Objeto y alcanze
Esta guía pretende servir de referencia a los responsables de seguridad de un sitio web,
mientras realicen las siguientes tareas:
- detectar ataques
- minimizar posibles daños una vez sufrido el ataque
- tomar medidas preventivas de seguridad para evitar que un sistema se vea
comprometido
Descripcion
Los ficheros de un sitio web se encuentran alojados principalmente en:
- servidores web dedicados y administrados por el propietario de la página
- sistemas contratados o alquilados para tal efecto, a través de empresas de hosting
En el primer caso es el desarrollador o administrador del sitio quien gestiona su propio
servidor, adoptando las medidas de seguridad necesarias para evitar el acceso por parte de
atacantes.
En el segundo caso, la empresa de hosting ofrece normalmente una serie de servicios para
potenciar y reforzar la seguridad de sus sistemas. Aún así, los usuarios de este tipo de
servicio de alojamiento disponen de un panel de control o administración a través del cual
pueden administrar el contenido de su sitio web. Los paneles de control más comunes son:
cPanel, Plesk.
Cuando un tercero, a través de diversas técnicas, obtiene permisos de acceso de escritura
en el sistema, tiene la posibilidad de cambiar alguno o varios de los archivos del sitio,
pudiendo posteriormente realizar acciones como:
- obtener información confidencial
- comprometer los equipos de los usuarios que visitan el sitio web atacado, creando una BotNet o red de ordenadores infectados
- obtener direcciones de correo para envío de spam
- abusar del ancho de banda contratado por los usuarios
- alojar phishing suplantando a otras entidades
- uso de los procesadores de los sistemas comprometidos
- uso del espacio web para alojar diversos contenidos con fines fraudulentos o
maliciosos
Deteccion del ataque
Existe una serie de pasos a seguir para detectar si una web ha sufrido un ataque por parte
de terceros. Los pasos se describen a continuación.
- Comprobar si la apariencia de la web se ha visto modificada o muestra
características, contenidos o acciones distintas a las esperadas.
- Comprobar las direcciones IP de las últimas conexiones al servidor FTP que aloja los
activos:
- Deben coincidir con algunas de las direcciones conocidas por los propietarios
del sitio. Para identificar las IPs externas se pueden seguir los siguientes
enlaces: http://www.whatismyip.com o http://www.cualesmiip.com
- Revisar el archivo log de conexiones al sitio web y sus peticiones:
- Comprobar el listado de ficheros del sitio en busca de cambios no deseados:
- Existen diversos procedimientos para detectar si se ha producido algún
cambio en los archivos, como puede ser comparar listas de ficheros
(obtenidas, por ejemplo, a través del comando “clon”), en momentos distintos
para compararlas:
- Existen diversos procedimientos para detectar si se ha producido algún
cambio en los archivos, como puede ser comparar listas de ficheros
(obtenidas, por ejemplo, a través del comando “clon”), en momentos distintos
para compararlas:
- Comprobar si se han cambiado los permisos preestablecidos sobre los
archivos de la web.
Actuacion ante el ataque
Una vez detectado que un servidor ha sido atacado es necesario actuar lo más pronto
posible para evitar nuevas víctimas entre los usuarios de la página y también para mantener
la reputación y la credibilidad del propio sitio.
Las acciones a emprender han de ir dirigidas a corregir la vía de acceso al servidor que ha
usado el atacante, ya que si el agujero de seguridad permaneciera, seguiría siendo
vulnerable y podría ser atacado nuevamente.
Existen varios pasos a seguir cuando una página ha sufrido un ataque. Son los que a
continuación se describen.
- Mantener el sitio fuera de Internet:
Habilitar como no accesible el sitio web hasta corregir el problema. Existe la posibilidad
de realizarlo a través de comandos u opciones pero, también, incluso se puede
desenganchar físicamente la máquina de su conexión a Internet.
- Conectar con la empresa de web hosting:
Normalmente estas empresas ofrecen un correo o formulario para contactar con ellas.
En este caso, hay que notificar los datos más significativos del incidente sufrido, que
suelen ser los siguientes:
- dirección IP de la web
- hora y día del ataque
- asimismo, se debe ofrecer una dirección de correo electrónico diferente a la
empleada en el registro del sitio web para evitar problemas en caso de
encontrarse también comprometida
Prevenir ataques
En cuanto a la prevención, existen varios puntos a tener en cuenta. Son los que a
continuación se describen.
- Se deben conocer las recomendaciones generales referidas a la seguridad
informática
-
Es importante mantener en buen estado de seguridad del equipo utilizado para
la administración del sitio web.
- Hay que auditar constantemente el sitio web habilitando la opción de «logs
permanentes».
- Tiene prioridad tener una buena política de contraseñas seguras.
- Se debe disponer de copias de seguridad de la web.
- Hay que compartir información con servidores de terceros.
- Es necesario comprobar que los permisos de ficheros y directorios son
seguros.
- Es importante realizar un buena programación de la web, usando código
seguro
- Es importante realizar un buena programación de la web, usando código
seguro.
- Hay que mantener el software empleado (servidor web, bases de datos, etc.) en
las últimas versiones.
- Se debe bloquear la actividad sospechosa a través de los archivos de
configuración distribuida