Viviendo con una web Hackeada

viviendo con una web hackeada

Hoy vamos a hablar de algo que nos sucedió hace unas semana, algo que suele ser muy común muchas veces, puede ser porque alguien quiere hacer caer el posicionamiento de tu web y hace este tipo de práctica enfocadas hacia tu web, o por el hecho que hayas sufrido un ataque de seguridad en tu web.

Tabla de contenido

Hace una semana un cliente nos indicó que quería alojarse con nosotros, nos supo decir que su web pasaba caída últimamente, así que procedimos a revisar la web del cliente que estaba alojada en otro proveedor y solamente tenia instalado WordPress en ella, no tenía nada más, si le dábamos clic en alguna otra parte de la web automáticamente nos mostraba un mensaje que la base de datos no se encontraba disponible.

Simplemente era una web totalmente nueva, el dominio apenas tenía 2 meses de haber sido adquirido y solo se habia montado el WordPress en el y no habia nada más, el proveedor le habia contestado que la web recibía muchas peticiones, por eso se sobrecargaba y se caía, el proveedor le recomendó aumentar a un plan superior, así que el cliente nos contactó para saber si nuestros planes soportaban dicha web.

Cuando comenzó la pesadilla 😖

Procedimos a crear una cuenta de cPanel para nuestro cliente y le indicamos que realice el cambio de DNS hacia nuestros servidores, cabe recalcar que ha sido una de las propagación más extensas que hemos tenido, fueron alrededor de 16 horas para que se termine la propagación y el dominio apunte a nuestros servidores.

Aquí comenzó la pesadilla.

Revisamos el cPanel que habíamos creado y nos dimos cuenta que los recursos de CPU y memoria estaban al 100% sin tener nada instalado aún, solamente estaba creado el portal, no existía nada de nada, desde este momento sabíamos que estaba pasando algo con este dominio en específico, comenzamos a revisar y nos dimos cuenta que estaba recibiendo muchas peticiones, por lo cual pensamos que era una especie de ataque DDoS específicamente a este dominio.

Lógicamente esto nos podía afectar si lo mesclábamos con los demás cliente y hacer que las demás web se vean afectadas en rendimiento por este cliente nuevo, por lo cual decidimos migrarlo a un servidor nuevo que estábamos montando en esos días, procedimos migrar esta web al server Zeus y le dimos el doble de recursos y nuevamente estos llegaban al 100%.

Después de esto deducimos que estaba siendo atacado este dominio, cual era la razón no lo sabíamos, por esto procedimos a poner el dominio tras Cloudflare y esperar unas horas para ver que estaba filtrando el Firewall, así pudimos ver que se estaban recibiendo miles de peticiones hacia ese dominio desde diferentes partes del mundo.

ataque DDoS

La web estaba orientada al público objetivo de Ecuador, por lo cual no era lógico que este recibiendo búsquedas de gente de Japón según los datos que nos daba Cloudflare, por esta razon procedimos a bloquear las peticiones desde Japón y otro paises conocidos por hacer ataques de DDoS como Rusia, India, China. Haciendo esto pudimos notar que ya teníamos menos tráfico, pero aún seguían existiendo peticiones hacia la web.

Seguimos revisando y ahora comenzó a llegar muchisimas peticiones desde EEUU, por lo cual procedimos a bloquear EEUU y el tráfico de la web y los recursos se regularizó, pero nos pareció muy raro aquello y aparte que no es recomendado bloquear el tráfico desde EEUU según las buenas normas de Cloudflare que las puedes leer aquí.

Sabíamos que la solución no era bloquear todo el tráfico recibido desde EEUU, así que pensamos en comenzar a bloquear las IPs de donde recibia muchas peticiones esta web, y cuando comenzamos a revisar nos llevamos una gran pero gran sorpresa.

Recibíamos miles y miles de visita desde Google, al parecer Google quería indexar a como sea esa web, pero lo más raro fue al revisar que Google trataba de indexar páginas que no existían ni habían existido.

A cada momento comenzamos a descubrir más y más cosas sobre este dominio, hicimos la búsqueda mediante nuestro navegador favorito a la ruta que trataba de indexar Google y esta automáticamente nos redirigía a una website en Japonés, sin duda esta web había sido hackeada en algún momento y mediante aquello habían creado paginas que redirigían hacia ciertas web en Japón.

Lastimosamente el usuario nos comentó que despues de adquirir el dominio le instaló una plantilla que encontró en internet, pero a los dos días existían problemas en dicha plantilla, por lo cual la desinstaló y de allí no volvió a revisar la web hasta que se dio cuenta de este problema que la web pasaba caída.

Conociendo de que habian páginas que estaba redirigiendo hacia otras web quisimos hacerle un site: al dominio para ver que habia indexado, y que les diré, miren ustedes mismo.

Existían alrededor de 292000 páginas indexadas de las cuales solo 1 era en español y todas las demás eran en Japonés, cada una de estas redirigía a web diferentes, esta era la razón por la cual Google hacia peticiones a tal punto que pensábamos que era un ataque DDoS.

Si hubiésemos tenido la web el trabajo hubiese sido comenzar a revisar a tal punto de ver donde era el hueco de seguridad, corregirlo, quizas nos hubiese tomado mucho más tiempo esto, pero al ser un dominio nuevo y que no tenia contenido lo que decidimos fue mandar a desindexar todo desde el Google Search Console.

Nos dimos cuenta que todas las páginas creadas terminaban en .htm por lo cual creamos una regla en Cloudflare que detecte toda petición que contenga .htm y las bloquee.

Con esta regla en el Firewall comenzamos a bloquear todas estas peticiones huérfanas que Google trate de rastrear y que no nos sobrecargue el hosting. Después de esto los recursos a nivel del cPanel se estabilizaron y el cliente comenzó a trabajar nuevamente en su web desde cero.

Al finalizar esto solo queremos recomendarte que no uses plantillas o recursos que encuentres en internet gratis, no saben el gran dolor de cabeza que pueden causar o dañar el trabajo de años en tan solo minutos.

Feliz Web.