¿Qué es la contaminación cruzada?

Alexis 09/06/2015
0 Comments
que es la contaminacion cruzada hacking nodored

Uno de nuestros clientes tiene un sitio en el que ha trabajado mucho llamado sitiowebdejemplo.com. Él usa WordPress, siempre mantiene actualizados tanto su tema como sus plugins, utiliza contraseñas seguras, accede al panel de administración a través de SSL y toma todas las recomendaciones de seguridad muy en serio.

Él utiliza un servidor compartido de Nodored y por ende, tiene la capacidad de hospedar varios en dominios en su plan. A través de los años ha sabido aprovechar esta oferta, añadiendo algunos sitios aquí y allá. Uno de esos sitios es unsitiodepruebas.com, que lo utilizaba para instalar nuevos temas y plugins que encontraba en internet.

Ahora bien, han pasado varios meses desde que modificó alguno de los otros sitios que tiene, por ejemplo en el caso de unsitiodepruebas.com no ha sido actualizado y alberga un plugin que desde hace unos meses fue eliminado del repositorio de WordPress. Poco sabe nuestro cliente que se eliminó desde el repositorio por tener una vulnerabilidad de seguridad muy grave.

Parte 1: Los malos llegaron

Como en cualquier historia, los chicos malos no perdieron tiempo en la búsqueda y explotación de esta vulnerabilidad. Tenían una lista con millones de sitios que eran escaneados diariamente (Basado en Alexa). Finalmente encontraron el sitiowebdejemplo.com (Por tener un muy buen ranking) y trataron de explotarlo pero no tuvieron éxito. Buscaban cualquier vector de ataque potencial; cosas como la versión de WP, plugins vulnerables, contraseñas débiles (Haciendo uso de la fuerza bruta y ataques de diccionario), utilizaron una serie de herramientas, pero nada funcionó. Nuestro cliente ganó esa batalla gracias al mantenimiento brindado a este sitio web.

Unos días después, utilizando una serie de técnicas encontraron que en el mismo servidor se tenía otro sitio: unsitiodepruebas.com. A diferencia del sitiowebdejemplo.com, utilizando las mismas técnicas que antes encontraron rápidamente el plugin vulnerable y se aprovecharon de su vulnerabilidad para obtener acceso.

Nuestro cliente dijo: “Bueno, está bien, es sólo su sitio sin importancia (unsitiodepruebas.com), a quién le importa”.

Parte 2: ¿Cómo hackearon mi sitio web?

Al día siguiente, nuestro cliente comenzó a recibir correos electrónicos de sus usuarios quienes se quejaban de que el sitiowebdejemplo.com estaba causando que sus antivirus locales dispararan alertas de virus y por ende el sitio se bloqueaba. Lo primero que hizo el cliente fue ir a su sitio para ver lo que está pasando y fue recibido con una la siguiente advertencia:

“ESTE SITIO PUEDE DAÑAR TU EQUIPO”

Ahora la gran pregunta: ¿Cómo hackearon mi sitio web? “Si yo hice todo bien, he seguido todas las recomendaciones de seguridad”.

Parte 3: Contaminación cruzada

En la parte 1 terminamos con una pregunta: “Bueno, está bien, es sólo su sitio sin importancia (unsitiodepruebas.com), a quién le importa”.

¡ERROR!

Si, nuestro cliente lo hizo todo para proteger el sitiowebdejemplo.com, lo que no hizo fue aplicar aplicar los mismos principios de seguridad a todos los sitios que alojaba en la misma cuenta; se olvidó de que debido a que los otros sitios están en la misma cuenta compartida (Y pueden ser manejados por el mismo usuario), cualquier vulnerabilidad en ellos se puede utilizar para comprometer toda la cuenta.

Una vez en el servidor el atacante fue capaz de introducir todo tipo de código malicioso, y al igual que cualquier virus se replicó insertándose en todos los archivos PHP que pudo encontrar, logrando extenderse por cada directorio de su sitio.

Parte 4: Solucionar el Problema

Como era de esperar, nuestro cliente nos contactó inmediatamente para que le diéramos una solución al problema de su web sitiowebdejemplo.com. Nuestro equipo de soporte escaneo el sitio y elimino todo malware que se encontró en esa instalación de WordPress. Unas horas después todo estaba bien de nuevo, las advertencias habían desaparecido.

Incluso nuestro cliente dio unos pasos más en esta ocasión, bloqueó el acceso a wp-admin por IP e instaló todos los plugins de seguridad que pudo encontrar. 

¿VICTORIA?

Parte 5: Contaminación cruzada y re infecciones

No, ni siquiera cerca, dentro de una hora todos los errores habían reaparecido.

¿Por qué ocurrió esto cuando se habían seguido todas las recomendaciones de seguridad?

La respuesta es simple, un concepto conocido como contaminación cruzada, en realidad algo sencillo de entender. Todos sabemos cómo funcionan los virus y su nivel de propagación. Lo mismo se aplica al malware web, se duplica e inyecta a sí mismo en pequeños directorios muy ocultos donde nunca revisarías, lugares que ni siquiera puedes imaginar. Es posible que tengas un directorio para todos los archivos JavaScript y allí encuentres un archivo de PHP que esté infectado o puede ser que tengas un directorio para las imágenes y en una imagen PNG se esté ocultando un ejecutable.

¿Y si trabajamos juntos?

Esta breve historia es muy real, le ha ocurrido a algunos de nuestros clientes y la idea es darte un ejemplo acerca del concepto de contaminación cruzada y su nivel de gravedad.

La cuestión es muy simple, si tienes muchos sitios en la misma cuenta (Bajo el mismo usuario), cualquiera de ellos puede ser utilizado para poner en peligro a los demás. A los atacantes no les interesa que tan importante es un sitio para ti, lo único que quieren es un punto de acceso.

Es desafortunado, pero vemos esto todo el tiempo. Es por eso que una de las primeras cosas que debes hacer es analizar las versiones del software que utilizas (WordPress, Joomla, etc.) y sus vulnerabilidades más conocidas. Es triste informar que con demasiada frecuencia nos encontramos con cosas como estas:  

/sitiowebdejemplo.com (WordPress 3.3.1) 

/sitiowebdejemplo.com_backup_1 (WordPress 3.1) – Desactualizado

/sitiowebdejemplo.com_backup_2 (WordPress 3.2.1) – Desactualizado

/sitiowebdejemplo.com_backup_3 (WordPress 3.2.1) – Desactualizado

/otrositiowebdeejemplo.com (WordPress 1.5) – Desactualizado

/unsitiowebmuyimportante.com (Joomla 1.5) – Desactualizado

Lo que nuestros clientes suelen hacer es “almacenar” respaldos, sitios antiguos o sitios de clientes en la misma cuenta de hosting, atendiendo sólo a los clientes actuales y usando el servidor como almacenamiento para respaldos sin percatarse del problema potencial.

Lecciones aprendidas y puntos de acción para ti:

  • Mantén tus sitios web actualizados: Lo más probable es que un ataque automatizado se dirija a una versión vulnerable del software.
  • La contaminación cruzada es real: Si tienes varios sitios en un entorno de alojamiento compartido y no les das mantenimiento, estás tomando el riesgo de que se infecten entre ellos si son atacados.
  • Recuerda que el hosting no es un servicio de almacenamiento de archivos, si tienes algo que no estás usando elimínalo.

¡La seguridad no es un juego!

Compra hosting de última generación

CONSULTA NUESTROS PLANES
Categories: Ciberseguridad, Consejos, Hosting
Tags: , ,
Alexis
CTO | Director de Operaciones y Tecnología en NODORED.COM

Related Articles

Responses

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Report

Harassment or bullying behavior
Contains mature or sensitive content
Contains misleading or false information
Contains abusive or derogatory content
Contains spam, fake content or potential malware

Block Member?

Please confirm you want to block this member.

You will no longer be able to:

  • See blocked member's posts
  • Mention this member in posts
  • Invite this member to groups
  • Message this member
  • Add this member as a connection

Please note: This action will also remove this member from your connections and send a report to the site admin. Please allow a few minutes for this process to complete.

Report

You have already reported this .