Como evitar de una forma rápida que tu sitio osCommerce sea atacado

Durante los dos últimos meses, los sitios web basados en osCommerce han sido objeto de un ataque masivo por parte de hackers.  Una gran mayoría de los ataques recibidos por sitios web osCommerce se solucionarían actualizando la aplicación a la última versión, 2.3.1. Desafortunadamente, la realización de esta actualización no es trivial y, en la mayoría de los casos, supone una reinstalación desde cero de la aplicación. Además, el formato de la base de datos utilizada ha cambiado por lo que una copia de seguridad no es reutilizable.

En nuestro artículo de hoy os indicamos una serie de recomendaciones básicas para cualquier administrador de un sitio osCommerce. Además apuntamos como comprobar si es vulnerable un sitio osCommerce y, en caso de que que haya sido atacado, como establecer un parche.

1.- Comprobar la versión de osCommerce

Los ataques sufridos por osCommerce principalmente han afectado a versiones anteriores a la 2.30, en particular a todas las versiones 2.2.x.

Podremos comprobar la versión que tenemos instalada de manera sencilla accediendo al interfaz de administración de la aplicación. Una vez dentro, iremos a la sección «herramientas / información del servidor» (tools / server info). Si la versión es superior o igual a la 2.3.0 podemos estar tranquilos.

2.- Comprobar si hemos sido infectados

Antes de realizar cualquier tipo de acción sobre nuestro sitio osCommerce, comprobaremos si éste ha sido comprometido.

Si disponemos de una copia de seguridad «sana» del sito web, nos podemos descargar por FTP el sitio web a nuestro equipo y la compararemos con la copia en buen estado. En Linux se puede hacer de manera rápida mediante el comando diff que mostrará un listado de los ficheros modificados:

# diff -w -q webshop/ webshop-backup/

Deberemos prestar atención a aquellos ficheros que contengan un iframe embebido. Mediante el comando grep podremos buscar que ficheros contienen la directiva iframe :

# grep -R -i «iframe» webshop/

Si sólo encontramos un fichero JavaScript conteniendo la cadena iframe, es que no hemos sido infectados. De todos modos, no deberíamos fiarnos de esta búsqueda ya que existen múltiples técnicas que permiten ocultar cadenas de caracteres. En este blog se muestra un análisis detallado de los ataques recibidos por osCommerce que nos ayudará a detectar, junto a las búsquedas indicadas, si nuestro sitio está infectado.

En caso de haber sido infectados, es aconsejable restaurar de manera completa nuestro sitio web.

3.- Temporalmente asegurar nuestro sitio web

El ataque recibido está dirigido a una inadecuada implantación de seguridad en la interfaz de administración de osCommerce 2.2. Existen dos modos (no exclusivos) de hacer más seguro nuestro sitio web:

a) Parche en ficheros de Administración: se recomienda la aplicación de Administration Tool Log-In Update que securiza el interfaz de administración de osCommerce. Esto requiere añadir líneas de código a ciertos ficheros de osCommerce:

catalog/admin/includes/application_top.php
catalog/admin/login.php

Estos cambios ya evitan los ataques recibidos por osCommerce durante estos meses. Podremos comprobar si estamos protegidos accediendo directamente a esta URL:

/admin/file_manager.php/login.php?action=download&filename=/includes/configure.php

Si estamos seguros, una ventana para introducir datos de acceso será mostrada. Por el contrario, si aparece una ventana que nos indica si  nos queremos descargar un fichero PHP, estarmos expuestos a recibir ataques.

b) Proteger el acceso a la interfaz de administración mediante un fichero .htaccess.

4.- Planificar una actualización

El parche antes comentado sólo nos permite ser inmunes a los ataques relativos a la interfaz de administración, pero seguimos siendo vulenarables a otros ataques que puedan surgir. La versión 2.3.1 de osCommerce incluyte una serie de mejoras en seguridad, por lo que es recomendado la actualización a esta versión. La versión 3.0 de osCommerce ya requiere cambios en la plataforma de alojamiento, debido a que es necesario PHP 5.3 para su ejecución.

Comparte este artículo:

No hay comentarios a este artículo

Sé el primero en enviar un comentario: