Primero que todo debemos restaurar los archivos originales en caso de que haya tratado de un defacement. En un defacement, el delincuente modifica el archivo index del sitio para poner algún tipo de mensaje de su interés.
Después que restablecimos la apariencia del sitio web dañado debemos buscar los scripts que el atacante habrá dejado en la cuenta con la finalidad de repetir una y otra vez su hazaña.
Para eso utilizaremos el comando:
cd /home/cuenta_atacada/public_html
find . -mtime -1Con el primer comando nos moveremos a la raíz de la cuenta atacada. Debemos reemplazar cuenta_atacada por el username real de la cuenta que fue atacada.
El segundo comando nos muestra una lista de todos los archivos que fueron modificados durante las últimas 24 horas. Si nuestra cuenta fue hackeada antes de un día, debemos cambiar el -1 por un -2 para dos días, -3 para tres días, y así sucesivamente.
Identificados los scripts procedemos a eliminarlos o a clasificarlos según sean las políticas de nuestra administración.
Luego debemos revisar las bases de datos para ver si nuestro atacante se creó una cuenta de usuario administrador, cosa típica para sitios con Joomla! u OsCommerce y eliminarla.
Podemos dejarlo hasta aquí, pero todavía debemos determinar cómo fue vulnerada la cuenta para poder tomar las medidas necesarias de modo de evitar que se vuelva a repetir en el futuro.
No hay comentarios:
Publicar un comentario