servidor web.  Es probable que sea necesario usar la Marca de tiempo enviada para buscar sus registros de acceso http para ver lo que sea ha visitado en ese momento. La mayoría de los relojes son precisos, pero tenga en cuenta la zona horaria cuando busque los registros.

En casi todos los casos, la cuenta que aloja el sitio web que se visitó y apareció en el sinkhole como origen de referencia, está comprometida.   Como mínimo, se debe cambiar la contraseña de ese usuario y todo el material alojado en esa cuenta debe revisarse en caso de alteración. Sea cauteloso a la hora de restaurar copias de seguridad en esta cuenta, ahora y en el futuro, ya que puede estar restaurando en realidad los archivos infectados dependiendo de hace cuánto tiempo se encontraba allí la infección.  

En algunos casos, es posible que el mismo servidor esté en peligro y deba reinstalarse. Esto sucede en algunos casos cuando en realidad se inyecta tráfico para redirigir a los visitantes y no se puede encontrar la causa de la redirección dentro del contenido alojado en el sitio. Se recomienda realizar un análisis completo de virus/malware de todo el servidor, pero nada se compara con una reinstalación completa de un servidor que está comprometido administrativamente.

A continuación, mencionamos algunas herramientas que pueden serle efectivas:

Linux:

Windows:

¿Tiene más preguntas? Enviar una solicitud

0 Comentarios

El artículo está cerrado para comentarios.
Tecnología de Zendesk