------------------------------------------------------------------------------------------------------------------------------------------------------------

HOLA AMIGOS: NAVEGANDO POR LA RED ME ENCONTRE DE COMO DENIEGAN PAGINAS WEB (DOS), LO LEI BUENO LO ESTOY PROBANDO EN MI SERVIDOR LOCAL, EPERO QUE ESTA INFO LES SIRVA PERO PARA FINES EDUCATIVOS, NO ES RESPONSABILIDAD DEL BLOG QUIEN LO UTILICE CON OTROS FINES.

------------------------------------------------------------------------------------------------------------------------------------------------------------

Alguna vez te preguntaste ¿Que pasa cuando un página / blog es “Hackeada”?. Lo primero es que hablaré de esto como un Defacement, hecho por un Defacer, o sea cuando alguien entra a la página subiendo su “firma”.

Hace un año empece a trabajar con una compañía dedicada a la venta de membresías  por internet, por lo que necesitaban reconstruir su página web y su seguridad, ya que manejan datos de paypal, cuentas bancarias, tarjetas de crédito y datos personales de terceras personas.

Cuando llegue a esta empresa el sitio web era un desastre, así que reconstruí el sitio, pero el webmaster anterior había dejado dentro muchos archivos “basura” la mayoría se eliminaron (no todos). Como sabía que la empresa manejaba datos importantes decidí separar 2 bases de datos, 1 para la configuración de la página web y una segunda para almacenar los datos privados de clientes, esta última se encuentra en una Intranet (desconectada de internet).

Todo bien ¿no?, pues NO, hace unos días la página fue Hackeada. y esto es lo único que se veía en la página:

En fin nos hackearon, (lo que comprueba que nada en Internet es seguro) ahora lo único que queda hacer es revisar como fue hackeada, reparar la vulnerabilidad y hacer una revisión de daños.

Lo primero fue restaurar la página original, después toco revisar si el “Hacker” borro algún archivo, en caso de que si, ¿que archivos fueron?. Afortunadamente no se borro ningún archivo.

¿Como fue Hackeada la página?

Para buscar vulnerabilidades utilice un par de Scanners (Webcruiser, Nmap y Acunetix) que antes ya había usado y nunca mostraron vulnerabilidades o puertos vulnerables. En el nuevo escaneo no mostró nada importante:

El hecho de no encontrar vulnerabilidades me hizo sospechar de que el “Hacker” haya entrado en una página en el mismo servidor que la de la compañía y después rooteo el servidor obteniendo acceso a la página web, aunque aún no podía confirmar nada, así que revise los logs de errores, pero lo raro es que estaban vacíos.

En fin, decidí investigar al “Hacker” y Oh! Sorpresa me encuentro con un articulo muy interesante:

El hacker GHoST61 hasta ahora ha atacado más de 18.200 sites por un fallo en Linux

Ademas de su canal de Youtube en el que enseña como rootear los servidores:

2.6.26-2 2011 x86_64 GNU Linux Local root By GHoST61

así como su perfil en Zone-H

http://www.zone-h.org/archive/notifier=GHoST61

¿Que quiere decir esto? Mi teoría sobre el rooteo del servidor es correcta.

¿Qué medidas de seguridad se tomaron?

Mudar la web a un VPS, de esa manera el “Hacker” no podía volver a hacer lo mismo

Revisión de los archivos en busca de una shell, y resulta que si, subieron 6 Shells a la página, todas borradas de inmediato.

Búsqueda de código malicioso en los archivos de la pagina, no se encontró nada

Búsqueda de información robada, busque información de la primera base de datos, en la deep web, mercados negros, y no hubo nada, el “Hacker” no extrajo nada de información.

El “Hacker” no hubiera podido extraer información de clientes, ya que la base de datos estaba desconectada de Internet

Bueno esta fue una pequeña reseña de un accidente que tuvimos en la compañía, ¿has tenido alguno similar? cuéntanoslo a contacto@xora.og Saludos amigos