1. Motivos para la implantación de software malicioso en un servidor web
2. Diferentes tipos de software malicioso para servidores web
3. Detección de software malicioso y malware en un servidor web
4. Eliminar software malicioso y evitar nuevas infecciones de malware

El software malicioso dirigido a un servidor web difiere en varios aspectos del software malicioso típico como virus, malware o troyanos que atacan PCs de sobremesa y portátiles de uso privado o comercial. Esto se debe, por un lado, a que la gran mayoría de los servidores web utilizan Linux como sistema operativo, y por otro lado un servidor web comercial suele estar protegido por medidas de seguridad complejas. Eliminar un malware o software malicioso sin que el servidor web sufra al menos una interrupción temporal del servicio es, en cualquier caso, laborioso y a menudo imposible.

Motivos para la implantación de software malicioso en un servidor web

Un servidor web está compuesto por un espacio web de acceso público, áreas parcialmente protegidas como páginas específicas para clientes, usuarios o participantes, el software local no accesible desde el exterior y la información como bases de datos. El método utilizado por un malware o software malicioso determina qué SO utiliza el servidor web como sistema operativo. Independientemente de ello, los atacantes persiguen siempre los mismos objetivos, que pueden agruparse aproximadamente en varias categorías diferentes:

• Uso de recursos: El servidor web se utiliza con fines ilegales —por ejemplo, para almacenar copias piratas en el espacio web, para intercambio de archivos, para difundir malware o actividades similares—. El malware necesario para ello se instala de forma silenciosa en segundo plano.
• Robo de datos: Se copian datos confidenciales de forma remota, se interceptan cuando los introducen visitantes o administradores o se sustraen en forma de bases de datos. Además, aquí también se puede instalar malware que, en muchos casos, puede ampliarse de forma modular.
• Modificación de páginas/Desfiguración (defacing): En el llamado defacing se trata de infiltrar un espacio web oficial, por ejemplo de organizaciones o autoridades, y reemplazar su contenido por uno propio. En estos ataques, el motivo habitualmente no es obtener un beneficio económico directo ni colocar y difundir malware.
• Intrusión en redes LAN internas y confidenciales: En este caso, el servidor web sirve a los delincuentes como puente entre Internet y un servidor CDN conectado o el intranet de una empresa o una administración. Dado que los servidores internos suelen estar aislados mediante estrictas medidas de seguridad, la intrusión solo es posible desde un nodo de confianza con acceso desde el exterior —por ejemplo, un servidor web infectado con malware—.
• Instalación de servicios de terceros: El servidor web se utiliza como servidor gratuito por un tercero, que a través de malware instala y opera sus propios servicios —por lo general, los que requieren gran volumen de datos como la transmisión de vídeo o el intercambio de archivos, o los que demandan mucha capacidad de cálculo, como la minería de criptomonedas—.
• Espionaje y extorsión: Para muchas empresas puede suponer un riesgo financiero existencial si el servidor web sufre una caída prolongada o repetida debido a malware. Además de extorsionar a empresas, desde 2015 ha aumentado considerablemente la práctica de cifrar datos y exigir un rescate para su recuperación.
• Obtención de información: Con la copia de seguridad de un espacio web, los programadores delincuentes pueden analizar medidas de seguridad, planificar ataques dirigidos, diseñar malware específico o instalar réplicas exactas de una página, por ejemplo para el fraude mediante phishing, en su propio servidor web. Por eso, las copias de seguridad de una página popular se venden en el mercado negro y en foros anónimos por precios a veces elevados.

Los ataques a un servidor web o al espacio web y la instalación de software malicioso rara vez se realizan de forma dirigida. La gran mayoría se basa, en cambio, en un escaneo masivo de Internet y en la búsqueda de brechas en las medidas de seguridad que permiten que un malware se instale de forma discreta en el servidor. Las víctimas de este tipo de ciberdelincuencia son, por tanto, aleatorias: amenaza a prácticamente cualquier propietario de espacio web. Una contramedida sencilla es externalizar la administración y emplear un monitorizado externo del servidor, por ejemplo en el marco de un VPS gestionado. De este modo, especialmente las pequeñas y medianas empresas se ahorran los a menudo muy elevados costes de contar con especialistas TI propios o externos para soporte y asesoramiento.

Diferentes tipos de software malicioso para servidores web

Depende del tipo de malware si es posible y cómo eliminar el software malicioso. Según su modo de actuación y su finalidad, se incrusta en los programas de un servidor web o en el sistema operativo y, a menudo, no puede detectarse por completo sin un esfuerzo considerable. Para asegurarse el acceso al servidor, el software malicioso suele distribuirse en varias instancias y ofrece al atacante diferentes puertas traseras para acceder. El software malicioso puede consistir en programas complejos y autoocultantes, en servicios modificados o incluso en scripts sencillos. Entre las técnicas más utilizadas se incluyen, entre otras:

• Malware especializado, como virus, troyanos o ransomware
• Programas para controlar el escritorio a distancia, como VNC
• Herramientas de administración remota (Remote Administration Tools, RAT)
• Inicios de sesión adicionales con permisos ampliados dentro del sistema operativo del servidor web
• Scripts para el establecimiento automático de una conexión o para abrir puertos
• Utilidades de sistema modificadas con acceso universal y global a archivos

En un ataque complejo, los atacantes suelen emplear una combinación de malware y cambios en los permisos del servidor web que hacen que el sistema operativo sea vulnerable a través de ciertas utilidades discretas y estándar. Por ejemplo, es posible conceder a un editor de texto permisos de acceso global y, a través de él, modificar manualmente todas las configuraciones de un servidor. En este caso, el software malicioso consiste únicamente en un pequeño cambio en la asignación de permisos; para acceder basta con una sola cuenta que aparentemente tiene pocas facultades o incluso un acceso de visitante público. Para eliminar ese software malicioso, suele ser suficiente aplicar las reglas correctas o reinstalar el paquete de software.

Las denominadas herramientas de administración remota (Remote Administration Tools, RATs) sirven en realidad para la gestión centralizada y permiten la configuración cómoda de numerosos servidores desde una única interfaz. Son una herramienta útil para administradores, pero pueden ser fácilmente abusadas como malware. Lo positivo es que este tipo de software malicioso se puede eliminar desinstalando o borrando el programa correspondiente. Por esta razón, los RATs aparecen en la mayoría de los casos junto con malware "real".

El malware "real" consiste en un programa que se oculta deliberadamente frente a la detección, por ejemplo de un antivirus, enmascara su existencia y realiza operaciones no deseadas en el servidor o en la CDN. Normalmente se comunica a través de una URL programada, registrada de forma anónima, tras la cual un servidor web espera las solicitudes y responde enviando comandos al software malicioso. A menudo este malware tiene una arquitectura modular y carga —según el entorno— funciones adicionales después de que el programa núcleo haya comprometido el servidor web. Además, las rutinas integradas impiden eliminar el malware sin dañar el sistema operativo del servidor web. La consecuencia suele ser la persistencia de malware o una caída del servidor.

Detección de software malicioso y malware en un servidor web

Antes de poder eliminar el software malicioso, hay que probar de forma inequívoca su existencia. Existen diferentes enfoques para diagnosticar un malware o un ataque exitoso contra un servidor. Se diferencian en su precisión y en el tipo de supervisión. Un control externo es, por ejemplo, la monitorización del servidor, que no solo cubre la accesibilidad y el rendimiento, sino también la disponibilidad de servicios y los puertos que éstos emplean. Especialmente el malware "real" suele comunicarse a través de números de puerto aleatorios de cinco cifras, que se utilizan casi exclusivamente para fines individuales. Una alternativa a la monitorización del servidor son los escaneos de puertos periódicos, que incluyen el intervalo entre el puerto 1025 y el puerto 65535. Las posibilidades internas para detectar software malicioso en un servidor incluyen, entre otras:

• Análisis exhaustivo y evaluación de los archivos de registro para detectar actividades inusuales
• Supervisión de los procesos en ejecución en un servidor para detectar programas sospechosos
• Control de los usuarios registrados y de los permisos de acceso asignados
• Monitorización integral del servidor del ancho de banda, volúmenes de datos y conexiones establecidas
• Comprobación periódica del sistema de archivos para detectar cambios en los ficheros
• Escaneo regular del servidor web y del sistema operativo en busca de virus
• Determinación exacta de las causas en caso de una caída temporal del servidor
• Control del espacio web para detectar manipulaciones en la configuración o en los archivos

Muchas de estas tareas se pueden automatizar y delegar en un sistema interno o externo de monitorización del servidor, que solo alerta al administrador en caso de sospecha. Algunas indicaciones sobre la instalación de malware en un servidor se pueden deducir indirectamente de estos registros. Señales típicas son, por ejemplo, una breve caída del servidor por un reinicio no previsto, la alteración directa de los logs incluida la ausencia de entradas durante un periodo prolongado, o el establecimiento de conexiones de origen dudoso.

Eliminar malware y descartar la presencia de más software malicioso

En general, un malware aislado se puede eliminar de un servidor sin que se produzca una caída. El problema es que resulta difícil descartar la existencia de más malware. Cuando un atacante obtiene acceso por primera vez a un servidor o a un espacio web, suele instalar puertas traseras (backdoors) adicionales para no perder el control si esa vulnerabilidad se cierra. Por ello es imprescindible un análisis forense exhaustivo del servidor web y del sistema operativo. El esfuerzo de una investigación de este tipo no rara vez supera al de una reinstalación completa, en la que no es posible evitar la interrupción del servidor.

Un procedimiento habitual es, por tanto, la migración temporal de los servicios a otro servidor limpio, como un VPS gestionado económico, mientras se reinstala el servidor web. Con este enfoque la caída del servidor no es visible públicamente y la operación productiva puede mantenerse sin interrupciones.

Foto: TheDigitalArtist pixabay.com