Como Ocurre este ataque:
Este ataque normalmente no se produce por ningun hueco de seguridad del servidor, en el php o en el cpanel, esta ocurre principalmente porque su password de FTP a sido hackeado. Por lo menos todos los que hemos visto hasta la fecha se deben a eso. Principalmente estas claves son robadas al utilizar software pirata, como el dreamweaver. Generalmente los cracks para estos programas ocultan programas espias que roban tus contraseñas de tu servidor FTP guardades.
Tambien ocurre que tu maquina esta inectada por un malware, que roba este tipo de contraseñas. Estos malware normalmente se encuentran en software gratuito que obtienes en la red, y se esconden en forma de toolbars o similares, asi que siempre desconfie de software gratuito que no sea conocido.
Sea como fuere, uno siempre debe de tomar sus precauciones al utiliza este tipo de programas:
- Nunca usar su cuenta principal FTP para subir sus paginas webs, siempre usar una cuenta diferente.
- Habilitar la cuenta FTP solo en el momento de desarrollo o de mantenimiento, despues de usarla desactivarla.
- Usar contraseñas seguras de 8 digitos, que incluyan letras mayusculas, minusculas, numeros y signos.
Que hace este ataque:
Los iframe agregan codigo malicioso en su pagina web, que ataca principalmente a Internet Explorer y en menor medida a Firefox y Chrome. Estos ataques colocan codigo que captura información de los navegadores, como los numeros de tarjetas de credito, claves e información sensible a ser usada, todo esto sin que el usuario lo sepa. Si lo que captura son claves de otros sitios web, el mismo codigo tiene la capacidad de infectar estos otros sitios, es basicamente por esto que no apreciamos en los log, signos de que nustra seguridad haya sido violada, ya que se usan las mismas cuentas de los usuarios. Lamentablemente los antivirus no nos ayudan mucho, ya que existen software como el MPACK que es vendido clandestinamente por US$ 1000.00 y asegura que los antivirus no van a detectar los keyloger instalados, asi que no se fie, y siempre use programas especificos adicionales para este fin, como combofix, antimalware.
Solución:
- Desinfectar su computadora, y hacerla anilizar por un experto, en el peor de lo caso y si no esta seguro, FORMATEE TODO y no vuelva a utilizar software Ilegal.
- Cambiar todas sus contraseñas y utilizar contraseñas seguras. Puede generar contraseñas seguras con esta aplicación. Con esto los ataques cesaran, pero simpre este atento revisando su codigo, Nunca se sabe.
- Revisar todo su codigo de su pagina web para buscar Back Doors (puertas traseras) que los hacker suelen colocar. Estos son codigos que estan escondidos que permiten que el hacker vuelva a infectar su sitio web. A veces ocurre que este codigo permanece en silencio y escondido por meses para despues volver aparecer. Si no esta seguro BORRE SU SITIO E INSTALE UNA COPIA DE SEGURIDAD.