Diario Ti: Las infecciones masivas originadas en sitios web son uno de los mayores problemas que enfrenta la seguridad informática actual. Algunos propietarios de sitios web suelen quejarse de que el software de seguridad bloquea erróneamente el acceso a su portal y que debe tratarse de una falsa alarma ya que no alojan contenidos maliciosos de ningún tipo. Por desgracia, en la mayoría de los casos, se equivocan porque sí que se pueden encontrar en sus sitios web scripts maliciosos que se inyectaron en el código original PHP, JS o HTML.
stos scripts suelen desviar a los visitantes hacia URLs maliciosas desde las que se descargan y se ejecutan programas maliciosos en el ordenador del usuario. En la mayor parte de los casos, estos scripts se ejecutan furtivamente, por lo que al usuario le parece que el sitio funciona con toda normalidad. Los códigos maliciosos explotan vulnerabilidades en los programas instalados en el ordenador del usuario (como Java, Flash, lectores PDF, plugins para el navegador, etc.) para instalarse en secreto en el ordenador atacado. Este método se llama descarga “drive-by".
Para Kaspersky Lab, los administradores de sitios web deben saber cómo identificar y eliminar programas maliciosos de sus webs, ser conscientes en todo momento de qué está pasando, qué hay que buscar; cómo sucedió; cuál es su propósito; cómo desinfectar; y cómo prevenir que un sitio web se infecte.
Síntomas de la infección
- - Los usuarios se quejan de que el navegador o la solución de seguridad han bloqueado el sitio;
- - el sitio web está en la lista de sitios prohibidos de Google o aparece en otra base de datos de URLs maliciosas;
- - hay un notable cambio en el tráfico y/o una caída en las clasificaciones de los motores de búsqueda;
- - el sitio web no se abre de forma correcta, muestra errores y advertencias;
- - tras visitar el sitio web, el ordenador muestra un extraño comportamiento.
A menudo la infección pasa inadvertida durante mucho tiempo, especialmente si se trata de un programa malicioso sofisticado. Estos programas maliciosos suelen estar bien camuflados para engañar al administrador del sitio web y a las soluciones de seguridad, y constantemente se cambian los nombres de los dominios a los que se desvía, a fin de burlar la detección mediante listas negras. Si no han notado ninguno de estos síntomas es un buen indicio de que el servidor está limpio, pero hay que permanecer alerta ante cualquier actividad sospechosa.
La señal más inequívoca de cualquier infección es la presencia de códigos maliciosos sospechosos en uno o más archivos en el servidor, especialmente archivos HTML, PHP o JS, y últimamente también archivos ASP/ASPX. No es fácil encontrar el código y se necesita por lo menos conocimientos básicos de programación y de diseño de sitios web.
Vectores y técnicas de ataque
Cualquiera que sea la técnica que usen, los ciberdelincuentes necesitan encontrar una vía para descargar sus archivos maliciosos o para modificar los archivos que ya se encuentran en el servidor. El método más antiguo para acceder al servidor consiste en crackear la contraseña de acceso. Para ello, los ciberdelincuentes pueden recurrir a ataques de fuerza bruta o a su versión limitada, un ataque diccionario. Esta técnica suele consumir mucho tiempo y recursos, por lo que no se usa mucho para causar infecciones masivas a través de la web. Entre las técnicas más populares están la explotación de vulnerabilidades y los programas maliciosos diseñados para robar contraseñas.
Más...
Fuente: www.diarioti.com
No hay comentarios:
Publicar un comentario