Gripe A, Coronavirus, VIH y EMOTET ¿Cómo evitar que accedan a mi servidor?

Byadmin

Gripe A, Coronavirus, VIH y EMOTET ¿Cómo evitar que accedan a mi servidor?

Última actualización: mayo 6th, 2020 - 10:45 pm

Campaña de Bots y Malware: Gripe A, Coronavirus, VIH y EMOTET

Gripe A, Coronavirus, VIH y EMOTET, ¿Cómo evitar que accedan a mi servidor?

Los atacantes aprovechan la oportunidad sobre temas que preocupan a la población mundial enviando correos electrónicos en la modalidad de “Phishing”  con palabras relacionadas con Gripe A, Coronavirus, VIH y términos relacionados con el sector financiero.

Los correos electrónicos enviados simulan ser parte de aseguradoras de salud, instituciones gubernamentales, instituciones financieras, bancos  y hasta de la propia Greta Thunberg. Pueden contener un documento malicioso de Microsoft Word solicitando a los usuarios habilitar el contenido. Una vez que un usuario hace esto permite la ejecución del malware infectando su sistema con la habilitación de una puerta trasera para propagarse en la red.

Para evitar ser víctima de Emotet, se recomienda encarecidamente que los usuarios presten mucha atención a cualquier documento que les pida que habiliten macros.

El malware Emotet  comenzó como un troyano bancario y ahora lo han modificado para que actúe dentro de una red de bots, con lo cual su origen es aleatorio. El malware Emotet persiste en atacar bancos y servicios financiero,  sobre todo en USA y UK.

Ataques Malware, exploits y botnet en América Latina y el Caribe

Según Fortinet Threat Intelligence Insider Latin American el último trimestre de 2019 la región sufrió más de 9 mil millones de intentos de ataque totalizando 85 mil millones en ese mismo año. En Argentina se contabilizaron 1590 millones de ataques a entidades bancarias y de servicio financiero durante este período.

¿Cómo evitar bots maliciosos del lado del servidor?

Recomendaciones para evitar ataques de bots y acceso no autorizado.

    • Para gestores de contenido como WordPress es recomendable instalar Wordfence.
    • Implementar Recaptcha V3 en formularios de contacto, formulario de inicio de sesión y comentarios.
    • Cifrar o cambiar los puertos de servicios: 21 (FTP), 22 (SSH), 3306 (Mysql), 9990 (Jboss), 9200 (Elasticsearch), etc.
    • Implementar fingerprint: Fingerprint o Huella digital es una solución práctica para identificar automáticamente a cada visitante de nuestra Web o aplicación.
      Fingerprint toma en cuenta características de dispositivo móvil o computadora, resolución de pantalla, movimiento del cursosr, teclado virtual, navegador, sistema operativo y su modelo, tiempo promedio de sesión para luego triangular esta información y generar un hash único por cada usuario.
      Para entidades financieras una excelente idea es asociar el hash generado por fingerprint con el id del usuario (Creado por la aplicación de la entidad financiera).
      Aunque el atacante logre con éxito operar en una cuenta de usuario, se puede interceptar la operación fraudulenta mediante el historial de visita con datos de fingerprint.
    • Bloquear ataques xmlrpc: Agregar las directivas en el archivo .htaccess
       Require all denied
      
      

      También se puede bloquear el acceso por dirección IP.

        Order deny, allow
        Deny from all
        Allow from 8.8.8.8
      
      
    • A nivel de capa de red, implementar listas de control de Acceso (ACL). Ejemplo para denegación en Routers CISCO:
      (config)#access-list 105 permit 10.5.4.0 0.0.0.255 host 10.5.64.30 eq 80
      (config)#access-list 105 permit host 10.5.3.37 10.5.64.0 0.0.63.255
      (config)#access-list 105 deny 10.5.3.0 0.0.0.255 any
      
    • Denegación de bots utilizando Varnish:
      cd /opt/bitnami/apache2/logs/
      tail -n 10000 access_log | awk '{print $1}'| sort| uniq -c| sort -nr| head -n 10
      

      Para denegar el acceso a una red específica editar el archivo opt/bitnami/varnish/etc/varnish/default.vcl y agregar la dirección IP del atacante. En el ejemplo deniega el ingreso a la máscara de red 1.2.3.4/24.

      acl forbidden {
            "1.2.3.4"/24;
      }
      

      Agregar directiva para vcl.

      sub vcl_recv {
      ...
        if (client.ip ~ forbidden) {
          return(synth(403, "Forbidden"));
        }
      ...
      }
      

      Reiniciar Varnish.

      sudo /opt/bitnami/ctlscript.sh restart varnish
      
    • Para todos los servidores sin importar el gestor de contenido (WordPress, Joomla, Drupal o servidor personalizado) es recomendable agregar directivas en el archivo .htaccess como las detalladas a continuación:
      RewriteEngine On
      RewriteCond %{QUERY_STRING} (eval\() [NC,OR]
      RewriteCond %{QUERY_STRING} (127\.0\.0\.1) [NC,OR]
      RewriteCond %{QUERY_STRING} ([a-z0-9]{2000}) [NC,OR]
      RewriteCond %{QUERY_STRING} (javascript:)(.*)(;) [NC,OR]
      RewriteCond %{QUERY_STRING} (base64_encode)(.*)(\() [NC,OR]
      RewriteCond %{QUERY_STRING} (GLOBALS|REQUEST)(=|\[|%) [NC,OR]
      RewriteCond %{QUERY_STRING} (<|%3C)(.*)script(.*)(>|%3) [NC,OR]
      RewriteCond %{QUERY_STRING} (\|\.\.\.|\.\./|~|`|<|>|\|) [NC,OR]
      RewriteCond %{QUERY_STRING} (boot\.ini|etc/passwd|self/environ) [NC,OR]
      RewriteCond %{QUERY_STRING} (thumbs?(_editor|open)?|tim(thumb)?)\.php [NC,OR]
      RewriteCond %{QUERY_STRING} (\'|\")(.*)(drop|insert|md5|select|union) [NC]
      RewriteRule .* - [F]
       
      RewriteCond %{REQUEST_METHOD} ^(connect|debug|delete|move|put|trace|track) [NC]
      RewriteRule .* - [F]
      
      RedirectMatch 403 (?i)([a-z0-9]{2000,})
      RedirectMatch 403 (?i)(https?|ftp|php):/
      RedirectMatch 403 (?i)(base64_encode)(.*)(\()
      RedirectMatch 403 (?i)(=\\'|=\%27|/\\'/?)\.
      RedirectMatch 403 (?i)/($(\&)?|\*|\"|\.|,|&|&?)/?$
      RedirectMatch 403 (?i)(\{0\}|\(/\(|\.\.\.|\+\+\+|\\"\\")
      RedirectMatch 403 (?i)(~|`|<|>|:|;|,|%|\|\s|\{|\}|\[|\]|\|)
      RedirectMatch 403 (?i)/(=|$&|_mm|cgi-|etc/passwd|muieblack)
      RedirectMatch 403 (?i)(&pws=0|_vti_|\(null\)|\{$itemURL\}|echo(.*)kae|etc/passwd|eval\(|self/environ)
      RedirectMatch 403 (?i)\.(aspx?|bash|bak?|cfg|cgi|dll|exe|git|hg|ini|jsp|log|mdb|out|sql|svn|swp|tar|rar|rdf)$
      RedirectMatch 403 (?i)/(^$|(wp-)?config|mobiquo|phpinfo|shell|sqlpatch|thumb|thumb_editor|thumbopen|timthumb|webshell)\.php
       
      SetEnvIfNoCase User-Agent ([a-z0-9]{2000}) bad_bot
      SetEnvIfNoCase User-Agent (archive.org|binlar|casper|checkpriv|choppy|clshttp|cmsworld|diavol|dotbot|extract|feedfinder|flicky|g00g1e|harvest|heritrix|httrack|kmccrew|loader|miner|nikto|nutch|planetwork|postrank|purebot|pycurl|python|seekerspider|siclab|skygrid|sqlmap|sucker|turnit|vikspider|winhttp|xxxyy|youda|zmeu|zune) bad_bot
      Order Allow,Deny
      Allow from All
      Deny from env=bad_bot
       
      Order Allow,Deny
      Allow from All
      # Descomentar para agregar ip atacante
      # Deny from 23.202.225.253
      

Desde Posicionamiento Web SEO hemos automatizado la implementación de todas estas medidas de seguridad

¿Necesitas implementar estas medidas de seguridad? ¿Necesitas posicionar tu sitio Web en Google?Contactanos

 

About the author

admin administrator

Leave a Reply