Es poco probable que los profesionales de TI experimentados se enfrenten a estafadores en línea que principalmente ganan dinero engañando a usuarios ocasionales desprevenidos. Sin embargo, muchos ciberatacantes se dirigen a los administradores de servidores virtuales y los servicios que administran. Aquí hay un vistazo a las estafas y exploits que los gerentes deben conocer.

Correo electrónico de phishing dirigido
Mientras toma el café de la mañana, abra una computadora portátil y ejecute un cliente de correo electrónico. Entre los mensajes habituales destaca un correo electrónico de la empresa de hosting informándote del descuento en el pago de la tarifa de hosting. Es fin de año y vacaciones de año nuevo, o por otros motivos, si pagas ahora, obtendrás un gran descuento.
Haga clic en el enlace del correo electrónico para ingresar. Si tiene suerte, notará algo extraño en este punto. No hay nada extraño en el correo electrónico. Se ve exactamente igual que el mensaje oficial enviado previamente por el proveedor de alojamiento. La fuente utilizada es la misma y la dirección del remitente es correcta. Los enlaces a las políticas de privacidad, las reglas para el manejo de datos personales e incluso partes que nadie lee están en su lugar.
Sin embargo, la URL del panel de administración es un poco diferente de la URL real y hay algunas partes sospechosas en el certificado SSL. Oh, ¿esto es phishing?
Los ataques como este que utilizan paneles de administración falsos para robar credenciales de inicio de sesión han aumentado recientemente. Es posible que desee culpar a los proveedores de servicios por filtrar los datos de los clientes, pero no se apresure a concluir. No es muy difícil para un ciberdelincuente bien intencionado obtener información sobre el administrador de un sitio web alojado por una empresa específica.
Un atacante podría obtener una plantilla de correo electrónico simplemente registrándose en el sitio web del proveedor de servicios. Además, muchos proveedores ofrecen períodos de evaluación. El atacante puede usar un editor HTML para cambiar el contenido del correo electrónico como desee.
No es difícil averiguar el rango de direcciones IP que utiliza un proveedor de alojamiento en particular. Hay muchos servicios creados con el propósito de verificar un rango de direcciones IP. Entonces también es posible obtener una lista de todos los sitios web para cada dirección IP del alojamiento compartido. No hay problema, excepto para los proveedores de hosting que usan Cloudflare.
Posteriormente, los delincuentes pueden crear una lista de correo recopilando direcciones de correo electrónico del sitio web y agregando valores de uso común como ‘administrador’, ‘admin’, ‘contacto’ e ‘info’. Este proceso se puede automatizar fácilmente mediante un script de Python o un programa para la recopilación automática de correo electrónico. Si le gusta usar Kali, puede ajustar la configuración y usar el recolector para este propósito.
Se pueden utilizar varias utilidades para encontrar la dirección de correo electrónico del administrador, así como el nombre del registrador del dominio. En este caso, el administrador suele ser atraído a una página de sistema de pago falsa y se le pide que pague por la renovación del nombre de dominio. No es difícil darse cuenta de este truco, pero es posible que te engañen cuando estás cansado o tienes prisa.
No es difícil protegerse contra varios ataques de phishing. Es útil configurar la autenticación de múltiples factores para el inicio de sesión del panel de control de su alojamiento y marcar la página del panel de administración. Por supuesto, siempre debes prestar atención.
Script de instalación de CMS y explotación de carpetas de servicios
Es difícil encontrar un caso en el que no se utilice un sistema de gestión de contenido (CMS) en estos días. Muchos proveedores de alojamiento ofrecen servicios para implementar rápidamente los motores CMS más populares en contenedores, como WordPress, Drupal y Zoomla. Solo un clic de un botón en el panel de control de alojamiento.
Sin embargo, algunos administradores prefieren configurar manualmente el CMS, por lo que descargan la distribución del sitio del desarrollador y la cargan en el servidor a través de FTP. Para algunos, este método es más familiar, más confiable y se adapta a los hábitos del gerente. Sin embargo, hay casos en los que los scripts de instalación y las carpetas de servicios parpadean y no se eliminan.
Todo el mundo sabe que la ubicación del script de instalación de WordPress es wp-admin / install.php al instalar el motor. Un atacante puede usar Google Dock para obtener muchos resultados de búsqueda para esta ruta. Los resultados de la búsqueda están repletos de enlaces a publicaciones en foros sobre fallas técnicas de WordPress, pero es posible revisarlos uno por uno y encontrar la opción adecuada para cambiar la configuración de su sitio.
La estructura del script de WordPress se puede ver mediante la siguiente consulta.
inurl: repair.php? repair = 1
También puede encontrar muchas cosas interesantes buscando scripts olvidados utilizando la siguiente consulta:
inurl: phpinfo.php
Puede encontrar un script que funcione para instalar el popular motor Joomla usando el título característico de la página web. El uso adecuado de operadores de búsqueda especiales puede encontrar instalaciones incompletas o scripts de servicio descartados, completar la instalación del CMS en nombre de este desafortunado propietario y crear una nueva cuenta de administrador en el CMS.
Los administradores deben eliminar las carpetas del servidor o utilizar contenedores para bloquear estos ataques. Este último es generalmente más seguro.
Problemas de configuración de CMS
Además, un atacante puede detectar problemas de seguridad en otros hosts virtuales. Por ejemplo, puede encontrar defectos de configuración o problemas básicos de configuración. WordPress, Joomla y otros CMS tienen varios complementos con vulnerabilidades conocidas.
Primero, un atacante puede intentar verificar la versión del CMS instalada en el host. En el caso de WordPress, mientras mira el código en la página Solo busque una metaetiqueta como. La versión del tema de WordPress se puede obtener buscando la siguiente línea.
https: //websiteurl/wp-content/themes/theme_name/css/main.css? ver = 5.7.2
El atacante puede recuperar la versión del complemento que le interese. Muchos complementos tienen https: //websiteurl/wp-content/plugins/plugin_name/readme.txtContiene el archivo de texto Léame en formato.
No deje archivos como estos en su cuenta de alojamiento y permita que personas curiosas accedan a ellos, debe eliminarlos inmediatamente después de instalar el complemento. Un atacante que haya obtenido versiones de CMS, tema o complemento podría intentar explotar vulnerabilidades conocidas.
En algunos sitios de WordPress, el atacante /? autor = 1Puede averiguar el nombre del administrador agregando una cadena como: Cuando se usa la configuración predeterminada, el motor de WordPress devuelve una URL con el nombre de cuenta válido del primer usuario y, en muchos casos, esta cuenta incluye privilegios de administrador. Un hacker que conoce el nombre del administrador puede intentar un ataque de fuerza bruta.
Muchos administradores de sitios web dejan algunos directorios accesibles para personas externas. En el caso de WordPress, a menudo puede encontrar las siguientes carpetas:
/ wp-content / themes
/ wp-content / plugins
/ wp-content / uploads
Carpetas como estas pueden contener información sensible, incluida información confidencial, y nunca se debe permitir que personas ajenas a ellas las vean. Coloque un archivo index.html vacío en la raíz de cada directorio o en el .htaccess de su sitio Opciones de todos los índices Debe denegar el acceso a la carpeta de servicio agregando una línea. Muchos proveedores de alojamiento establecen esta opción de forma predeterminada.
Tenga cuidado al usar el comando chmod, especialmente al otorgar permisos de escritura y ejecución de scripts a un gran número de subdirectorios. Si lo hace sin cuidado, pueden suceder cosas inesperadas.
Cuenta abandonada
Hace unos meses, una empresa se acercó a mí y me pidió ayuda. El sitio web redirige a los visitantes todos los días a sitios fraudulentos como Search Marquis, pero la empresa no pudo encontrar una razón clara. Restauré el contenido de la carpeta del servidor desde la copia de seguridad, pero se repitió nuevamente después de unos días. Busqué vulnerabilidades y puertas traseras en el script, pero no encontré nada. Mientras tanto, el administrador del sitio web bebía sobre un tambor de café enterrado en un estante de servidor.
Fue solo después de un análisis detallado de los registros del servidor que pude encontrar el motivo. El problema era el acceso a través del FTP ‘descartado’ creado hace mucho tiempo por un empleado despedido que conocía la contraseña del panel de control de hosting. Todos los empleados parecen estar descontentos con el despido y deciden vengarse del anterior trabajo. Cuando eliminé todas las cuentas FTP innecesarias y cambié todas las contraseñas, este molesto problema desapareció.
Sea siempre cuidadoso y vigilante
En la lucha por la seguridad, el arma principal del propietario de un sitio web es la precaución, la precaución y la precaución. Puede y debe utilizar los servicios de su proveedor de alojamiento, pero no confíe ciegamente en ellos. No importa cuán segura pueda parecer la solución subyacente, aún necesita identificar las vulnerabilidades más comunes en la configuración de su sitio. Entonces compruébalo de nuevo, por si acaso. editor@itworld.co.kr
Source: ITWorld Korea by www.itworld.co.kr.
*The article has been translated based on the content of ITWorld Korea by www.itworld.co.kr. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!
*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.
*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!