No hay un "remedio mágico" o una única solución para que, "con un par de clics", consigamos restablecer un sitio tras haber sufrido una intrusión maliciosa o no deseada.
Sí que se podría convenir que, buscando a culpables/responsables -o no-, deberíamos encontrar el medio o medios que nos permitan restablecer nuestro sitio, sin pérdidas de información, y cerrar la brecha o brechas que ocasionaron o permitieron la intrusión maliciosa en nuestro espacio web.
Cabe recalcar que, las intrusiones a nuestro espacio web, pueden llegarnos por más de una via; es decir y por ejemplo, que:
* Pueden colarse directamente, via URL, a través de vulnerabilidades que se encuentran alojadas en nuestro espacio público o privado (extensiones vulnerables, software obsoleto, configuración/asentamiento local no apropiado para lo que estamos manejando, acceso a phpmyadmin o al FTP, etc)
* Debido a huecos o vulnerablidades, que no se hallan en nuestro espacio web o no intrusionan por la "via URL"; pero, que SÍ siguen estando, total o parcialmente, bajo nuestra responsibilidad y control, como por ejemplo, el acceso via SSH o por puertos distintos a los de "servicio web".
* Debido a huecos o vulnerabilidades donde nosotros no podemos ejercer control; ni configuración más apropiada alguna (por ejemplo, cuando se diera el caso, con configuraciones globales, vulnerabilidades no corregidas en el software del tipo cpanel, FTP, intrusiones via SSH o por puertos/rutas por encima de nuestro espacio web o "Zona de control", hardware, etc)
Pudiendo ser cada usuario un mundo aparte según el tipo de servicio contratado, el "área de control" de cada uno, puede variar sensiblemente; ya que, los habrá que tienen el control absoluto sobre toda una máquina que sirve webs (entre otras cosas) y otros que, lo único que pueden controlar es lo que suben a la web; sin ni tansiquiera poder interactuar con las configuraciones locales o de asentamiento del mismo.
Luego, uno de los puntos a tener claro sería, "¿Cuál es mi zona de control y como está configurada?", y, este otro "¿Mi zona de control está configurada, actualizada y protegida apropiadamente para lo que estoy manejando?"
¿Cómo actuar tras una intrusión no deseada?
Si bien se intenta reflejar que la responsabilidad para mantener la seguridad podría ser compartida en la mayoría de las ocasiones, o que en ocasiones, la intrusión no deseada no nos llegará debido a un error de configuración, negligencia y/o ausencia de control/actualización por nuestra parte, sino más bien por parte de terceros.. no se recomienda a nadie que adopte la actitud de "apresurarse a difamar a la ligera a terceros" o de "buscar culpables fuera de casa", es más, lo suyo, es indagar con todos los medios a nuestro alcance sobre "¿Qué cosa originó el problema? y cerrar la brecha o brechas" por la parte o partes que se corresponda desde una postura e interacción civilizada con nosotros mismos y con las terceras partes. Tampoco se recomienda, sobre todo a personas inexpertas, el "ponerse a buscar al jaquer por ti mismo", en todo caso, denuncia lo que te ha sucedido, con su efecto y repercusión sobre tu sitio, y déjalo en manos de las autoridades si ello fuera posible. Con los demás, intenta coordinarte civilizadamente para intentar resolver los inconvenientes
Sugerencias
Algunos consejos que pueden serte de utilidad para intentar restablecer tu espacio web son:
Cambia el par usuario/contraseña (en ocasiones solo podrás cambiar la contraseña) de todos los lugares de acceso que se pudieran haber visto comprometidos -ante la duda, cámbialos todos- y, aparte de utilizar contraseñas robustas, no utilices el mismo par usuario/contraseña (donde te sea posible también cambiar al usuario) para lo que son niveles de acceso distinto.
Cierra el acceso a tu sitio, hasta que hayas podido realizar un estudio en profundidad de lo que ha sucedido, reparar la brecha/s y restablecer el orden (configuración global >> Sitio fuera de línea >> Sí, o, manualmente desde el archivo "configuration.php", cambiando el valor del "mosconfig_offline" a 1 y guardando los cambios).
Antes de ponerte a restaurar o modificar algo (salvo por lo de cerrar el acceso a tu web), haz una lista de los archivos que hayan sido modificados recientemente, por ejemplo, desde tu "explorador de archivos de tu cpanel" lista, por fecha, todos los archivos de tu espacio web y ahí aparecerán, por orden cronológico, cuales han sido creados/modificados últimamente ( y que seguramente contendrán líneas de código malicioso en su interior). También se puede recurrir a instrucciones del tipo "shell" a introducir desde una consola, o, a programas que te den ese listado, ordenado por fecha de modificación/creación, entrando en carpetas y subcarpetas de tu espacio web. Ten en cuenta que si para cerrar el acceso a tu web, se ha tenido que escribir forzosamente al archivo "configuration.php", ese, aparecerá como el último modificado.. y aún así se tendría que revisar, por si otros, también lo hubieran modificado maliciosamente)
Un acceso, por la via URL, dejará un rastro tanto en el log de acceso como en el de error y un acceso, via FTP, SSH, etc, dejarán también un rastro en sus correspondientes log (que no son el mismo que para HTTP y se hallarán normalmente en rutas distintas), por lo tanto, revisa o solicita a quien te sirve hospedaje todos los logs de acceso o error que te sea posible obtener para revisar o localizar, por fecha, cuando se produjo el origen de la intrusión y desde donde o por qué medio.
Busca en los logs por criterio, es decir, según la fecha de modificación de tus archivos en el espacio web, te habrán escrito líneas de código malicioso... Estudia/examina esos archivos modificados en busca de "líneas de código malicioso en su interior" y realiza búsquedas, dentro de los log, por palabras simples, pero que cumplan con el patrón de "perteneciente solo a un uso/cadena maliciosa", dentro de los distintos logs para encontrar indicios que te puedan conducir al "origen de la intrusión"
Busca, dentro de tu zona de control, que archivos o carpetas están con permiso chmod superiores a 755 (mucho cuidado con los que te queden con chmod 666, o 777)
Si, tras indagar, descubres que una parte es resposabilidad tuya corregirla, otra en resposabilidad de tu server/otro hosquedaje con el que compartas espacio en el disco duro, del software/hardware que usas o que usan otros, etc, coordinate con las distintas partes aportando a cada cual las evidencias que sugieran una corrección por su parte, a la mayor brevedad posible, y que eviten que esta misma situación se repita por el mismo motivo.
De poco sirve borrar el espacio web y la base de datos, para reinstalar todo de nuevo o apartir de respaldos de seguridad sanos si dejas las mismas brechas abiertas, o, el atacante, te ha dejado alguna tarea programada, por medio de la cual y periodicamente, se repite de un modo automatizado un mismo ataque, por lo tanto, revisa también si en tu lista de tareas programadas o "crons", a los cuales tendrás acceso si tu hospedaje te da acceso, ves algún tipo de tarea, dentro de tu área de control o fuera de ella (consulta con quien te sirve el hospedaje), que apunte a la creación de archivos, ejecución, lectura o escritura de codigo malicioso dentro de tus archivos en el espacio web.
Tras localizar y reparar una brecha, con la intención de no perder toda la información aportada en la web, se nos podría ocurrir la buena o mala idea de tirar de un respaldo anterior a la intrusión, tanto de los archivos y carpetas de nuestro espacio web, como de los datos en nuestra base de datos. Sin lugar a dudas, será una buena idea si, tanto uno como otro respaldo están sanos; pero, puede ser muy mala idea si, nuestros archivos en el espacio web, o, nuestros datos en la base de datos, ya habian sido infectados o siguen infectados. Por lo tanto, ten también la precaución de revisar esos respaldos antes de tomar la determinación de "reimplantarlos" en tu sitio, y, sobretodo, ten en cuenta que, si restauras un respaldo de la base de datos sano, tus claves de acceso, "serán las antiguas".. cámbialas o por ese simple descuido y con "todo reparado", te podrías meter en el mismo lio y comprometer de nuevo toda la seguridad.
Una de las mejores maneras que conozco para garantizar que no han quedado resquicios de una intrusión en el espacio web o en la base de datos, consiste en eliminarlo todo y empezar a reinstalar todo de nuevo, desde cero, con últimas versiones estables y sin fallas de seguridad conocidas o corregidas, de las aplicaciones que componen nuestra web y apartir de ahi, aplicar las medidas de seguridad recomendadas; sin embargo, es a su vez una de las medidas más drásticas que conozco, y, como se ha intentado indicar con anterioridad, eso no nos garantiza que "hayamos tapado una brecha si este paso se está realizando al tumtum"
Un punto menos drástico, es, tras cerrar la brecha que ocasionó el problema y comprobar que tenemos un respaldo sano tanto del espacio web como de la base de datos... borrar todo el espacio web y la base de datos para "recuperar lo que se pueda desde ese respaldo sano", y, tras ello, eliminar completamente las extensiones que sean vulnerables, revisar que software necesita actualizarse.. y actualizarlo, adoptar una sana política de protección, permisos chmod, configuración y asentamiento, y, en definitiva, aplicar las medidas de seguridad recomendadas para lo que estamos manejando.
Alternativamente, aunque poco recomendado si no sabes exactamente lo que te estás haciendo o "contra lo que te estás peleando", es, que puedes también sacar un respaldo de lo que en el momento actual está infectado y sanearlo completamente tanto en el espacio web como en la base de datos, para después reimplementarlo con la mínima pérdida de información, y, tras ello, eliminar completamente las extensiones que sean vulnerables, revisar que software necesita actualizarse.. y actualizarlo, adoptar una sana política de protección, permisos chmod, configuración y asentamiento, y, en definitiva, aplicar las medidas de seguridad recomendadas para lo que estamos manejando.
Copia de seguridad; copia de seguridad y copia de seguridad, es, lo que te ayudará en todo momento a poder restaurar tu sitio a un estado anterior sano con la menor perdida de información posible.. no dejes que se encarguen de esa tarea terceras personas... ocupate tú mismo de respaldar tanto la db como el espacio web para evitar situaciones irreversibles en el sentido que hace referencia a la información y su posible perdida.
Estate atento a los log de acceso y error, o registros en bruto que queden a tu alcance y aplica medidas de seguridad
IMPORTANTE: No se brinda soporte directamente desde los post enlazados. Para ello, usa los correspondientes foros específicos, como por ejemplo, el foro de seguridad para lo que guarde relación directa con el tipo de consulta, aporte y/o comentario.
[Volver al Índice]
