4v7n42
21-09-2011, 15:49
Go Daddy, el registrador de dominios más grande de Internet, sufrió un ataque masivo en varios de los sitios web que mantiene alojados. Este tipo de ataque, siempre resulta ser muy tentador para los criminales informáticos, ya que al poder controlar varias paginas permite al atacante realizar diferentes actividades delictivas, tal como se puede analizar en el siguiente caso.
El problema comenzó cuando varios dueños de distintos sitios alojados en Go Daddy, vieron disminuido su tráfico habitual de visitas diarias. Se descubrió que si se accedía desde diferentes buscadores web como Google, Yahoo, Ask, Msn, Live, Aol y Bing a alguno de los sitios alojado en Go Daddy, automáticamente en vez de llevar al visitante al sitio correcto, se lo dirigía a una página web con contenido malicioso.
http://i.imgur.com/LFXAg.jpg
Un total de 445 cuentas fueron comprometidas en este acceso no autorizado, todavía no hay detalles de lo ocurrido pero el equipo de seguridad de este proveedor se encuentra trabajando en ello. Todas las cuentas comprometidas ya fueron reportadas a sus dueños. En los sitios se pudo encontrar que el archivo de configuración del servidor Apache htaccess fue modificado por los atacantes. Este archivo es utilizado para definir diferentes configuraciones para cada directorio web.
Es importante que los usuarios de este servicio de alojamiento verifiquen el archivo de configuración de su sitio htaccess, y además realizar una búsqueda del sitio en los diferentes motores de búsqueda, ya que podrían aparecer en listas negras de seguridad.
Los siguientes consejos son importantes, en caso de presentarse ante este tipo de problemas:
Que todas las contraseñas del FTP sean rotadas y se utilicen contraseñas fuertes para todos los usuarios. También se recomienda borrar usuarios que no estén en uso.
Que el sistema operativo no tenga vulnerabilidades, es decir que que todas las actualizaciones de software estén instaladas.
Que las aplicaciones (especialmente la aplicación web o el gestor de contenidos) también tengan todos los parches de seguridad instalados.
Realizar un completo análisis del código fuente del sitio.
Al no tener detalles de lo ocurrido, es importante que se tomen todas las precauciones necesarias hasta que Go Daddy informe sobre lo ocurrido. Este hecho, demuestra lo importante que es para los administradores de los sitios, conocer todas las políticas de configuración las cuales tendrían que ser revisadas diariamente.
Fuente (http://blogs.eset-la.com/laboratorio/2011/09/20/sitios-go-daddy-comprometidos/)
El problema comenzó cuando varios dueños de distintos sitios alojados en Go Daddy, vieron disminuido su tráfico habitual de visitas diarias. Se descubrió que si se accedía desde diferentes buscadores web como Google, Yahoo, Ask, Msn, Live, Aol y Bing a alguno de los sitios alojado en Go Daddy, automáticamente en vez de llevar al visitante al sitio correcto, se lo dirigía a una página web con contenido malicioso.
http://i.imgur.com/LFXAg.jpg
Un total de 445 cuentas fueron comprometidas en este acceso no autorizado, todavía no hay detalles de lo ocurrido pero el equipo de seguridad de este proveedor se encuentra trabajando en ello. Todas las cuentas comprometidas ya fueron reportadas a sus dueños. En los sitios se pudo encontrar que el archivo de configuración del servidor Apache htaccess fue modificado por los atacantes. Este archivo es utilizado para definir diferentes configuraciones para cada directorio web.
Es importante que los usuarios de este servicio de alojamiento verifiquen el archivo de configuración de su sitio htaccess, y además realizar una búsqueda del sitio en los diferentes motores de búsqueda, ya que podrían aparecer en listas negras de seguridad.
Los siguientes consejos son importantes, en caso de presentarse ante este tipo de problemas:
Que todas las contraseñas del FTP sean rotadas y se utilicen contraseñas fuertes para todos los usuarios. También se recomienda borrar usuarios que no estén en uso.
Que el sistema operativo no tenga vulnerabilidades, es decir que que todas las actualizaciones de software estén instaladas.
Que las aplicaciones (especialmente la aplicación web o el gestor de contenidos) también tengan todos los parches de seguridad instalados.
Realizar un completo análisis del código fuente del sitio.
Al no tener detalles de lo ocurrido, es importante que se tomen todas las precauciones necesarias hasta que Go Daddy informe sobre lo ocurrido. Este hecho, demuestra lo importante que es para los administradores de los sitios, conocer todas las políticas de configuración las cuales tendrían que ser revisadas diariamente.
Fuente (http://blogs.eset-la.com/laboratorio/2011/09/20/sitios-go-daddy-comprometidos/)