Malware en imágenes: 10 Consejos básicos para webmasters

Spam y Black Hat en wordpressA pesar que este tipo de acciones se realizan con frecuencia en la comunidad black hat, hace unos pocos días saltó la alarma acerca de las imágenes infectadas que arroja el buscador de google images y otros sitios web que han acabado por hackear cientos de páginas mediante un exploit que se aprovecha de 3 situaciones:

  • Seguridad local del webmaster
  • CMS utilizado
  • Servidor web

Según el sitio sobre seguridad informática badwarebusters.org, algunos webmasters notaron un incremento sustancial del número de inodes o archivos generados en su servidor web. En resumen, esto se traducía en una serie de redirecciones web que pueden comprometer seriamente no sólo el sitio web sino su reputación en las SERPs.

Los asaltantes roban contraseñas FTP almacenadas localmente para subir ficheros .php maliciosos. Automáticamente, se autogeneran páginas web de spam con una serie de keywords para posicionar que nuevamente aparecían en los primeros resultados de las búsquedas de imágenes, dispuestas a infectar nuevos objetivos y crear así una completa granja de enlaces en un extenso rango de IPs. Los usuarios que hacen click son redireccionados a una falsa página de antivirus.

Según algunos webmasters que han sufrido este ataque, los logs muestras una serie de IPs causantes de todas estas acciones maliciosas e identificadas como: 46.252.130.109 , 91.200.240.10, 91.200.241.10. Tras robar el usuario y password almacenados en el programa ftp de la víctima (mediante malware o con un javascript que se lanza al hacer click en la imágen), se sube un archivo .php encargado del ataque. El archivo se sube en cualquier directorio (nunca es constante) y posee diversos nombres, aunque por lo general siempre de 3 letras o 2 dígitos: 45.php, 35.php, ggg.php, ebb.php, etcétera…¿Qué contiene? Pues código encriptado en base64 que:

  • Añade código malware
  • Añade la página de spam
  • Añade ficheros extra

Primero, genera el directorio /.log/nombredetudominio.com y crea el archivo xmlrpc.txt. Dentro de éste, se encuentra nombre-servidor-remoto.com desde el cuál se pueden invocar a ejecutar nuevo código malicioso. Ahora se edita el .htaccess con las siguientes líneas:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.*)$ nombre-del-script.php?q=$1 [L]
</IfModule>

El nombre-del-script es la ruta en la que se encuentra el fichero .php generado. Así, y con esta sentencia en el .htaccess, ahora cualquier petición a tu web por ejemplo del tipo: midominio.com/wp-admin/45.php?q=buscar-palabras será leída e interpretada como: midominio.com/wp-admin/buscar-palabras, ocultándose así la ruta verdadera.

Por último, se hace una llamada desde nombre-servidor-remoto.com/logdomain.php?q=midominioinfectado.com para «chivar» a los hackers que tu web está lista para acciones doorway o de puerta trasera, algo que comúnmente se conoce como «call to home».

Cabe decir, que todo esto no es un proceso estandarizado y que ya existen modificaciones y variantes, además de que es prácticamente imposible debido a su dinamismo que se generen blacklist super-actualizadas, cosa que agrava aún más el problema.

Los consejos básicos que se dan a los webmasters son:

  • Chequear regularmente que tu sitio está indexado en Google: esto lo puedes hacer con el parámetro «site:» en el propio buscador, o a través del webmaster tools.
  • Chequear cuáles son las keywords por las que tus visitantes acuden a tu página.
  • Escanear el servidor para encontrar archivos o directorios sospechosos
  • No dejar almacenados los passwords en tu programa FTP (muy importante!). Cambiarlos inmediatamente si has tenido una infección por malware.
  • Usar un antivirus y un anti-malware actualizados y escanear periódicamente tu ordenador aunque no sospeches nada.
  • Mantener siempre actualizados tu sistema operativo, navegador, java, flash, cms que uses, etc…
  • Si has sido infectado, tras pasar tu antivirus debes borrar todos los passwords que almacenes y cambiarlos. Se recomienda utilizar algún manager de passwords que utilice encriptación como Keepass.
  • Es preferente si es posible, usar SFTP antes que FTP.
  • Tras la infección, borra el archivo .php, el .htaccess y los nuevos directorios y ficheros generados. Observa atentamente las fechas de creación dentro del sistema.
  • Escanea tu propia página web. Puedes usar alguna herramienta gratuita como AVG Webpage Scanner.

Y recuerda siempre, que pase lo que pase, deberás mantener tus copias de seguridad a salvo para restaurarlo todo al punto de partida inicial o poder establecer comparaciones de ficheros.

Si deseas más información, aquí tiene la fuente de información: Unmaskparasites.com

Un comentario

  1. ajanco 23/01/2012

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *