¿Qué necesito?

  • Cualquier servidor dedicado o virtual
  • CentOS
  • masilla

¿Qué es un servidor comprometido?

Por lo general, descubre que su servidor ha sido pirateado porque su centro de datos o proveedor lo ha conectado en red. O tal vez lo descubra debido a servicios fallidos o sitios web ilegibles que muestran malware. Es una situación aterradora en la que no sabes lo que está pasando y la respuesta inmediata al pánico es. Lo más molesto es que siempre parece suceder en el peor momento posible. Cuando aloja varios sitios web y plataformas para clientes externos, es posible que las prácticas inseguras de sus clientes hayan causado este compromiso catastrófico de sus sistemas. Si está lidiando con esta situación, hay varias formas de resolverla.

  1. Resuelve el problema
    1. Es de suma importancia que averigüe qué está siendo pirateado o comprometido. Esto le da una serie de preguntas:
      • ¿Es un ataque entrante?
      • ¿Es un ataque saliente?
      • ¿Es malware, un sitio web ilegible o datos alterados o robados?
      • ¿Cuánto acceso obtuvieron los piratas informáticos / malos actores a su sistema?
      • ¿Backdoor / script ejecutando un directorio de usuario?
      • ¿Compromiso de intrusión a nivel de raíz?
      • ¿Su servidor web o centro de datos ha restringido sus conexiones de red o ancho de banda?
      • ¿Tiene un plan de mitigación para restaurar las ubicaciones críticas de sus clientes?
    2. En algunos casos, si sus servidores y sistemas se han visto gravemente comprometidos, a menudo es más rápido reconstruir su servidor a partir de una imagen. Esto ahorra tiempo tratando de localizar completamente la fuente del compromiso y reparando los servicios y archivos de configuración dañados en el servidor. Personalmente, esta no es una práctica recomendada ya que nunca sabrá la fuente del compromiso.
    3. Mucha gente se vuelve perezosa y trata de resolver hacks “simples” restaurando una copia de seguridad anterior o anterior. Esto puede funcionar si los datos no han cambiado significativamente. Sin embargo, restaurar una copia de seguridad también puede dar como resultado que solo se restauren los gérmenes del compromiso original, especialmente porque, estadísticamente, la mayoría de los compromisos no se detectan hasta mucho después de la inyección de compromiso original real.
  1. Recuperación de ataques entrantes
    1. Un ataque entrante ocurre cuando computadoras / servidores externos atacan su servidor. Algunos de estos ataques en realidad intentan obtener acceso a su servidor, mientras que otros solo intentan interrumpir los servicios abrumando su servidor o red. Independientemente de su intención, todos estos ataques consumen los recursos de su servidor, por lo que su sitio web no puede cargarse para visitantes reales del sitio web.
    2. Diferentes tipos de ataques entrantes:
      • Fuerza bruta: múltiples intentos en rápida sucesión de adivinar las contraseñas de administrador y obtener acceso a través de sus páginas de inicio de sesión u otros protocolos de conexión Por ejemplo XML-RPC para WordPress, Joomla o Drupal.
      • Ataques de inundación: denegación de servicio (DOS), los ataques distribuidos de denegación de servicio (DDOS) o SYNFLOOD aún más potentes. Estos se dirigen específicamente al servidor en diferentes puertos y protocolos y solicitan muchas conexiones abiertas que van más allá del límite del servidor. Esto es equivalente a realizar una llamada masiva a una línea telefónica para que no esté disponible para otras personas que llaman.
    3. Detecta ataques entrantes
      • El servidor se está agotando: esta es una señal obvia de que puede estar siendo pirateado. especialmente si no ha cambiado nada más en el sitio web y el tráfico sigue siendo el mismo.
      • Compruebe el uso elevado del servidor (CPU): cualquier valor cercano o superior al número de núcleos de CPU se considera alto. Por ejemplo, una carga de ‘5’ si solo tiene 4 núcleos. Una CPU alta generalmente significa un ataque a nivel de red que bombardea los servicios.
        grep processor /proc/cpuinfo ¦ wc -l
        

      • Compruebe el uso elevado de memoria: los mensajes con altos intercambios en su panel de control a intervalos aleatorios también son un indicador obvio. A veces, el ataque es errático y esporádico y todo lo que necesita hacer es escanear estos archivos de registro. La memoria alta generalmente significa un ataque a nivel de software que bombardea los scripts PHP.
        cat /proc/meminfo or top
        

        Cómo recuperar un servidor pirateado

Conclusión

Cuando se trata de un servidor o un sistema comprometido, es importante estar lo más tranquilo y paciente posible. Es mejor tomarse su tiempo e intentar resolver el rompecabezas. A pesar de que un compromiso es malo, es una gran oportunidad para aprender sobre el vector de ataque del actor malo y desarrollar nuevas estrategias para corregirlo y protegerlo. Busque guías adicionales sobre cómo fortalecer y reparar sus servidores. próximamente, en breve, pronto.