Así queda una página hackeada

El otro día navegando por Internet, en busca de plugins para nuestra comunidad hacker, me encontré con esta página (www.tkcoms.co.uk) que aparentemente corresponde a "The dynamic portal engine and content management system For Oxford Bus Photography Club", que pertenece en principio a un club fotográfico.

El mensaje "The dynamic portal engine and content management system" es un slogan estándar del conocido sistema de gestión de contenidos Joomla o Mambo en el que está programado también nuestro portal www.diariodeunhacker.com , lo que demuestra provablemente que la página fue hackeada por una de las vulnerabilidades aparecidas en este CMS (Content Management System) recientemente.

Los hackers se dedican a buscar mediante el buscador Google páginas Web al azar que tengan una característica determinada, como por ejemplo que sean vulnerables a un fallo de seguridad publicado en Joomla que sea relativamente fácil de explotar. Para ello, introducen en Google términos como el Slogan que aparece por defecto en Joomla "The dynamic portal engine and content management system". Un programador poco precavido no ha limpiado esas referencias de la página, y por lo tanto, casi seguro que tampoco ha actualizado la versión de su portal para parchear esas vulnerabilidades publicadas. Se debe limpiar cualquier dato que haga referencia directa al sistema que tienes y especialmente a la versión instalada; en Joomla los hackers buscan el directorio "/administrator" de las páginas, para saber si están hechas en este sistema, ya que utilizan esta denominación para el directorio de Administración del CMS. Así que el hacker prueba los exploits para esas vulnerabilidades y vôila... acceso a su contenido.

En el caso de esta página hackeada, han actuado de forma relativamente ética, ya que han sustituido o modificado la página índice “index” original por otro nuevo en el que se simplemente se muestra mediante el comando HTML (HREF="http://i320.photobucket.com/albums/nn332/aamb92/Flagnicaragua.gif") la bandera de Nicaragua y el nick "NHAXERS TEAM by Charly" de forma que en el código, los buscadores no indexan su nick, ya que está incrustado en la imagen. Lo que sí queda en el contenido de la página es una referencia a la foto en photobucket.com y los términos Nicaragua, Managua y hacked. Esta técnica de hackear páginas web y cambiar su portada, sin ser demasiado agresivos, ni introducir malware en ellas, se denomina"deface" o quitar su cara original.

Si buscais NHAXERS TEAM en Google encontrareis un gran número de páginas "defaceadas" como esta "http://defaced.zone-h.net/defaced/2009/05/14/www.proju.com/php/" o como ésta "http://www.zone-h.org/archive/defacer=Nhaxers%20Team" donde se muestran algunas de sus víctimas y de otros hackers. Este portal es una base de datos con capturas de las páginas "defaceadas" (más de 700) de todo tipo de organizaciones públicas y privadas, además de un blog con sus principales logros. Por cierto, el propio Nhaxer tiene su blog en blogspot: http://nhaxers.blogspot.com/ y un foro de amigos en http://nhaxers.co.cc/.

Este tipo de técnicas como el deface, no se consideran en la comunidad del todo dañinas, ya que alertan a los administradores de los portales sobre sus fallos de seguridad, sin dañar su contenido, aunque en este caso el administrador debe de estar de vacaciones todavía. A los administradores de CMS como Joomla, deben estar suscritos a los boletines periódicos sobre seguridad y vunerabilidades que emiten los propios proyectos y mantenerse actualizados para evitar este tipo de cosas que sin llegar a ser tan dañinas, nos dejan con los colores subidos de la vergüenza.

PS: Hay que hacer copias de seguridad, preferentemente programarlas, y guardar el contenido de esas copias fuera del portal. Recomiendo el Jpack para Joomla que tiene una aplicación remota para realizar copias de seguridad. Hay que actualizar el portal y leer los boletines de seguridad, tanto en el software principal como en los plugins. Borrar las referencias al fabricante y versión, además de instalar un software que nos avise de cambios en la estructura y archivos base del sitio.