web-atacante1
Todo empezó hace unos días…. Me llamaba un conocido comentándome que había creado una campaña en adwords para promocionar su página y el anuncio no se publicaba debido a que Google le notificaba que su web contenía codigo malicioso.

Bien, inmediatamente le comenté que me dejara verlo y le comentaría: Pues bien, el panorama era el siguiente:
1. Su página index, incluía un script que se ejecutaba nada más entrar en la página
2. Su carpeta pública del servidor web ( Servidor Linux con Apache ) se encontraba con varios visitantes ( ficheros nuevos y ficheros de script sh ) que estaban trabajando a sus anchas.
3. Revisando el volumen que tenía la web antes de ser infectada era de 65mb. Una web completamente estática en html con tipicas galerías de imagenes y algún formulario. Pues bien , el volumen actual era de 275mb.
4. Analizando la estructura de directorios me encuentro una carpeta “_images” en un directorio de tercer nivel que contenía 19998 ficheros html con “contenidos diversos”.
5. En definitiva, su web estaba HACKEADA.

Pues bien, analizando las causas, descubro que la web no dispone de contraseña segura y el proveedor de hosting le mando la clave de administrador y ftp por email,…. que bien…
El hosting no monitorizaba la actividad de la web ni analizaba mediante ningun antivirus la ejecución de scripts. a esto añadir ,que tampoco dicho servidor tenía detección de intrusiones y un largo etc..

La elección de hosting en muchos casos parece que solo se decide por precio y no por monitorizacion, continuidad, redundancia y sobre todo SEGURIDAD. Parece que queda en un tercer plano cuando hablamos de hosting, como en otros muchos temas.

La verdad, es que uno no deja de sorprenderse de casos como estos en los que tanto proveedores como usuarios no tienen la menor consideracion y preocupación por la seguridad.

Evidentemente , tras borrar los scripts, ficheros sh, ficheros de configuracion , carpetas y ficheros ocultos, los 2000 ficheros “porn..” y demás se migra el dominio y restauraremos una copia no infectada. Parece que los usuarios ahora tendrán una contraseña compleja de 12 caracteres y hosting que hace algo más que vender a buen precio.

Anuncios