Grave problema de seguridad

Buenas noches
Tenemos un gran servidor administrado 100% en teoría con todo controlado, backups, actualizaciones, seguridad.. Este fin de semana hemos sufrido un ataque masivo a wordpress y algún joomla, todos ellos con software sin actualizar, en teoría es problema del cliente, pero nosotros les restauramos la web gratuitamente y les decimos que deben actualizar y tal.
Bien, el problema grave viene porque una de las cuentas hackeadas habían subido un script que estaba recopilando información, password de bbdd y demás de todas las demás cuentas.. esto no es un problema grave de seguridad? usamos cpanel/whm, seguro que esto se podría haber limitado de alguna forma, no?
Buffs.. menudo agujero de seguridad.. esto es responsabilidad suya 100%, el caso es que el que estaba de guardia 24h dice que la culpa es del wordpress sin actualizar..
Alguien sabe como solucionarlo para que no vuelva a suceder? Alguna propuesta de servidor dedicado 100% administrado cpanel/whm por aquí cerca en Barcelona.. me temo que después de esta voy a cambiar de proveedor..
Gracias.

 

Hola Silviachovar,

Te lo planteo con unas cuestiones que seguro que te harán entender. ¿Qué tiene que ver una aplicación de terceros con la administración del servidor? En teoría es el cliente quien debe encargarse de su contenido web, sus aplicaciones y la seguridad de estas. No es responsabilidad del administrador de sistemas encargarse de esas tareas sino del propietario o webmaster de ese sitio con wordpress. Los ataques a Joomla y Wordpress son bastante comunes como los de fuerza bruta, la mayoría se pueden evitar con una correcta configuración del aplicativo - sitio en cuestión. No creo que tu proveedor tenga la culpa de eso, habría sin embargo que conocer la opinión de tu hoster.

Atentamente,

 

En efecto los ataques a Joomla y Wordpress no son responsabilidad del administrador del servidor, a mi lo que me preocupa es que se han ejecutado scripts que sacaban información de otras cuentas, creo que ahí hay un problema.. no?

 

Definitivamente, ese servidor ha sido comprometido y se puede considerar que toda la información almacenada en él ha sido expuesta (emails, contraseñas, cuentas FTP, etc).
Además, es posible que quede "algo" de infección en el servidor, aún sin identificar, lo que hace suponer que es un peligro latente.

Para que no vuelva a suceder, deberás partir de un servidor 100% fiable (no infectado o hackeado). Y en este nuevo servidor deberías implementar las medidas de seguridad necesarias para que no se puedan ejecutar ataques de este tipo, de forma que aunque existan aplicaciones vulnerables, no se puedan hackear, al menos de forma tan sencilla.

Para ello necesitarás un "web application firewall" como puede ser modSecurity. Y como recomendación personal, prueba también con el ConfigServer eXploit Scanner (http://configserver.com/cp/cxs.html)

 

Hola,

Esto es lo que pasa por no actualizar y securizar los CMS que con google hacking te lanzan un 0day automatizado y te zumban el sitio. Por mucha seguridad que tengas en tu servidor si no securizas los CMS adecuadamente y no los actualizas es culpa tuya y no del proveedor.

Salu2,

 

Me parece un poco exagerado decir que un servidor está comprometido sin tener más información del caso y sin tener datos de la configuración del mismo, sin embargo y por el contrario si que se ha hecho mención del nulo mantenimiento de los aplicativos por parte de ese usuario. Lo cierto es que un Joomla o un Wordpress sin actualizar y sin estar correctamente configurado es una bomba de relojería, como cualquier aplicación.

Atentamente,

 

No es exagerado en absoluto, es la denominación común en estos casos.
Si un tercero ha tenido acceso al servidor y a todos sus datos y además ha podido ejecutar código arbitrario, definitivamente tanto el servidor como su información han sido comprometidos, y aun no sabemos si ha habido elevación de permisos.

¿Te atreverías tú a asegurar que en este caso los daños son conocidos y están asegurados? ¿o que no han accedido a contraseñas de correo, bases de datos y hasta FTP que estén en las aplicaciones o en las bases de datos? Pues eso es lo que significa.

 

Es exagerado en cuanto que Silviachovar no ha indicado en ningún momento que hayan tenido acceso a su máquina como root, sería importante que pudiera aclarar ese punto para saber de lo que estamos hablando. Solo ha indicado que han hackeado su wordpress y que han accedido a su contenido web puntual. Al menos esa es la lectura que yo saco de todo esto y a mi me da que es el password lo que han comprometido; por mi experiencia en la mayoría de los casos el usuario no guarda el password en lugar seguro o incluso lo expone fuera de toda lógica, no sigue un standard de seguridad mínimo y tampoco lo cambia habitualmente, no actualiza sus aplicativos o instala plugin vulnerables. Creo que por ahí van los tiros.

Que lo aclare y si me equivoco entonces yo mismo pasaré a otro plano o teoría de conspiración

Atentamente,

 

Buenas.. no, no han accedido a la máquina como root.. De hecho yo no puedo acceder como root, sólo como reseller.. Es un tema de que han subido un script a una web con un wordpress sin actualizar, y dicho script ha recopilado información de otras cuentas que ha servido para hackear a más wordpress i algún Joomla..
Ahora me comentan que ModSecurity tiene ventajas y inconvenientes, al tener diversidad de aplicaciones distintas podría tener muchos falsos positivos.. como lo veis? Cual es vuestra experiencia con ModSecurity??
Gracias.

 

No me refiero a que accedan a través de SSH con el usuario root, sino a que suban un script que permita hacer una elevación de permisos y ejecute comandos bajo el usuario root.
Respecto a modsec, es una herramienta que hay que instalar, configurar y afinar. Existen interfaces muy buenos para detectar problemas y corregirlos en cada dominio de forma fácil y rápida. Por su relación calidad/precio, es el WAF más recomendable, es casi una obligación tenerlo instalado.

 

Si el servidor es administrado y tiene correctamente asegurado el directorio /tmp /dev/shm y las disable functions de php que suban un php shell para elevar privilegios de nada sirve o al menos que yo sepa.

Salu2,