Sí tu sitio web o blog ha sido comprometido, es posible que ni siquiera te enteres (los defacements ahora son solo para script-kiddies). Pero cuando tu ranking en los buscadores y las visitas a tu sitio bajen y disminuyan, o incluso alguien te avise de que tu sitio web no está disponible por qué forma parte de alguna lista negra. Entonces quizá sea demasiado tarde para actuar. Por ello, lo mejor es no perder el tiempo y empezar a limpiar tu sitio de iFrames o enlaces de spam que no forman parte de él.
Todas las buenas prácticas en Seguridad recomiendan mantener las últimas versiones del software en producción, Pero a veces esto no es suficiente. Ya que los atacantes pueden haber dejado puertas traseras para volver a acceder aún cuando hayamos actualizado el software. Estas puertas traseras pueden ser un directorio oculto que no será sobreescrito con una actualización, código insertado en un tema o CSS o simplemente creando una cuenta con permisos de administrador.
Recientemente me encontré con un caso de un sitio muy bien posicionado. La táctica de este tipo de ataques es que
no es visible para los visitantes ni los dueños de los sitios web, a no ser que sean muy cautelosos. Pero si se puede percibir a través de la
cache de google o de una búsqueda como "site:tusitio.com viagra". Este tipo de táctica se denomina
cloaking. También muy conocido como
pharma hack, ya que tu sitio se habrá convertido en una tienda de todo tipo de productos farmaceúticos para quién llegue a través de un buscador o para los bots. Y esto es muy común en sitios web no muy protegidos o con versiones antiguas vulnerables.
Veamos el ejemplo del sitio que comento. Al hacer una búsqueda en Google y pulsar sobre "Cache"
Imagen 1. Para preserver la intimidad del sitio
Podíamos ver esto:
Figura2
Si esta situación se mantiene durante mucho tiempo, tu sitio irá descendiendo posiciones en los SERPs y lo que es peor,
podrá ser bloqueado.
Otra de las curiosidades de este tipo de ataques, es ver que otros dominios y recursos aprovechan. Concretamente en este, se está haciendo uso de recursos de las siguientes Universidades:
Como se puede comprobar, las Universidades son una gran fuente de recursos disponibles para dar cobijo a este tipo de tácticas. Una correcta administración y monitorización del sitio solucionaría en gran parte este problema.
En próximos posts, la solución para eliminar este hack de nuestro servidor.