[11/02/2021] Se cree que los profesionales de TI experimentados están bien protegidos de los estafadores en línea, que se benefician principalmente de los crédulos usuarios domésticos. Sin embargo, una gran cantidad de ciberatacantes apuntan a los administradores de los servidores virtuales y los servicios que administran. Estas son algunas de las estafas y exploits que los administradores deben conocer.
Correos electrónicos de phishing dirigidos
Mientras toma su café de la mañana, abre su laptop e inicia su cliente de correo electrónico. Entre los mensajes de rutina, ve una carta del proveedor de alojamiento que le recuerda que debe pagar nuevamente por el plan de alojamiento. Es temporada de vacaciones (u otra razón) y el mensaje ofrece un descuento significativo si paga ahora.
Usted sigue el enlace y, si tiene suerte, nota que algo está mal. Sí, la carta parece inofensiva. Se ve exactamente como los mensajes oficiales anteriores de su proveedor de alojamiento. Se utiliza la misma fuente y la dirección del remitente es correcta. Incluso los enlaces a la política de privacidad, las reglas de procesamiento de datos personales y otras tonterías que nadie lee nunca, están en el lugar correcto.
Al mismo tiempo, el panel de administración de la URL difiere ligeramente del verdadero, y el certificado SSL levanta ciertas sospechas. Oh, ¿eso es un intento de phishing?
Estos ataques, destinados a interceptar credenciales de inicio de sesión que involucran paneles de administración falsos, se han vuelto comunes recientemente. Puede culpar al proveedor de servicios por filtrar los datos de los clientes, pero no se apresure a sacar conclusiones. Obtener la información sobre los administradores de páginas web alojados por una empresa específica, no es difícil para un ciberdelincuente motivado.
Para obtener una plantilla de correo electrónico, los hackers simplemente se registran en la página web del proveedor de servicios. Además, muchas empresas ofrecen períodos de prueba. Más tarde, los malhechores pueden usar cualquier editor HTML para cambiar el contenido del correo electrónico.
Tampoco es difícil encontrar el rango de direcciones IP utilizado por el proveedor de alojamiento específico. Se han creado bastantes servicios para este propósito. Entonces es posible obtener la lista de todas las páginas web para cada dirección IP de alojamiento compartido. Los problemas solo pueden surgir con los proveedores que usan Cloudflare.
Después de eso, los delincuentes recopilan direcciones de correo electrónico de las páginas web y generan una lista de correo agregando valores populares como administrador, admin, contacto o información. Este proceso es fácil de automatizar con un script de Python o usando uno de los programas para la recolección automática de correo electrónico. Los amantes de Kali pueden usar theHarvester para este propósito, jugando un poco con la configuración.
Una variedad de utilidades le permiten encontrar no solo la dirección de correo electrónico del administrador, sino también el nombre del registrador del dominio. En este caso, a los administradores se les suele pedir que paguen por la renovación del nombre de dominio, redirigiéndolos a la página del sistema de pago falso. No es difícil darse cuenta del truco, pero si está cansado o tiene prisa, existe la posibilidad de caer en la trampa.
No es difícil protegerse de varios ataques de phishing. Habilite la autorización multifactor para iniciar sesión en el panel de control de alojamiento, marque la página del panel de administración y, por supuesto, intente permanecer atento.
Explotación de carpetas de servicio y scripts de instalación de CMS
¿Quién no usa un sistema de gestión de contenido (CMS, por sus siglas en inglés) en estos días? Muchos proveedores de alojamiento ofrecen un servicio para implementar rápidamente los motores de CMS más populares, como WordPress, Drupal o Joomla, desde un contenedor. Un clic en el botón en el panel de control de hosting y listo.
Sin embargo, algunos administradores prefieren configurar el CMS manualmente, descargando la distribución desde el sitio del desarrollador y subiéndola al servidor a través de FTP. Para algunas personas, esta forma es más familiar, más confiable y está alineada con el feng shui del administrador. Sin embargo, a veces se olvidan de eliminar los scripts de instalación y las carpetas de servicio.
Todo el mundo sabe que, al instalar el motor, el script de instalación de WordPress se encuentra en wp-admin/install.php. Con Google Dorks, los estafadores pueden obtener muchos resultados de búsqueda para esta ruta. Los resultados de la búsqueda estarán abarrotados de enlaces a foros que discuten problemas técnicos de WordPress, pero profundizar en este montón hace posible encontrar opciones de trabajo que le permitan cambiar la configuración del sitio.
La estructura de los scripts en WordPress se puede ver mediante la siguiente consulta:
inurl: repair.php?repair=1
También existe la posibilidad de encontrar muchas cosas interesantes buscando scripts olvidados con la consulta:
inurl: phpinfo.php
Es posible encontrar scripts que funcionen para instalar el popular motor Joomla usando el título característico de una página web como intitle:Joomla! Web Installer. Si utiliza operadores de búsqueda especiales correctamente, puede encontrar instalaciones sin terminar o scripts de servicio olvidados y ayudar al desafortunado propietario a completar la instalación del CMS, mientras crea una nueva cuenta de administrador en el CMS.
Para detener estos ataques, los administradores deben limpiar las carpetas del servidor o hacer un sistema en base a contenedores. Este último suele ser más seguro.
Mala configuración de CMS
Los hackers también pueden buscar problemas de seguridad de otros hosts virtuales. Por ejemplo, pueden buscar las fallas de configuración o la configuración predeterminada. WordPress, Joomla y otros CMS suelen tener una gran cantidad de complementos con vulnerabilidades conocidas.
Primero, los atacantes pueden intentar encontrar la versión del CMS instalada en el host. En el caso de WordPress, esto se puede hacer examinando el código de la página y buscando metaetiquetas como . La versión del tema de WordPress se puede obtener buscando líneas como https://websiteurl/wp-content/themes/theme_name/css/main.css?ver=5.7.2.
Luego, los delincuentes pueden buscar versiones de los complementos de interés. Muchos de ellos contienen archivos de texto readme disponibles en https://websiteurl/wp-content/plugins/plugin_name/readme.txt.
Elimine dichos archivos inmediatamente después de instalar los complementos, y no los deje en la cuenta de alojamiento disponible para investigadores curiosos. Una vez que se conocen las versiones del CMS, el tema y los complementos, un hacker puede intentar aprovechar las vulnerabilidades conocidas.
En algunos sitios de WordPress, los atacantes pueden encontrar el nombre del administrador agregando una cadena como /?author =1. Con la configuración predeterminada en su lugar, el motor devolverá la URL con el nombre de cuenta válido del primer usuario, a menudo con derechos de administrador. Al tener el nombre de la cuenta, los hackers pueden intentar usar el ataque de fuerza bruta.
Muchos administradores de páginas web a veces dejan algunos directorios disponibles para extraños. En WordPress, a menudo es posible encontrar estas carpetas:
/wp-content/themes
/wp-content/plugins
/wp-content/uploads
No hay absolutamente ninguna necesidad de permitir que personas ajenas a ellos las vean, ya que estas carpetas pueden contener información crítica, incluida información confidencial. Denegar el acceso a las carpetas de servicios mediante la colocación de un archivo index.html vacío en la raíz de cada directorio (o añadir la línea Options All -Indexes al .htaccess del sitio). Muchos proveedores de alojamiento tienen esta opción configurada por defecto.
Use el comando chmod con precaución, especialmente al otorgar permisos de escritura y ejecución de scripts a un grupo de subdirectorios. Las consecuencias de tales acciones precipitadas pueden ser las más inesperadas.
Cuentas olvidadas
Hace varios meses, una empresa vino a pedirme ayuda. Sin motivo aparente, su página web redirigía a los visitantes a estafas como Search Marquis todos los días. Restaurar el contenido de la carpeta del servidor a partir de un backup no ayudó. Varios días después se repitieron las cosas malas. La búsqueda de vulnerabilidades y puertas traseras en los scripts tampoco encontró nada. El administrador de la página web bebió litros de café y se golpeó la cabeza con el estante del servidor.
Solo un análisis detallado de los registros del servidor ayudó a encontrar la verdadera razón. El problema era un acceso FTP "abandonado”, creado hace mucho tiempo por un empleado despedido que conocía la contraseña del panel de control de hosting. Al parecer, no satisfecho con su despido, esa persona decidió vengarse de su exjefe. Después de borrar todos los FTP innecesarios y cambiando todas las contraseñas, los desagradables problemas desaparecieron.
Sea siempre cauteloso y alerta
En la lucha por la seguridad, el arma principal del propietario de la página web es la precaución, la discreción y la atención. Puede y debe utilizar los servicios de un proveedor de alojamiento, pero no confíe ciegamente en ellos. No importa cuán confiables puedan parecer las soluciones listas para su implementación, para asegurarse, debe verificar las vulnerabilidades más típicas en la configuración del sitio usted mismo. Luego, por si acaso, revise todo nuevamente.
Basado en el artículo de David Balaban (CSO) y editado por CIO Perú