Desenmascara.me

How to verify whether a website is legitimate or not?: desenmascara.me

jueves, 9 de diciembre de 2010

Webmaster, tu sitio ha sido comprometido y todavía no lo sabes

O vendes cialis sin saberlo. Esta es una lista de más de 200 dominios que han sido comprometidos y sus dueños o webmasters que los administran todavía no lo sabían cuando se publico, ¿esta el tuyo en esa lista?. En la actualidad, la mayoría ya están corregidos.

Con el PoC urldigger también puedes comprobar si ocurre algo extraño en tu dominio pero todavía no lo sabes, por ejemplo algo como en este:

#urldigger.py -S http://www.misitioweb.com

Looking for SPAM in......http://www.misitioweb.com
Looking for SPAM in......http://www.misitioweb.com/?429/buy-windows-home-server
Looking for SPAM in......http://www.misitioweb.com/?4447/buy-windows-vista-home-premium
Suspicious SPAM!!! -------> http://www.misitioweb.com:8888/index.4810.php [generic viagra]

Lo normal sería ver en el código html directamente el spam, pero haciendo uso de técnicas cloaking, aparecían únicamente en las búsquedas, esta vez se trataba de un nuevo tipo de ataque que usaba los dominios comprometidos pero en diferentes puertos para campañas de SPAM. Esto hacía que el ataque pasará inadvertido para los webmasters el mayor tiempo posible. Fuente y detalles en unmaskparasites.

Como ya viene siendo habitual hace años, el año que viene no va a ser menos, y los ataques web seguiran siendo una de las tendencias del 2011.


Pero ¿cómo consiguen acceder a nuestros dominios para modificarlos?, de varias maneras:

1. Con vuestras credenciales de webmaster.


Lo anterior es una traza wireshark de este troyano, os puede llegar por múltiples vías, correo electrónico como una imagen a visualizar, programa descargado de p2p, url acortada en red social...  Con tan sólo un click estaremos enviando todas las contraseñas guardadas en nuestro MSN, firefox, IE y gestor de sitios s/ftp filezilla a los malos. Y todo ello cortesía nuestra. Existen multitud de variedades de estos keyloggers, form-grabbing, ftp-manager-grabbing.

2. Vía vulnerabilidad en la plataforma de nuestro sitio web (wordpress, joomla, drupal...). Consultar el excelente material de el maligno sobre ello.

3. Vía vulnerabilidad en tu navegador o alguno de sus plugins para saltarse la ingeniería social e ir directamente al grano. Cuando hacen esto, se centrarán más en robar tus credenciales bancarias (troyanos bancarios, donde Zeus es el rey) que en otras, pero las otras (si cogen de sitios web o redes sociales), seguiran siendo útiles para seguir propagándose.

4. Si pierdes o te roban el portátil y usas filezilla, tendrán acceso a todas las contraseñas ftp de tus sitios. Evítalo protegiendo el sitemanager.xml

¿Conoceis más formas de que accedan a nuestros sitios web para modificarlos.? Dejarlas en los comentarios.


¿Y qué hacen una vez qué tienen acceso a nuestro sitio web?:

1. Te alojan SPAM de cualquier manera, ya sea como en el caso anterior intentado permancer ocultos a la vista del webmaster  o de manera más llamativa.

2. Defacements: modifican tu sitio para vanagloriarse de su grupo o cualquier otro motivo más oscuro. Esto es más típico de los años 90, pero todavía sigue habiendo casos.


3. Tu web se convierte en una amenza para tus visitantes ya que contendrá exploits para instalar más troyanos en los equipos de tus visitantes, y continuar así el ciclo de infección. Ejemplo de código que podría tener tu sitio web. Y lo que finalmente ocurríra con tu sitio si contiene ese tipo de código malicioso será caer en listas negras.

Lo recomendable sería, a parte de mantener una buena política de Seguridad tanto en tu equipo local, como en las actualizaciones del software de tu web, realizar monitorizaciones de cambios inadvertidos en alguno de tus dominios, existen servicios profesionales avanzados y personalizados pero orientados a grandes sitios. Pero esto no quiere decir que nosotros, por muy pequeño que sea nuestro sitio web, no podamos aplicar alguna medida proactiva/reactiva, por ejemplo con un simple script para verificar el MD5 de nuestra página principal. Otra vía más avanzada es hacer uso del servicio de aviso de código malicioso en web de Google. De cualquiera de esta formas, si nuestro sitio ha sido modificado recibiremos un mail de aviso indicándonoslo, no tendremos que esperar a que sean nuestros usuarios quienes nos avisen, o a que Google nos bloquee el dominio. No hay excusa para que esto nos coja por sorpresa.

1 comentario:

Trata a los demás como te gustaría ser tratado.