Jossemar[Nombre de la empresa] Trujillo

Plan de Contingencia

Sistema Mambo

Plan de ResilienciaEl primer paso debe ser contactar al proveedor de alojamiento web, 000webhost.com que es nuestro hosting, en caso de que ya no podamos tener acceso a nuestros servicios. A menudo ellos pueden hacerse cargo de los aspectos más técnicos. Pues, muchos utilizan alojamiento compartido, que puede dificultar algunas de las cosas enumeradas a continuación.

En caso de que se tenga control absoluto del servidor, recomendamos cubrir estos cuatro puntos básicos:

Sitio temporalmente fuera de servicio Poner el sitio fuera de servicio temporalmente, al menos hasta que hayan

arreglado las cosas. Si no se puede ponerlo fuera de servicio temporalmente, hacer que

devuelva un código de estado 503 para evitar que se indexe. En las Herramientas para webmasters, utiliza la herramienta de solicitud de

eliminación de URL para eliminar cualquier página hackeada o URL de los resultados de búsqueda que se hayan podido añadir. Esto evitará que se muestren páginas hackeadas a los usuarios.

Evaluación de los daños Es una buena idea saber qué buscaba el hacker.

o ¿Buscaba información delicada?o ¿Quería hacerse con el control del sitio con otros propósitos?

Buscar cualquier archivo que se haya cargado o modificado en el servidor web.

Buscar cualquier actividad sospechosa en los registros del servidor, como, por ejemplo, intentos fallidos de inicio de sesión, historial de comandos (especialmente como raíz), cuentas de usuario desconocidas, etc.

Determina el alcance del problema. ¿Se tiene otros sitios que también puedan verse afectados?

Recuperación Lo mejor que se puede hacer es una reinstalación completa del sistema

web, operativo o cualquiera otro, realizada desde una fuente de confianza. Es la única manera de estar totalmente seguros de que se ha eliminado todo lo que el hacker haya podido hacer.

Tras la reinstalación, utilizar la última copia de seguridad para recuperar los sitios. Asegurarse de que la copia de seguridad esté limpia y libre de contenido hackeado.

Instalar las últimas versiones de parches de software. Esto incluye cosas como por ejemplo plataformas de weblogs, sistemas de gestión de contenido o cualquier otro tipo de software de terceros instalado.

Cambiar las contraseñas. Recuperación de la presencia en línea

Volver a poner el sitio web en línea.

Si el sitio se ha marcado como malware, solicitar una revisión para determinar si está limpio.

Si se ha utilizado la herramienta de solicitud de eliminación de URL para URL que deseas tener indexadas, solicitar que se reincluya el contenido revocando la solicitud de eliminación.

Vigilar todo, ya que el hacker podría querer volver.

Riesgos de vulnerabilidad

Las vulnerabilidades son agujeros de seguridad por donde el hacker puede introducirse de alguna manera en el sistema y luego utilizar estas vulnerabilidades mismas para propósitos con malas intenciones. Aquel medio o herramienta que le permite al hacker introducirse clandestinamente en un sitio web o servidor se le llama “EXPLOIT”. Esto puede ir desde sencillas ejecuciones de códigos por URL hasta la programación de complejos scripts en PHP utilizados remotamente para vulnerar el sitio Mambo, y se puede dar por lo siguiente:

1. Si se tiene los datos de conexión FTP almacenados localmente en una computadora (lo cual es muy probable), alguien puede robarse los datos utilizando algún tipo de troyano, spyware, entre otros. En muchas ocasiones el abuso se comete por medio del robo de información FTP almacenada localmente, y puede ser únicamente el hackeo de tu archivo index que fue sobreescrito o algún tipo de ataque más virulento y dañino, como el robo de información o envío masivo de emails.

La solución en este caso es revisión periódica de la computadora con antivirus actualizado, escaneo total. Igualmente, el antivirus debe proteger en tiempo real, un antivirus colocado en su nivel medio o alto de configuración, nunca en el bajo.

Otro punto importante es no accesar a la cuenta de hospedaje web desde máquinas comprometidas, como un café internet, por ejemplo, o máquinas que no cuenten con protección visible. Lo mejor es acceder desde las máquinas protegidas siempre que sea posible.

Otro aspecto de protección es cambiar el password de los FTPs de manera frecuente y observar las reglas de un password seguro: mínimo 8 caracteres, con letras, números y signos incluidos en él.

2. Una posibilidad de fuente de hackeo es que alguien que tiene acceso a los datos los utilizó para hacer el daño. Este caso es bastante similar al primero y la solución aquí es sin duda el cambio inmediato de los passwords de los FTPs, cambio de password del panel de control, y de las cuentas de correo.

3. Si se utiliza scripts del tipo Joomla, etc, para conformar tu sitio, el daño pudo realizarse a través de varios métodos. Algunos de esos métodos son database injection, inclusión remota de archivos, entre otros.

El problema aquí es que todas estas aplicaciones son de código abierto, y cualquiera puede tener acceso a su código, lo que permite a los hackers encontrar agujeros de seguridad, específicamente es aplicaciones que no son actualizadas de manera frecuente. Otro punto de alerta es la inclusión de módulos, componentes o plugins de origen incierto y que no se actualizan nunca, ya sea por el desarrollador o por el usuario dueño del sitio.

Si se utiliza algún script open source/código abierto se debe verificar que se tiene instaladas las actualizaciones últimas del script como tal, de todo componente adicional como módulos o plugins, incluyendo los temas. Es muy importante que veas los comentarios realizados por otros usuarios sobre el módulo o plugin que quieras instalar, y confirmar que son positivos y que el módulo tiene mantenimiento y actualización por parte de quienes lo generan, de lo contrario no vale la pena instalarlo, es probable que se convierta en un boquete de inseguridad.

Recomendaciones de Seguridad1. Descarga Mambo sola y únicamente de los sitios oficiales: http://mamboforge.net

2. No instalar componentes o módulos con poca fama, o sin soporte. El core del sistema puede ser impenetrable, pero si se instala algún addon vulnerable, se vuelve vulnerable todo.

3. Hacer back up periódicamente tanto de la base de datos como de los archivos

4. Mantener actualizado el sistema con la última versión. Al momento de descubrirse una vulnerabilidad es muy corto el tiempo en el cual se desarrolla un parche o arreglo para la misma. Si tienes el sistema actualizado y/o parcheado con los últimos patches disminuyes notablemente la probabilidad de que hackeen el site.

5. Utilizar .htaccess para controlar los accesos, y para proteger con contraseña el directorio /administrator/ (HTTP Authentication)

6. Utilizar servicios online de detección y alertas contra hackers, por ejemplo, El sitio “Is it hacked?” ofrece un análisis gratuito como también un servicio de monitoreo al que se puede suscribir.

7. Investigar y conocer muy bien el funcionamiento de usuarios y permisos en el sistema. No otorgar permisos innecesarios de escritura a cualquier archivo o directorio. Hacer no escribible el archivo configuration.php luego de hacer cambios.

8. Utilizar componentes SEFs avanzados para enmascarar las verdaderas URLs de Mambo.

9. Evitar utilizar nombres o contraseñas “fáciles” de adivinar o de vulnerar mediante “fuerza bruta”. Nunca utilizar las mismas contraseñas y usuarios para FTP y para las bases de datos (esto último es muy peligroso). Evitar utilizar “admin” y “admin” para el ingreso al administrador del sistema.

10. Contratar hostings profesionales, donde conocen a fondo y dan mucha importancia al tema de la seguridad. La configuración de PHP es vital aquí: Registros globales

desactivados, modo seguro, activación de comillas mágicas GPC, ejecución de shell deshabilitado para PHP, etc.

11. Deshabilitar el reporte de errores de PHP, hasta cuando necesites identificar problemas únicamente.

Estado actual de Mambo