Rogue MCOS : ¿Una amenaza para nuestra web?
Hace muy poco, mientras me encontraba navegando, me encontre con un aviso de alerta del AVG (para quienes no lo saben, avg es un antivirus de distribución gratuita), el mensaje decia que la pagina que estaba visitando contenia un riesgo a la seguridad para mi computadora, que el acceso a dicha pagina habia sido bloqueado por tal motivo entre otras cosas más.
Normalmente cuando me encuentro con este tipo de mensajes salto a otra pagina y listo, es decir evito entrar, pero en esta ocasión la pagina afectada era mi propia web, asi que de todas maneras debia involucrarme y buscar respuesta a preguntas como ¿Como?, ¿Cuando?, ¿Por que?, en fin…
Bien AVG indicaba q esta frente a una “vulneración rogue MCOS (type 1041)”, esto significaba que de algún modo alguien o algo habia accedido via ftp a mi server y modificado el contenido de mis archivos .htaccess para agregar un código malicioso que atrapa los datos de usuario y contraseñas que se introduzcan en mis formularios, para luego enviar la información a la web de un tercero. Efectivamente estaba frente a un spy (espia).
Mi primera acción fue ubicar los archivos .htaccess infectados, examinar el código y ver a donde es que se redirigía la información y encontré que terminaba en esta url http://ns2.sxm22.com, con whois.domaintools.com pude conocer algunos datos del supuesto responsable, asi que con esa información lo primero que hice fue dar parte a mi proveedor de hosting para que tomen las acciones necesarias a fin de depurar los servers de esta amenaza y posteriormente procedi a limpiar los archivos infectados y obviamente a cambiar mis contraseñas.
Ahora bien, aún tenia una pregunta por responder, como consiguio acceder este atacante por ftp a mi servidor, pues sólo se me ocurre que por ahí debe pulular algún troyano o spyware que una vez que logra descargarse en nuestras pcs lo primero q haces es buscar en nuestros programas de ftp (filezilla) la información de los servers a los q tenemos acceso desde nuestras pcs. Procedí a hacer un rastreo profundo con AVG Free, Malwarebytes y encontre varios bichos ocultos y les di fin.
Un consejo hasta de un conejo, siempre es recomendable implementar MD5 en nuestras web para gestionar (encriptar) con un poco más de seguridad los accesos de nuestros usuario. Conmigo será hasta una proxima oportunidad.
