Como dijo el usuario de Quora, hay varios tipos de “hackers”.
Explicaré una pequeña parte de esto, pero mi explicación cubrirá un método A, no EL método.
Script Kiddo’s
Estas personas (que dicen ser “piratas informáticos”) solo lanzarán algunos scripts en su sitio y verán si alguno de ellos funciona.
Sus registros estarán llenos de errores y si ingresan, probablemente tendrá una página “Pwnt por 1337 H4x0r” en lugar de una página de inicio. Muy fácil de descubrir.
Las personas que saben lo que están haciendo.
Estas personas no se preocupan por su contenido o por “fastidiarlo”.
Simplemente quieren que su servidor sea spam, proxy, VPN, robe sus datos (de clientes), inicie ataques DDOS o simplemente mire imágenes de gatos de forma anónima.
- Mi computadora fue pirateada remotamente y la apagué. ¿Cómo puedo restaurarlo?
- ¿Es realmente imposible encontrar un proveedor de correo electrónico lo suficientemente seguro contra hackers, phishers y agencias gubernamentales?
- ¿Qué es el malware Floki Bot?
- ¿Qué vulnerabilidad llevó al hackeo del sitio web IIT-Delhi?
- ¿Cómo se construye una caja S en AES?
Su servidor tiene VALOR para ellos, por lo que harán todo lo posible para ocultarle la intrusión.
Una forma muy común de irrumpir en el front-end es cargar un script php en su servidor para permitir una conexión remota (por ejemplo, SSH / Netcat).
Creo que los scripts más conocidos para hacer esto son los scripts de shell C99 y R57.
El primer paso para descubrir a estas personas sería verificar los registros para ver si se han subido archivos que el administrador del sistema no haya cargado.
Por otra parte, cualquier hacker con un conocimiento decente del sistema que ejecuta sabrá cómo eliminar estos registros. (Ya que de todos modos están en su servidor).
Tan pronto como un rooter tenga acceso al servidor como, por ejemplo, el usuario “Apache”, intentará escalar sus privilegios (de ahí el nombre “rooter”).
Una vez más, los registros pueden borrar esto, ya que tendrán que explotar algo en la aplicación o en el anillo del núcleo para obtener acceso a la raíz.
Si logran hacer todo eso sin que lo descubras en tus registros, será más difícil para ti encontrarlos.
Los indicadores son, por supuesto, puertos abiertos que no deberían estar abiertos, tráfico TCP sospechoso que viaja a través de su red (por ejemplo, el virus duqu2 (Página en www.crysys.hu) que se encontró después de la violación de Kaspersky envió imágenes GIF a sus C&C con datos cifrados en ellos), paquetes TCP mal formados (por ejemplo, en el caso de un shell DNS inverso para evitar su firewall).
Pero luego hay 2 problemas:
1. Muchos administradores de sitios web no tienen acceso directo al servidor (espacio web alojado, etc.).
2. Si tienen acceso directo al servidor, verificar registros puede ser un trabajo de tiempo completo y seamos honestos …
En pocas palabras, el sistema operativo proporciona muchas formas para que los administradores verifiquen si se han violado.
Pero eso requiere tiempo y el tiempo es dinero.
Muchas compañías no quieren “gastar” dinero en algo que no pueden ver o sentir, como la seguridad. Solo notarán la importancia de la seguridad en el momento en que les digan que han sido pirateados, amenazados, chantajeados, desfigurados …
Para finalizar, un pequeño descargo de responsabilidad: las imágenes utilizadas anteriormente provienen directamente de Google y no tengo nada que ver con los “hacks” realizados en esos sitios web. El uso de las técnicas descritas anteriormente para piratear un servidor es ilegal en muchos países y, por lo tanto, debe tener un permiso por escrito del propietario del servidor para hacerlo.