Una nueva forma en que están hackeando sitios web

Hace unos días mi sitio amaneció con una página totalmente distinta a la principal, con una imagen de un terrorista, letras en arabe y con un mensaje diciendo fuiste hackeado por fea...##. Justificando que lo había hecho porque la seguridad de mi sitio se lo había permitido.

Reemplazan el Archvio Principal

Revisando veo que borraron el archivo índex.php y pusieron uno llamado índex.html con la información de su airosa victoria de hacked. Aparentemente sólo eso había sido la travesura. Así qué solo borre el archivo y volví a subir el archivo por ftp. El sitio continuo todo volvió a la normalidad.

Tu Sitio Queda En La Mira

Una vez que logran burlar tu seguridad registran su acto en un foro diciendo que el sitio tal fue hackeado. Por lo que toda la comunidad de hackers se entera y tu sitio queda en la mira. Tal pareciera que es para ganar fama y haciéndose notar entre los demás, el que más sitios hackea es mejor. A la mañana siguiente de haber restaurado mi sitio aparece hackeado nuevamente por otro hacker, así que repetí los pasos para restaurar el sitio. A pesar de tener Joomla en su versión 3 la seguridad aún sigue siendo saltada.

¿Cómo lo Hicieron?

Es difícil saber cuales son los hoyos que hay en tu seguridad, pero sin duda que dejan rastro. Revise los logs de actividad del servidor y note que esa noche había demasiadas peticiones desde una misma ip, y en efecto comenzó por detectar sí el manejados de contenidos era Joomla poniendo /administrator al final del dominio para intentar entrar al panel de administración. Después comenzó a solicitar archivos que pertenecían a un plugin que tiene por default el Joomla el cual parece que les da el acceso. Revise la ip y resulto ser de Marruecos África. De ahí en adelante no pude seguirle el rastro. Busque sobre fallas de seguridad en Joomla 3 en Google y nada registrado apareció.

El Ancho de Banda se Fue Hasta El Tope

Después del segundo hacking todo parecía tranquilo, pero oh sorpresa las cosas estaban trabajando bajo el agua. Me llego un correo por parte de mi proveedor de hospedaje diciéndome que un banco le había reportado actividad de pishing desde mi sitio, Que! Me dije, si yo estoy haciendo las cosas correctamente, mi sitio es sólo para compartir aplicaciones que desarrolle en la universidad y tiempos libres. Así qué tuve qué responderles que la actividad de mi sitio  no era apara esos fines. Al día siguiente veo que mi sitio dice "Límite de ancho de banda excedido", pero que les pasa pensé, mi proveedor está haciendo esto para que pague por más ancho de banda. De un día a otro se fueron más de 2 Gigas de ancho de banda, lo cual mi sitio en estos momentos no genera, así que comenze una nueva revisión a fondo...

Dan de Alta Sub-Dominios

Comenze a revisar el reporte de ancho de banda que te ofrece el cpanel y me di cuenta que había ancho de banda generado por su dominios que yo no había creado.

Dan de Alta Bases de Datos

También crearon bases de datos y usuarios para ejecutar su código php

Alojan Carpetas con Código PHP

Comencé a comparar los archivos que hay en el hosting contra el respaldo que tengo en mi local y me doy cuenta uqe hay carpetas que tienen todo un sistema hecho en php que se conecta a la base de datos. Revise las tablas y casi todas estaban vacías como sí vaciaran la información una vez que terminan de ejecutarse.

¿Cuál es su objetivo?

Aún así encontré un registro de en una tabla con una URL que al accederla en el navegador me doy cuenta que es de un banco en Europa, mayor fue mi sorpresa cuando investigando sobre el banco las noticias dicen que el banco ha reportado pérdidas de millones por intrusiones de hackers. En pocas palabras mi sitio fue utilizado para hacerle ataques a un banco por un hacker! Espero que no haya tenido éxito y esto no pase a mayores.

Que hacer

Lo que hice fue borrar todas las base de datos y sus usuarios, borre todos los Sub-dominios, borre las carpetas con el código php, actualice mi contraseña de acceso al hosting. Así qué recomiendo que le de una revisada a sus archivos fuentes que no hayan carpetas con nombre así como 123 o desconocidas, revisen sus base de datos y que no haya sub-dominios creados ya que generalmente esta opción en el cpanel no es muy utilizada a menos por mi parte. Sus aportaciones al tema son bienvenidas, hay que estar alertas. Saludos.