+54 11 5258-8400
Login

Archivo de la etiqueta: virus

¿Como ingresó el malware?

Es la segunda pregunta que nos hacen una vez aclarado que el servidor no tiene virus.

Las causas de la infección son diversas por lo que vamos a tratar de hacer un repaso rápido por cada una de ellas. Podemos identificar los siguientes factores:

  • Homogeneidad
  • Errores de software
  • Contraseñas débiles
  • Permisos inseguros

Homogeneidad

Hace referencia al hecho de que un gran grupo de usuarios utilice un software determinado, siendo el mayor ejemplo Windows: por lejos el sistema operativo más extendido. Y también el más apuntado por los hackers al momento de diseñar un virus. Esta afirmación echa  por tierra otro mito, aquel que asegura que MacOS y Linux “no tienen virus”. Simplemente no representan (todavía) una porción significativa del mercado como para que los cibercrimimales se vuelquen masivamente a elaborar software específico para estos sistemas operativos.

En el ámbito de las aplicaciones web, podemos mencionar a los CMS WordPress y Joomla que por ser los más utilizados son también el blanco de la mayor cantidad de ataques.

Errores de software

Es importante mantener este tipo de software actualizado (incluímos en esta denominación a sistema operativo, navegador web, software de sitio web y antivirus) a la última versión disponible, ya que los equipos encargados de mantenerlos están constantemente descubriendo y corrigiendo vulnerabilidades en el código.

Contraseñas débiles

Es fundamental mantener la seguridad en las contraseñas que utilicemos, no importa cuál sea su aplicación. La mayoría de los clientes FTP (Filezilla, CuteFTP y otros) almacena los datos de conexión a los sitios en formato texto plano dentro de la computadora. Los hackers diseñan aplicaciones maliciosas que se apoderan de estas credenciales para (sin consentimiento del usuario) realizar modificaciones en los sitios web, inyectando archivos o fragmentos de código malicioso.

Las contraseñas deben tener ocho caracteres de extensión como mínimo y ser una combinación de letras, números y símbolos. Para darles un empujón (hacia el camino correcto, claro) les dejamos dos enlaces:
– Los peores (y más vulnerados) passwords del 2012 >  http://splashdata.com/press/PR121023.htm
– Generador online de contraseñas seguras > http://strongpasswordgenerator.com/

Y dejamos para el final de esta entrega (no por eso menos importante) los permisos de directorios y archivos. Los hackers pueden aprovechar permisos demasiado abiertos para introducir archivos o código malicioso. Es muy común que una vez lograda la infección del sitio, se manipulen los permisos para lograr el control del mismo y evitar ser detectados por el dueño del sitio. Recomendamos los siguientes permisos para directorios y archivos dentro del sitio

Directorios > 755
Archivos > 644

Este tema amerita una explicación más detallada que abarcaremos en próximas entregas. Les dejamos un enlace a nuestra documentación interna en donde mostramos como asegurar los permisos de manera sencilla utilizando el popular cliente FTP Filezilla: http://www.elserver.com/ayuda/configurar-permisos-seguros-en-carpetas-y-archivos-usando-filezilla/

¿Conocés alguna vía más de entrada?Es la segunda pregunta que nos hacen una vez aclarado que el servidor no tiene virus. Las causas de la infección son diversas por lo que vamos a tratar de hacer un repaso rápido por cada una de ellas. Podemos identificar los siguientes factores:

  • Homogeneidad
  • Errores de software
  • Código sin confirmar
  • Sobre-privilegios de usuario
  • Sobre-privilegios de código
  • Contraseñas débiles

 Es la segunda pregunta que nos hacen una vez aclarado que el servidor no tiene virus. Las causas de la infección son diversas por lo que vamos a tratar de hacer un repaso rápido por cada una de ellas. Podemos identificar los siguientes factores:

  • Homogeneidad
  • Errores de software
  • Código sin confirmar
  • Sobre-privilegios de usuario
  • Sobre-privilegios de código
  • Contraseñas débiles

 Es la segunda pregunta que nos hacen una vez aclarado que el servidor no tiene virus. Las causas de la infección son diversas por lo que vamos a tratar de hacer un repaso rápido por cada una de ellas. Podemos identificar los siguientes factores:

  • Homogeneidad
  • Errores de software
  • Código sin confirmar
  • Sobre-privilegios de usuario
  • Sobre-privilegios de código
  • Contraseñas débiles

 

¿El servidor tiene un virus?

MalwareEs lo que varios de nuestros clientes nos dicen cuando reciben un aviso de parte de Soporte Técnico informando que su cuenta está infectada con malware. Pero empecemos por el principio… ¿Qué es exactamente “malware”? Según Wikipedia (http://es.wikipedia.org/wiki/Malware):

Malware (del inglés malicious software), también llamado badware, código maligno, software malicioso o software malintencionado, es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora o Sistema de información sin el consentimiento de su propietario.”

Ahora bien, el término en sí es genérico y engloba una gran variedad de software con diversos propósitos. Enumeremos algunos de ellos:

  • Redistribución del malware a través de descarga involuntaria (drive-by downloads, code injection)
  • Utilizar recursos de la cuenta para ejecutar envío de correo spam (virus)
  • Control remoto de la cuenta (backdoors)
  • Robar información personal (phising)
  • Realizar ataques distribuidos (botnets)

De lo mencionado arriba se desprende una cuestión obvia: Es fundamental evitar la propagación de esta amenaza.

Y esta es la parte menos simpática, porque en una primera instancia nos obliga a suspender de forma inmediata el acceso (tanto FTP como HTTP) a la cuenta comprometida. Una vez realizado esto, enviamos un reporte detallado al cliente con la siguiente información:

  • Detalle del informe recibido (para el caso que un tercero nos haya alertado de la situación).
  • Análisis de directorios / archivos sospechosos (a cargo de Soporte Técnico).
  • Información de utilidad para el cliente orientada a solucionar el inconveniente y asegurar la cuenta.
  • Pasos a seguir para solicitar el desbloqueo de la cuenta.

Es muy importante realizar una lectura en detalle de este material dado que el cumplimiento de todas las medidas de seguridad y pasos del procedimiento acelerará la resolución del inconveniente.
Para tu tranquilidad, te comento que nuestros procedimientos para el manejo de este tipo de situaciones han sido certificados por StopBadware.org, entidad líder a nivel mundial en el tratamiento de este tipo de amenazas y el fortalecimiento de las medidas de seguridad aplicadas en la Web. Estamos orgullosos de afirmar que somos el segundo web host de habla hispana y el primero de Argentina en recibir la certificación We Stop Badware™ Web Hosts  por nuestra labor en la materia.
¿Que significa esto? Que aplicamos las últimas recomendaciones y tecnologías en el manejo de este tipo de situaciones.

Pero todo esto comienza en algún lado, y esa es la pregunta principal de nuestros clientes. ¿Por dónde ingresa el malware?
Y es acá donde echamos por tierra el enunciado del título del post:

Cada cuenta de nuestros clientes (no confundir con dominio independiente, ya que se pueden dar de alta varios dominios por cuenta) está separada lógicamente del resto de las cuentas por la estructura de permisos de usuario y grupo de UNIX. Esto quiere decir que no hay ninguna acción que pueda ejecutar una cuenta en el nodo que afecte a otra con distinto user y group.
Esta característica provoca que los factores de ingreso del virus queden del lado del cliente.

Pero, ¿cómo? Para saber más, te invitamos a leer este post.

Cómo implementar seguridad en mi FTP

¿Tuviste algún problema de seguridad en tu sitio? ¿Te hackearon la página? ¿Querés saber qué medidas podés tomar para evitarlos? Acá te pasamos algunas sugerencias.

La seguridad se da del lado del servidor y del usuario. Del lado de ELSERVER te contamos que todos nuestros servicios tienen un servicio de antivirus que revisa en tiempo real cada archivo que subís a tu FTP, detecta si hay alguno infectado y llegado el caso, te prohibe la subida. Pero, ¿qué pasa si el virus no es un archivo en sí mismo sino que es una parte del código dentro de un archivo html o php?

Existe una gran cantidad de virus más complejos que se alojan en las PC y aguardan que el usuario se conecte a su FTP. Cuando el usuario se conecta, el virus puede:

  • Modificar el código de todos los archivos del FTP
  • Robar los datos de acceso (si los guardás para que tu cliente FTP los escriba automáticamente cada vez que te conectás) y después inyectar fragmentos de código destinado a ejecutar diversos procesos maliciosos: desde enviar Spam hasta redirigir a usuarios a sitios de terceros sin su consentimiento.

Estos virus son muy difíciles de detectar para el antivirus del servidor porque los fragmentos de código son órdenes típicas de programación o bien utiliza fragmentos encriptados. Si la computadora del administrador del sitio está infectada, probablemente el virus se esté ejecutando cada vez que se conecta a su FTP. ¿Qué hacer para resolver este problema?

  • Revisá regularmente tu computadora con un antivirus actualizado
  • Evitá guardar las claves de tu FTP en los programas FTP.
  • Ingresá las claves a mano cada vez que te conectes. (Filezilla por ejemplo te permite configurar el ingreso de manera que siempre te pregunte la contraseña)
  • Instalá las últimas actualizaciones de seguridad para aplicaciones como Joomla, WordPress, OSCommerce, Drupal, etcétera.
  • Revisá los permisos de las carpetas de tu sitio: así como las carpetas y archivos de Windows tienen permisos (el famoso “Solo lectura” que te permite sólo leer sin modificar) en Linux también podes activar tres tipos de permisos: Leer, Escribir y Ejecutar. Vos podés definirlos en tu FTP de manera de evitar dar permisos ampliados.
  • Limitá los accesos remotos a tu FTP. Cada usuario FTP que creas es una nueva puerta de entrada a tus archivos desde equipos remotos que pueden ser no seguros: en esas operaciones tus colaboradores sin saberlo pueden estar subiendo malwares que afecten a tu sitio.

La seguridad de tu sitio es muy importante y queremos ayudarte. Tomá vos también tus recaudos y por cualquier consulta, acá estamos! 😉

Protección contra el virus Gumblar

Las últimas semanas un Malware/Virus de nombre “Gumblar” ha estado ganando inercia y generando infecciones mediante inyecciones de código malicioso en sitios Web.

Según ScanSafe han detectado incrementos de la cantidad de dominios infectados de un ~66% diario y hasta un ~180% entre semanas durante Mayo.

Qué hace este Virus ?

El código de Gumblar tiene como objetivo modificar las páginas de resultados de búsquedas en Google de los usuarios infectados, reemplazando los links por enlaces a más código malicioso.

Adicionalmente, roba los datos de usuario / clave FTP existentes en la pc para continuar propagando la infección, y abre una conexión de control contra un tercero que potencialmente da acceso a ciertos controles sobre la pc infectada sin conocimiento del usuario, para armado de Botnets.

Mi sitio está infectado / Google me marca como sitio con contenido Malicioso!

El virus no se propaga via XSS, sino modificando archivos via FTP a través de datos de usuario/clave obtenidos con el malware. Si tu PC o cualquier PC con acceso FTP a tu sitio está (o estuvo) infectada, estás en riesgo de sufrir una inyección de código.

Si tu sitio está infectado, podés limpiarlo de la siguiente forma:

1. Manualmente: Eliminar las etiquetas de <SCRIPT> … </SCRIPT> con el código malicioso de todos tus archivos .htm, .php, .asp, etc. Aquí hay indicaciones de como identificarlo en concreto (en inglés), aunque cualquier Webmaster con conocimientos de HTML puede detectarlo fácilmente con solo mirar el código HTML.

2. Automáticamente: Restaurar el sitio a una versión no infectada utilizando la herramienta de SnapShots del Panel de Control. Si el sitio fue infectado en los últimos 10 días, vas a tener una copia sana de tus datos.

3. Subir nuevamente el sitio: Desde una copia local del mismo. Pero ojo! Si el sitio está infectado es muy probable que sea tu misma pc (o la de tu diseñador) que infecte los archivos al subirlos.

Una vez actualizados los contenidos te recomendamos analizar el sitio con esta aplicación, para confirmar que no hay más infección a la vista.

También ejecutá un antivirus, lo más actualizado posible, sobre tu pc. Recomendamos utilizar el Malwarebytes que detecta este virus.

Y más importante aún, cambiar todas las claves de acceso FTP a tu sitio. Ya sea que las tengas en tu PC o en las de un tercero, las claves son enviadas por el virus a desconocidos que luego hacen las modificaciones. Por más que tu PC ya esté limpia, seguís en riesgo de infección hasta tanto no cambies tus claves de FTP.

Si la infección es reciente, podés ver los registros de acceso FTP desde tu Panel de Control para ver exactamente desde dónde, con qué usuario y qué archivos fueron modificados.

Tu sitio tiene virus ?

Me acuerdo la época en que los virus se pasaban a través de un diskette. Había algunos inofensivos que te hacían “chistes” con el teclado y algunos inmisericordes que en 2 segundos eran capaces de dejar tu PC inservible más allá de todo arreglo. Igualmente, nada la ganaba al remedio de la abuela, de pasar un imán y después darles formato a los discos nuevos.

Los virus se volvieron de la high-society hoy en día. No alcanza con ser un Virus para ser respetable. Hay que graduarse de Malware, Troyano, Spyware, participar de alguna botnet, robar algún “datito personal”. La realidad es que todos han pasado por un virus al menos una vez. En general, muchas más de las que reconocemos o inclusive de las que nos damos cuenta.

Y ya suficientemente complicado es protegerse de un virus en la propia computadora. Ni soñar cuando los archivos están en otro lado! (como en tu sitio web)
Para resolver esta situación es que hoy estamos presentando una nueva prestación para tus sitios, nuestro sistema de Web Antivirus

La primer corrida en producción detectó más de 600 archivos infectados en la red, dentro de los sitios de nuestros clientes. Poco, para la totalidad de archivos que alojamos; mucho para los pocos sitios que son.

Lo más interesante es la distribución de los virus. Casi 4/5 del total corresponden a un solo virus, que infecta código HTML con Javascript malicioso.

Virus en archivos Web
Virus en archivos Web

Para ver el estado de cada sitio, pueden entrar a Reportes -> Protección Antivirus y podrán ver una lista de todos los archivos actualmente infectados, cuándo y por qué virus.
Nuestra recomendación: BORRARLOS! Lo más probable es que solamente esté malgastando espacio y ancho de banda.

Este servicio es gratuito y está incluído en todos nuestros planes de Grid Hosting y MultiCuenta. La información es actualizada una vez por día y no genera ningún tipo de impacto sobre la velocidad de los sitios.

LAYOUT

SAMPLE COLOR

Please read our documentation file to know how to change colors as you want

BACKGROUND COLOR

BACKGROUND TEXTURE