jueves, 14 de febrero de 2013

Han hackeado mi web... ¿Y ahora qué?

En anteriores post escribí sobre la detección de vulnerabilidades en Joomla ( Post 1 y Post 2)  y como fortalecer nuestra Web en Joomla. Finalizaba este último post con la pregunta que da título al este artículo.

Hemos sido atacados


Hace ya unos cuantos años, bastantes, iba tranquilamente paseando por el Paseo de las Delicias de Madrid cuando sonó mi teléfono.
Un amigo, presidente de una asociación a la que le había confeccionado su web en Joomla.
- Juanma, tío, que nos han hackeado la web.
- Vale cuando llegue a casa lo miro. - dije con falso aplomo porque en realidad no tenia ni puta idea  de lo que podía estar pasando ni de como afrontar el problema.
Ya en casa me conecto a la web navego por unas páginas y no veo nada raro. Llamo a mi amigo para que me de mas detalles. Albergo todavía la esperenza de que sea una falsa alarma.
Me comenta que si se entra desde una búsqueda de Google aparece un mensaje de sitio malicioso. ¡¡­­Bueno una pista!!
Busco el Google la asociación e intento acceder a ella desde el link que me suministra y me aparece una pantalla similar a esta:










­­¡¡¡ufff!! No  me atrevo a seguir.

Arranco una máquina virtual que tengo para experimentos y veo, con mucha alegría, que me lleva a otro sitio web, concretamente del dominio .tk

Me tranquilizo un poco, por lo visto no es mi web la que está marcada como sitio peligroso.

Accedo a otras webs conocidass en Joomla y veo que se accede correctamente.

Llega el momento de hacer la primera recopilación.


  1. Cuando accedo a la web por su URL se llega a la web que, aparentemente esá  bien.
  2. Cuando accedo desde una búsqueda de Google me lleva a un sitio que está  marcado como malicioso.
  3. No parece ocurrir con otras webs escritas en Joomla.

Por humildad he de descartar que alguien haya hackeado Google para perjudicar a la web de la asocación, luego de he pensar que, en efecto, algo tiene mi web que hace que cuando se accede desde Google te redirige hacia otro sitio.

¿Cual es el siguiente paso?


Pues realmente no tenía en esos momentos demasiados conocimientos de Joomla y casi nulos de hacking. En esas condiciones poco más podía hacer que buscar por Google alguna información sobre mi problema.

Busqu‚ en español ( "google me redirige a otro sitio", la URL maliciosa, ) y lo mismo en inglés.

Tras un rato de análisis ya tenía claro como solucionarlo. Se trataba de localizar la siguiente sentencia en el código php:


eval(base64_decode("DQplcnJv..................................................KfQ0KfQ=="));

Los datos de la función no siempre coincid¡an en todas las búsquedas pero era un punto para seguir

Me descargue todo el sitio web a mi m quina virtual y con el comando grep localic‚ el string: eval(base64_decode

A partir de ahí hice una búsqueda en Google más concreta intentando hacer coincidir todo el literal y, no podía ser de otra manera, también la encontré. En este caso coincidía además el sitio malicioso al que te redirigía
Las indicaciones para eliminar el virus eran simples: eliminar esa l¡nea del código php. Aunque no eran muchos los ficheros infectados sí eran los suficientes como para desmotivarme ir eliminando esa línea fichero a fichero.
Con una concatenacion de los comandos find y grep logre eliminar el código malicioso y subir los ficheros limpios.

Una vez realizado esto comprobé que el acceso a través de Google era correcto.

El punto de entrada.


Aunque la web estaba arreglada, seguía sin saber como habia sido infectado el sitio y mientras no supiera eso estaría a merced de un nuevo ataque.

Puede fijar gracias a mi amigo el ataque con una precisión de 24 horas así que me descargué el log de accesos del servidor y me puse a buscar peticiones GET o POST que se salieran de los estándares de joomla y localicé varias de ellas, puse un orden de prioridad a aquellas que me parecían, por simple intuición, mas sospechosas.
Con esa información pregunté en foros de Joomla y me aconsejaron que una vez identificado el componente objeto de la URL sospechosa  consultara en la VEL y así lo hice.

Localicé vulnerabilidades en dos componentes que podían estar relacionadas con el ataque.
Ya tenía una pista de por donde podía haber venido el ataque así que volví a buscar en foros ataques similares al que sufrí y también vi como aparecía que en varios ellos el componente sospechoso estaba en los sitios infectados y además en la misma versión que el que yo tenía instalado.
Sólo me quedaba visitar la Web del fabricante. En su blog reconocía que existía la vulnerabilidad y recomendaba la urgente subida de versión.

Conclusiones.


Antes de seguir he de decir que tuve mucha suerte. Se trataba de un ataque inofensivo, que no compromet¡a la web y de fácil erradicación.

Dada mi poca experiencia en aquellos momentos si el ataque hubiera sido mas sofisticado no habría podido recomponer la situación.

Indistintamente de la complejidad del ataque, de las herramientas y de los conocimientos lo imporatante es el método.
  • Identificar los síntomas del ataque
  • Fijar con la m xima precisión posible cuando pudo ocurrir el ataque
  • Buscar en información sobre el ataque (Google, BB.DD. vulnerabilidades, foros).

Con esta información:
  • Reparar
  • Proteger

Y para finalizar

 Realmente la cosa era menos dramática ya que tenía varias copias de seguridad y lo primero que hice fue verificar que pod¡a recuperar el sistema, pero si lo cuento al principio la cosa pierde interés ;-)

No hay comentarios:

Publicar un comentario