He recibido un mensaje del sistema Anti-Hack


Introducción

Existen varios robots en OVH que controlan y evitan que los hackers puedan entrar a través de fallos conocidos. En todos ellos, el resultado es el envío inmediato de un correo de aviso al propietario del sitio y el bloqueo absoluto del sitio para evitar que el hacker pueda hacer uso de puertas traseras o backdoors.

Si usted ha recibido un mensaje del sistema Anti-Hack, tenga por seguro que ha sufrido una violación de acceso en su sitio web y que es posible que la integridad de su sitio haya quedado comprometida.

Su sitio ha sido cerrado como medida de seguridad para evitar el acceso al hacker, razón por la cual se recibe el mensaje siguiente: "You don't have permission to access / on this server."

Puede utilizar nuestros sistemas de copia de seguridad para recuperar el estado de su sitio si así es necesario y cambiar los permisos del directorio raíz; pero antes de nada es necesario cerrar cualquier puerta al hacker, ya que es muy posible que el ataque se repita, si no es así.

Antes de reabrir el sitio, por tanto, le aconsejamos que siga unas cuantas normas de seguridad.

Principios del sistema

Explicación de las lineas de procesos

En el mail que ha recibido, deberían aparecer una o varias líneas de procesos del estilo:


Proto - Recv-Q - Send-Q - Dirección local - Dirección remota - Estado - Usuario - Inode ------ PID/Program name
tcp --- 0 ------ 0 ------ 0.0.0.0:2000 ---- 0.0.0.0:* -------- LISTEN - 1025 ---- 1241772069 - 12109/b


Estas líneas se le comunican como preaviso del hack realizado en su sitio.

Dirección local 0.0.0.0:2000
Significa que el pirata ha abierto el puerto 2000 del servidor.

Dirección distante 0.0.0.0:*
Significa que este puerto acepta las conexiones que vienen de cualquier ordenador y cualquier puerto.

Estado "LISTEN"
Significa que este puerto está en estado de escucha, en espera de una conexión.

Usuario
El número de usuario corresponde a su UID en los servidores de OVH, es así como hemos podido saber que este programa ha sido lanzado desde su sitio.

PID
El número de programa es de poco interés en esta situación. Los piratas utilizan a veces nombres de programas aleatorios o falsos con el objetivo de burlar la vigilancia de los administradores.

¿Por qué se me ha cerrado el sitio?

Comprenda que si su sitio ha sido cerrado al público, no es en ningún caso para castigarle en ningún caso, puesto que usted es igualmente una víctima.

Puede abrir su sitio en cualquier momento cambiando los permisos del directorio raíz con tres instrucciones de FTP:


ftp> chmod 705 www
ftp> chmod 705 .
ftp> chmod 705 /


(no se olvide del punto al final)

El único objetivo de cerrar el sitio ha sido de proteger su sitio y sus datos. La solución "facil" hubiera sido parar el proceso pirata (kill) y no avisarle del error, pero en ese caso no podría saber si la persona que ha burlado su sitio ha afectado a sus páginas, ha modificado sus datos, etc...

Nuestra experiencia nos dice que una vez que alguien entra en un sitio, el resto de los hackers intentan entrar más y más veces y sus ataques se hacen más agresivos. Incluso si nuestro sistema de vigilancia rastrea regularmente el servidor, bastan unos pocos segundos para causar daños importantes en su sitio o en los servidores.


En consecuencia, es preferible encontrar el fallo antes de reabrir de nuevo el sitio.

Nuestro sistema corta todos los programas que son sospechosos de ser hacks y no se cierra el sitio si no se ha comprobado antes que el pirata está conectado al servidor mediante su cuenta o bien ha dejado un puerta trasera o "backdoor", para que pueda conectarse de nuevo más facilmente.

Cerrando su sitio estamos impidiendo que el pirata pueda tener acceso y seguir con sus operaciones.


Acceso a los logs

Los logs de acceso pueden consultarlos en el Manager en la sección de Logs y Estadísticas o bien en la dirección:

https://logs.ovh.net/mi_dominio.com/

Nota : Necesitará el identificador de OVH y la contraseña del Manager.


En dichos logs obtendrá los accesos HTTP, CGI, ERRORES, SSH y FTP, así como las rutas solicitadas.



Con esos logs podrá realizar una auditoría de seguridad de su sitio web para localizar el origen de la intrusión.


Más información

SeguridadSitio: Los problemas de seguridad en su alojamiento.

BackupsDePlanWeb: Las copias de seguridad de los web/ftp

BackupsDePlanSql: Las copias de seguridad del SQL

ServidorHackee: Cuando el servidor sufre el ataque de un hacker.

ServidorInfectado: Cuando el servidor se contagia con un troyano o un virus.