Al usar egrep
, somos capaces de buscar múltiples palabras al mismo tiempo si es necesario, ahorrando así tiempo en esta instancia.
O pruebe algo como esto:
# grep -r "http://canadapharmacy.com" .
Esto sólo funciona si la infección no está codificada, encriptada o concatenada.
Otro método útil es acceder a su sitio web a través de diferentes agentes de usuario y referentes. Este es un ejemplo del aspecto de un sitio web cuando se utiliza un referrer de Microsoft IE 6:
Pruebe Bots vs Browsers para comprobar su sitio web a través de varios navegadores diferentes.
Los usuarios de terminales también pueden utilizar CURL
:
# curl -A "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" http://somesite.com
¿Cómo puedo prevenirlo?
Prevenir un hack farmacéutico puede ser complicado. Sucuri ha descubierto que el hackeo se aprovecha regularmente de software vulnerable no actualizado. Sin embargo, su instalación de WordPress desactualizada no es necesariamente el problema. Incluso si está actualizado, otra instalación obsoleta en el mismo servidor podría ser vulnerable a la infección. Si el verdadero payload reside en otra parte de su servidor, no dentro del directorio de su sitio web, entonces atraparlo puede ser excepcionalmente difícil.
Aquí tiene un ejemplo de lo que podría buscar si no puede encontrar la infección en su propia instalación:
Para evitar un hackeo farmacéutico, debería hacer dos cosas:
- Mantenga su software actualizado,
- Aléjese de los servidores de sopa.
Redirecciones maliciosas
Una redirección maliciosa envía al usuario a un sitio web malicioso. En 2010, se detectaron 42.926 nuevos dominios maliciosos. En 2011, esta cifra aumentó a 55.294. Y eso solo incluye los dominios principales, no todos sus subdominios.
Cuando un visitante es redirigido a un sitio web distinto del principal, este puede contener o no una carga útil maliciosa. Suponga que tiene un sitio web en myhappysite.com
; cuando alguien lo visita, el sitio web podría llevar al visitante a meansite.com/stats.php
, donde la carga útil maliciosa está en el archivo stats.php
de ese sitio web. O podría ser un sitio web inofensivo con sólo anuncios y sin carga maliciosa.
¿Cómo me atacan?
Como en muchos ataques de malware, todo se reduce al acceso. La redirección maliciosa podría ser generada por una puerta trasera. El hacker buscaría una vulnerabilidad, como TimThumb o versiones antiguas de WordPress y, cuando la encuentre, subirá una carga útil que funcione como puerta trasera.
¿Qué aspecto tiene?
Detectar una redirección no es tan complejo como detectar algunas de las otras infecciones. A menudo se encuentra en su archivo .htaccess
y se parece a esto:
O así:
Puede haber casos en los que una redirección esté codificada y resida en uno de sus archivos PHP. Si es así, normalmente se encontrará en su archivo header.php
, footer.php
o index.php
; también se sabe que reside en el archivo raíz index.php
y en otros archivos de plantilla del núcleo. No siempre está codificado, pero si lo está, tendrá un aspecto similar al siguiente:
¿Cómo puedo saber si estoy infectado?
Hay algunas formas de comprobar si hay infecciones. He aquí algunas sugerencias:
- Utilice un escáner gratuito, como SiteCheck. Rara vez pasan por alto las redirecciones maliciosas.
- Pruebe utilizando Bots vs Browser.
- Escuche a sus usuarios. Puede que no detecte la redirección, pero a veces un usuario le alertará de ella.
Si un usuario detecta un problema, hágale las preguntas pertinentes para ayudarle a diagnosticar el problema:
- ¿Qué sistema operativo está utilizando?
- ¿Qué navegador(es) utilizan y qué versión(es)?
Cuanta más información obtenga de ellos, mejor podrá reproducir el problema y encontrar una solución.
¿Cómo se limpia?
Las redirecciones maliciosas son una de las infecciones más fáciles de limpiar. Este es un buen punto de partida:
- Abra su archivo
.htaccess
. - Copie cualquier regla de reescritura que haya añadido usted mismo
- Identifique cualquier código malicioso, como el ejemplo anterior, y elimínelo del archivo. Desplácese hasta el final de
.htaccess
para asegurarse de que no hay directivas de error que apunten a la misma infección.
Asegúrese de buscar también todos los archivos .htaccess
en el servidor. Esta es una forma rápida de ver cuántos existen en su servidor:
# find -name .htaccess -type f | wc -l
Y esto le dirá dónde están exactamente esos archivos:
# find -name .htaccess -type f | sort
Sin embargo, la infección no siempre está restringida allí. Dependiendo de la infección, también puede encontrar la redirección codificada e incrustada en un archivo como index.php
o header.php
.
Alarmadamente, estas infecciones pueden replicarse en todos sus archivos .htaccess
. El backdoor responsable también puede ser utilizado para crear múltiples archivos .htaccess
en todos sus directorios, todos con la misma infección. La eliminación de la infección puede parecer una lucha ardua, y a veces no basta con limpiar todos los archivos que pueda encontrar. Incluso hay casos en los que un archivo se crea fuera del directorio web. La lección es que siempre hay que buscar fuera del directorio web, así como dentro de él.
¿Cómo puedo evitarlo?
Un método rápido y fácil es cambiar la propiedad del archivo, o reducir los permisos del archivo para que sólo el propietario tenga permiso para modificarlo. Sin embargo, si su cuenta de root está comprometida, eso no le servirá de mucho.
El archivo más importante que debe cuidar es .htaccess
. Revise el tutorial «Proteja su sitio de WordPress con .htaccess» para obtener consejos sobre cómo hacerlo.
Conclusión
Ahí lo tiene: cuatro ataques prevalentes que causan estragos en muchas instalaciones de WordPress hoy en día. Puede que no te sientas mejor si te hackean, pero con suerte, con este poco de conocimiento, te sentirás más seguro de que el hackeo puede ser limpiado y que tu sitio web puede ser devuelto a ti. Lo más importante, si te llevas una cosa de esto: mantén siempre actualizado WordPress.
Los diez mejores consejos de seguridad de Tony
- Deshazte de las cuentas genéricas, y conoce quién accede a tu entorno.
- Defiende tus directorios para que los atacantes no puedan usarlos contra ti. Mate la ejecución de PHP.
- Mantenga una copia de seguridad; nunca se sabe cuándo la va a necesitar.
- Conéctese de forma segura a su servidor. SFTP y SSH es preferible.
- Evite los servidores de cocina. Segmenta entre desarrollo, staging y producción.
- Mantente al día con tu software – con todo.
- Acaba con las credenciales innecesarias, incluso para FTP, wp-admin y SSH.
- No necesitas escribir posts como administrador, ni todo el mundo necesita ser administrador.
- Si no sabes lo que estás haciendo, aprovecha un proveedor de alojamiento gestionado de WordPress.
- Filtro IP + Autenticación de dos factores + Credenciales fuertes = Acceso seguro
Los plugins de seguridad más útiles de Tony
- Sucuri Sitecheck Malware Scanner Este plugin de Tony y la tripulación de Sucuri permite el escaneo completo de malware y listas negras en su panel de WordPress, e incluye un potente firewall de aplicaciones web (WAF).
- Limitar los intentos de inicio de sesión Limita el número de intentos de inicio de sesión posibles tanto a través del inicio de sesión normal como utilizando las cookies de autenticación.
- Autenticación de dos factores Este plugin habilita la autenticación de dos factores de Duo, utilizando un servicio como una devolución de llamada telefónica o un mensaje SMS.
- Theme-Check Pruebe su tema para asegurarse de que cumple con los estándares de revisión de temas.
- Plugin-Check Hace lo mismo que Theme-Check pero para los plugins.
Herramientas de seguridad
- Sucuri SiteCheck
- Escáner de desenmascaramiento de parásitos
Recursos de seguridad
- Sucuri Blog
- Seguridad de sitios web en Perishable Press
- Blog Unmask Parasites
- Badware Busters
- WPsecure
- Bloqueo de WordPress, Michael Pick
Artículos útiles sobre seguridad
- «10 ajustes útiles de seguridad en WordPress», Jean-Baptiste Jung
- «10 pasos para asegurar tu instalación de WordPress», Fouad Matin
- «Avisos de la lista negra de Google: Algo no va bien aquí», Tony Pérez
- «Endurecimiento de WordPress», WordPress Codex
- «Cómo detener al hacker y asegurarse de que su sitio está bloqueado», Tony Pérez
- «Eliminación de malware del sitio web: Consejos y trucos para WordPress», Tony Perez