Limpiar y mantener el sitio

Para mantener tu sitio limpio y evitar hackeos en el futuro, necesitarás lo siguiente:

  • Acceso de administrador de shell o terminal a los servidores de tu sitio: web, base de datos, archivos
  • Conocimientos sobre comandos de shell o terminal
  • Comprender código (como PHP o JavaScript)
  • Storage para crear copias de seguridad de tu sitio, incluidos los archivos, la base de datos, imágenes

Acciones siguientes

Abordaremos varias acciones en este paso:

  • Dónde encontrar recursos adicionales si crees que el hacker tenía la intención de obtener estadísticas de los usuarios información personal (como páginas de phishing).
  • La opción Quitar URLs en Search Console para acelerar la eliminación de contenido nuevo, URLs visibles para el usuario que creó el hacker y que no quieres que aparezcan. Resultados de la Búsqueda de Google
  • La opción para Pídele a Google que vuelva a rastrear tus URLs en Search Console para acelerar el procesamiento de páginas limpias por parte de Google es decir, las páginas que son nuevas o las que se actualizaron recientemente, las que quieres aparecerán en los resultados de la Búsqueda de Google.
  • Instalación de la versión más reciente y segura del software.
  • Eliminación de aplicaciones o complementos innecesarios o sin usar que podrían hacer que tu sitio sea más vulnerable en el futuro.
  • Restablecer buen contenido y eliminar el contenido del hacker
  • Corregir la vulnerabilidad de causa raíz que aprovechó el hacker
  • Cambiando todas las contraseñas.
  • Planeas mantener la seguridad de tu sitio.

1. Encuentra recursos de asistencia

Si se obtuvo información confidencial del usuario de su sitio (por ejemplo, debido a que fue parte de un ataque de phishing), recomendamos que consideres responsabilidades empresariales, reglamentarias o legales antes de comenzar a limpiar tu sitio ni borrar archivos. En casos de phishing, antiphishing.org tiene recursos útiles, como los siguientes: su documento Qué hacer si tu sitio ha sido hackeado y suplantadores de identidad.

2. Considera la posibilidad de acelerar la eliminación de las URLs nuevas que haya creado el hacker.

Si el hacker creó URLs totalmente nuevas y visibles para los usuarios, puedes usar estas páginas quitadas más rápido de los resultados de la Búsqueda de Google con el Cómo quitar URLs de Search Console. Este paso es opcional. Si solo borras las páginas y configura tu servidor para que muestre un estado 404 código, con el tiempo, las páginas saldrán del índice de Google.

  • La decisión de utilizar la Eliminación de URL probablemente dependerá de la cantidad de URL nuevas, las páginas no deseadas creadas (puede resultar engorroso incluir demasiadas páginas en las URLs), así como el daño potencial que estas páginas podrían causar a los usuarios. Para evitar que las páginas enviadas a través de la Eliminación de URL aparezcan en en los resultados de la búsqueda, asegúrate de que las páginas también estén configuradas para mostrar un error 404 Respuesta de archivo no encontrado para las URL no deseadas y eliminadas.
  • No uses esta herramienta para solicitar la eliminación de páginas que antes eran buenas y que solo sufrió daños por el hacker. Querrás que estas páginas aparezcan en resultados de la búsqueda una vez que se hayan limpiado. La eliminación de la URL es solo para las páginas que nunca querrás aparecer en los resultados.

3. Considera acelerar el procesamiento de las páginas limpias que realiza Google

Si tienes páginas limpias nuevas o actualizadas, puedes hacer lo siguiente: Pídele a Google que vuelva a rastrear tus URLs en Search Console para enviar estas páginas al índice de Google. Este es opcional; Si omites este paso, es probable que tus páginas nuevas o modificadas rastrean y procesan con tiempo.

4. Comienza a limpiar tus servidores

Ahora es el momento de comenzar a limpiar el sitio según las notas que tomaste en la sección Evaluar el daño y Identifica la vulnerabilidad. El ruta que elijas en este paso dependerá del tipo de copia de seguridad que tengas disponible:

  • Copia de seguridad limpia y actual
  • Copia de seguridad limpia pero desactualizada
  • No hay copias de seguridad disponibles

Primero, verifica que la copia de seguridad se haya creado antes del hackeo de tu sitio.

Copia de seguridad limpia y actual

  1. Restablece tu copia de seguridad.
  2. Instala las actualizaciones de software, las actualizaciones o los parches disponibles. Esto incluye si controlas el servidor y todas las aplicaciones, como el sistema de administración de contenido, la plataforma de comercio electrónico, los complementos o las plantillas.
  3. Considera quitar de tu servidor el software que el sitio ya no usa (como widgets, complementos o aplicaciones) .
  4. Corrige la vulnerabilidad.
  5. Asegúrate de que todos los problemas detectados durante la evaluación de los daños las vulnerabilidades relacionadas con el contenido.
  6. Cambiar las contraseñas de todas las cuentas relacionadas con el sitio una vez más (p.ej., accesos para FTP, acceso a bases de datos, administradores de sistemas y cuentas de CMS). En sistemas basados en Unix:
passwd admin1

Copia de seguridad limpia pero desactualizada

  1. Crea una imagen de disco de tu sitio actual, aunque todavía esté infectado. Este texto es solo por seguridad. Marca la copia como infectada para distinguirla. de los demás. En un sistema basado en Unix, crear una imagen de disco podría ser de la siguiente manera:
dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz
  1. Crea una copia de seguridad del sistema de archivos de copia de seguridad de tu servidor, incluidas las imágenes y el contenido multimedia archivos. Si tienes una base de datos, también crea una copia de seguridad de la base de datos.
tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql
  1. Restablece la copia de seguridad limpia pero desactualizada en tu servidor.
  2. Considera la posibilidad de eliminar software de tu servidor (p.ej., widgets, complementos o aplicaciones) que el sitio ya no usa.
  3. Actualiza todo el software, incluso el SO, si tienes el control del servidor. y todas las aplicaciones de software, como el sistema de administración de contenido, de la plataforma de comercio electrónico, los complementos y las plantillas. Asegúrate de verificar e instalar actualizaciones y parches de seguridad disponibles.
  4. Corrige la vulnerabilidad.
  5. Realiza un diff para el sitio, ya sea manualmente o de forma automática. entre la copia de seguridad limpia y la copia infectada actual.
diff -qr www/ backups/full-backup-20120124/
  1. Sube cualquier contenido nuevo y limpio que quieras conservar de la copia infectada en el servidor actualizado.
rsync -avz /backups/full-backup-20120124/www/clean-file.jpg /www/
  1. Verifica que cada URL de la sección Evalúa los daños que se solucionó.
  2. Cambiar las contraseñas de todas las cuentas relacionadas con el sitio una vez más (p. ej., accesos para FTP, acceso a bases de datos, accesos de (administradores) y cuentas de CMS). En sistemas basados en Unix:
$passwd admin1

No hay copias de seguridad disponibles

Haz dos copias de seguridad del sitio, aunque todavía esté infectado. Tener un presupuesto la copia de seguridad te ayudará a recuperar el contenido borrado por accidente o te permitirá revertirlo e intentar de nuevo si todo sale mal. Etiqueta cada copia de seguridad como “infectada” para consultarla en el futuro.

Una de tus copias de seguridad será una imagen de disco o una “versión clonada” de tu sitio. Esta facilita aún más el restablecimiento del contenido. Puedes dejar la imagen de disco a un lado en caso de una emergencia. En un sistema basado en Unix, usa el siguiente código para crear un disco imagen:

dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz

La otra copia de seguridad será una copia del sistema de archivos de tu servidor, incluidas las imágenes. y archivos multimedia. Si tienes una base de datos, también crea una copia de seguridad de la base de datos.

tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql

Si no tienes una imagen de disco, haz dos copias de seguridad de la base de datos y dos copias de seguridad. del sistema de archivos.

Para limpiar el contenido del sitio en la nueva copia del sistema de archivos de copia de seguridad (no en el servidor) haz lo siguiente:

  1. Si tu investigación anterior encontró permisos de archivo demasiado flexibles, continúa y corregirlos. Asegúrate de hacer esto en la copia de seguridad y no en el servidor a sí mismo.
  2. Además, en la copia de seguridad, borra todos los archivos correspondientes a las URLs descubiertas. como vulnerado en Evalúa el daño. Estos pueden ser archivos de configuración del servidor, JavaScript, HTML o PHP.
  3. Asegúrate de quitar también (entrega una respuesta 404) los nuevos archivos creados por el hacker, que hayas enviado o no con la Herramienta de eliminación de URL. en Search Console.
  4. Corrige la vulnerabilidad si existe en tu código o contraseñas rotas. Las bibliotecas de validación de entrada o las auditorías de seguridad pueden ser útiles.
  5. Si tu sitio tiene una base de datos, empieza a limpiar los registros modificados por hackers en tu copia de seguridad. Antes de que pienses que terminaste, revisa más para garantizar que la base de datos se vea limpia.
  6. Cambia las contraseñas una vez más en todas las cuentas relacionadas con el sitio (para por ejemplo, accesos para FTP, acceso a bases de datos, administradores de sistema y cuentas de CMS). En los sistemas basados en Unix, usa el siguiente código:
$passwd admin1

En este punto, la copia de seguridad de tu sitio que se haya infectado debe contener solo datos limpios. Mantén esta copia limpia en el costado y pasa a la acción n.o 5.

5. Quita el software innecesario

Considera la posibilidad de quitar software de tu servidor, como widgets, complementos o aplicaciones que el sitio ya no usa. Esto puede aumentar y simplificar el mantenimiento futuro.

6. Limpiar todos los servidores

  1. Realiza una instalación limpia, no solo una actualización. Las actualizaciones pueden dejar archivos de una versión anterior. Si un archivo infectado permanece en el servidor, tu sitio tiene más probabilidades de ser hackeado.
    • La instalación nueva debe incluir el SO si tienes el control de el servidor y todas las aplicaciones de software, como el contenido plataforma de comercio electrónico, complementos y plantillas. Asegúrate de que para buscar actualizaciones y parches de seguridad disponibles.
  2. Transfiere el contenido bueno de la copia limpia del sistema de archivos de la copia de seguridad al servidores recién instalados. Sube y restablece solo la limpieza conocida archivos o bases de datos. Asegúrate de mantener los permisos de archivo adecuados y los archivos del sistema instalados recientemente.
  3. Realice un último cambio de contraseñas para todas las cuentas relacionadas con el (p.ej., accesos para FTP, acceso a bases de datos, administradores de sistemas, y cuentas de CMS). En los sistemas basados en Unix, usa el siguiente código:
passwd admin1

7. Crea un plan de mantenimiento a largo plazo

Te recomendamos que hagas lo siguiente:

  • Realiza copias de seguridad del sitio de forma automática y periódica.
  • Mantente alerta a mantener el software actualizado.
  • Comprender las prácticas de seguridad de todas las aplicaciones, complementos y otros software de terceros antes de instalarlos en tu servidor. Un valor una vulnerabilidad en una aplicación de software puede afectar la seguridad de tu todo el sitio.
  • Aplicar de manera forzosa la creación de contraseñas seguras
  • Mantener seguros todos los dispositivos utilizados para acceder a la máquina (sistema operativo actualizado sistema y navegador).

8. Vuelve a verificar que se haya completado la limpieza

Asegúrate de responder "sí" a las siguientes preguntas:

  • ¿He tomado las medidas adecuadas si el hacker obtuvo personal específica?
  • ¿Mi sitio ejecuta la versión más reciente y segura del software?
  • ¿He eliminado todas las aplicaciones o complementos innecesarios o sin uso que podrían hacer que mi sitio sea más vulnerable en el futuro?
  • ¿Restablecí mi contenido y borré el del hacker?
  • ¿Corregí la vulnerabilidad de la causa raíz que permitió que hackearan mi sitio?
  • ¿Tengo un plan para proteger mi sitio?

Ahora puedes volver a publicar tu sitio en línea.