¿Qué es una puerta trasera?
Una puerta trasera maliciosa es un código que permite el acceso no autorizado y a menudo sin restricciones a un sitio comprometido. Permiten a los atacantes acceder a todos los archivos de la cuenta de alojamiento. Las puertas traseras pueden parecer código php normal u ofuscado (intencionadamente oscurecido para que el código sea ambiguo) y oculto. Un backdoor puede ser insertado en un archivo válido como sólo una corta línea de código que parece bastante inocente. O bien, un backdoor puede ser un archivo independiente. El acceso a la puerta trasera permite a un atacante colocar cualquier código malicioso en el sitio. Las puertas traseras se encuentran a menudo en conjunto con otro malware.
Determinar si su sitio está infectado
Las puertas traseras pueden ser difíciles de encontrar ya que a menudo son código ofuscado. Por lo general, si hay una puerta trasera, hay otras que pueden o no parecer iguales. A veces las puertas traseras son scripts de mantenimiento no seguros que se dejan accidentalmente después de un mantenimiento autorizado del sitio.
El propietario de un sitio a menudo no es consciente de que existen puertas traseras en el sitio, sin embargo, si se encuentra cualquier otro malware en el sitio, es probable que también existan muchos archivos de puertas traseras o inyecciones de código, lo que permite a un atacante entrar en el sitio.
Encontrar y eliminar puertas traseras
La eliminación de puertas traseras requiere un análisis del código del sitio. Las puertas traseras se encuentran típicamente dentro de archivos php en el servidor web. Pueden ser insertados en su núcleo, plugin, o archivos de tema, o pueden ser un archivo independiente. Pueden encontrarse en cualquier directorio de acceso público de su servidor al que pueda acceder fácilmente la persona que lo colocó.
Para eliminar la puerta trasera, primero cree una copia de seguridad de los archivos del sitio y de la base de datos. Es útil revisar sus archivos de registro de acceso http sin procesar, ya que el uso del backdoor se realiza normalmente a través de una solicitud HTTP POST a un archivo.
Una cuenta administrativa comprometida puede permitir al atacante utilizar el editor de temas del núcleo para añadir un backdoor al archivo 404 de un tema. De esta manera, cada solicitud a su sitio que genera un mensaje de error 404 sirve una puerta trasera que puede ser utilizada por cualquier persona que sepa que está allí.
La eliminación de la puerta trasera requiere encontrar el código que permite el acceso no autorizado y eliminar ese código. Requiere una comprensión del código que opera su sitio.
Ficheros rogue backdoors
Aquí hay algunos ejemplos de backdoors encontrados como ficheros rogue, o ficheros que no son parte del núcleo del plugin, tema o sistema de gestión de contenidos. Tienen nombres que parecen inocentes o similares a otros archivos del núcleo como xml.php, media.php, plugin.php, etc. y pueden ser colocados en cualquier parte del sitio. El código de un archivo falso podría empezar así:
$t43="l/T6\\:aAcNLn#?rP}1\rG_ -s`SZ\$58t\n7E{.*]ixy3h,COKR2dW = ${$t43.$t43
Es importante no sólo buscar archivos extraños en su sitio, sino examinar cada archivo.
Plugins y temas con puertas traseras
Si una cuenta administrativa se ve comprometida, los atacantes suelen utilizar las capacidades de carga de plugins o temas de un sitio para añadir puertas traseras.
Si se añade un plugin con puertas traseras, puede aparecer o no en su página de administración de plugins. Los archivos de los plugins maliciosos suelen estar ocultos a la vista y sólo son visibles en el sistema de archivos a través de su administrador de archivos o FTP. A menudo se nombran cosas que parecen útiles, como:
- Soporte de WordPress
- Muro de inicio de sesión
- WP zipp
- WP-Base-SEO
Se pueden instalar plugins que parecen plugins normales, nombrados algo así como Akismet3 junto con algunos archivos de Akismet válidos más antiguos pero con código backdoor contenido dentro de los archivos cargados.
También se pueden añadir archivos de temas que contengan backdoors. El tema de WordPress Sketch fue durante un tiempo un tema popular cargado de malware subido con numerosos archivos de puerta trasera dentro de él. El tema puede aparecer en la página de administración de temas, o puede faltar algunos archivos y aparecer en la parte inferior de esa página como un tema inactivo porque le faltan algunos archivos.
Si tiene temas o plugins que no reconoce, elimínelos. Pero también tendrás que revisar el resto de tus archivos. A menudo una puerta trasera es un medio para añadir más puertas traseras en todo el sitio, incluyendo la edición de los archivos del núcleo para añadir la funcionalidad de puertas traseras dentro de ellos.
Inserciones de puertas traseras en archivos del núcleo
Los archivos del núcleo de su Sistema de Gestión de Contenidos pueden tener puertas traseras insertadas en ellos. Pueden añadirse al principio del archivo, al final del archivo y, en algunos casos, intercalados dentro de código válido del propio archivo core.
Este código, o un código parecido, suele añadirse en la parte superior de una página válida.
if (isset($_REQUEST)){$_FILE =$_REQUEST('$_',$_REQUEST.'($_);');$_FILE(stripslashes($_REQUEST));}
Aquí hay otro ejemplo.
Otras puertas traseras están muy ofuscadas y pueden empezar así.
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\
A menudo habrá referencias a FilesMan en algún lugar dentro del archivo del backdoor.
$default_action = "FilesMan";
A veces un backdoor escribe específicamente contenido malicioso en un archivo específico, en este caso, redirige al archivo .htaccess.
Scripts de mantenimiento no seguros
Los scripts de mantenimiento a veces se dejan atrás después de realizar el mantenimiento. Estos scripts son descubiertos posteriormente por los atacantes y explotados. Un script de mantenimiento popular es searchreplacedb2.php que permite el acceso sin restricciones a la base de datos del sitio.
Mirando más allá de la puerta trasera
Las puertas traseras se utilizan más a menudo como un medio para un fin en conjunto con otras páginas maliciosas. Si tiene puertas traseras, lo más probable es que tenga otro malware en su sitio, como páginas de spam, enlaces de spam, operaciones de phishing o redirecciones maliciosas.
Independientemente del tipo de puerta trasera que haya encontrado en su sitio, la gran pregunta es: ¿cómo llegó allí? Puede haber otros tipos de malware o vulnerabilidades de seguridad en su sitio que permitieron a un atacante obtener acceso al sitio. Los atacantes a menudo colocan múltiples puertas traseras, algunas similares, otras diferentes, por lo que es importante una revisión de todo el sitio.
Si después de leer esta guía, no está seguro de cómo eliminar las puertas traseras, si no está seguro de haber eliminado todas ellas, o está buscando más respuestas en cuanto a cómo se colocó el código en su sitio, obtenga ayuda.