Una vez detectado que un servidor ha sido atacado, es necesario actuar lo más pronto posible para evitar nuevas víctimas entre los usuarios de la Web y también para mantener la reputación y credibilidad del propio sitio.
Las acciones a emprender han de ir dirigidas a corregir la vía de acceso al servidor que ha usado el atacante, ya que si el agujero de seguridad permaneciera, seguiría siendo vulnerable y podría ser atacado nuevamente.
Los pasos a seguir antes un sitio Web que ha sufrido un ataque son los siguientes:
Mantener el sitio fuera de Internet:
Habilitar como no accesible el sitio Web hasta corregir el problema. Existe la posibilidad de realizarlo a través de comandos u opciones, pero también, incluso, desenganchar físicamente la máquina de su conexión a Internet.
Conectar con la empresa de Web Hosting:
Normalmente estas empresas ofrecen un correo o formulario para contactar con ellos. En este caso, hay que notificar los datos más significativos del incidente sufrido:
- Dirección IP de la Web
- Hora y día del ataque
- Ofrecer una dirección de correo electrónico diferente a la empleada en el registro del sitio Web, para evitar problemas en caso de encontrarse también comprometida.
Es aconsejable tener un plan preparado para reaccionar ante incidentes de seguridad.
Encontrar y reparar los cambios maliciosos:
En muchos casos, puede ahorrar tiempo reemplazar el código dañado por copias del mismo que se sepan limpias, en caso de tener la necesidad de contar con el sitio en línea en el menor tiempo posible.
Sin embargo, haciendo esto pueden destruirse evidencias que pueden ser necesarias para determinar cómo ocurrió el ataque y cómo evitar que vuelva a ocurrir. Por ello, también es recomendable realizar una copia de seguridad del sitio para un análisis posterior y conocimiento de las causas.
Ejecutar antivirus y anti espías en los equipos de los administradores:
Una de las mayores causas de robo de credenciales de acceso al servidor FTP es la infección de los equipos que los alojan.
(Acceso a las descarga de herramientas antivirus y anti espías: sección Útiles Gratuitos de INTECO-CERT.)
Cambiar las contraseñas:
Es necesario cambiar las contraseñas de gestión para evitar de nuevo el acceso al FTP, servidor, conexiones a las bases de datos, cuentas de correo electrónico, etc., para evitar así nuevos ataques.
(Acceso a información sobre contraseñas seguras: cómo crear una contraseña segura.)
Comprobar los permisos de los archivos:
Revisar los permisos asignados a los usuarios y archivos, y en caso necesario, restablecerlos correctamente para evitar que puedan ser usados como vía de acceso.
Actualizar a las últimas versiones:
Elaborar una lista de todo el software que se utiliza en el equipo y asegurarse que se encuentre actualizado a la última versión. Las páginas oficiales de los distintos fabricantes suelen disponer de enlaces para tal fin.
Identificar la IP o IPs que realizaron el ataque:
La labor de identificar las IPs atacantes es relativamente sencilla una vez detectado el vector de ataque. Dicho vector se puede obtener analizando los logs de acceso al servidor Web o FTP, por ejemplo. Aunque esto no garantiza que en esa IP haya un usuario malintencionado, puesto que las intrusiones se suelen realizar desde ordenadores comprometidos (BotNets).
Fuente: Inteco.es