¿Por que Linux es un Objetivo Potencial?

Cuando hablamos de virus, todas las plataformas están en riesgo. Sin embargo Linux suele ser empleado para ejecutar sitios web y contenido en la red, por lo que es un objetivo clave de cualquier hacker. De hecho el nivel de malware que infecta dispositivos Windows o Android desde una plataforma en linux es solo una pequeña parte de dichas amenazas, pero los expertos ya ven como se incrementan los ataques mediante scripts y programas de malware.

Por tanto cada vez se detectan nuevos servicios que se convierten en objetivo de esos ataques. Y aun cuando estos servicios sean independientes de las plataformas, lo cierto es que es frecuente que estos servicios se ejecuten bajo Linux.

Ataques a Servidores Web Linux

Existe muchas razones por la que los servidores Linux se han convertido en un gran objetivo para los criminales que buscan controlar y dirigir tráfico.

  • El sistema operativo Linux funciona sobre un amplio porcentaje de servidores en la red. Esto incluye algunos servidores de gran volumen y sitios webs críticos de todo el mundo.
  • Los servidores Linux tienden a ser mucho más seguros que otros sistemas operativos por lo que los ataques son facilmente ignorados. Por eso un servidor Linux infectado puede estarlo durante años, creando una oportunidad de ingreso enorme para cualquier organización criminal.

Como los Scripts PHP Afectan a Linux

Muchos de los maliciosos scripts PHP que se ejecutan en servidores Linux tienen la capacidad de hacer operar al servidor como nodo para distribuir grandes cantidades de tráfico Por tanto se producen diversas caracteristicas que son propias de una botnet convencional. Con este sistema se pueden ejecutar peligrosos ataques, incluyendo ataques DDos.

Como indica PHP.net los scripts PHP pueden hacer muchas cosas. Además los scripts PHP comprometedores suelen ejecutarse en plataformas con vulnerabilidad, o que no están bien parcheadas como WordPress. Por ejemplo, fue descubierto en 2013 un exploit en el motor PHP ejecutando el gestor de contenidos Pleask. Con este exploit, un usuario malicioso puede usar un comando determinado que le daría acceso a dicho motor y ejecutar cualquier script que desee.

Para entender mejor como los servidores web Linux se ven comprometidos conviene echar un vistazo a Darkleech, tal como se comenta en Pc World. El malware instalado bajo Linux puede parecer legítimo, pero los sitios web atacados pueden explotar las vulnerabilidades conocidas en los navegadores y generar ataques bajo ese entorno. Este malware llegó a comprometer más de 40.000 dominios e ISPs. De hecho, en solo un mes se registraron más de 15.000 ataques, incluyendo el de Seagate y Los Ángeles Times.

Con Linux una buena parte de los servidores afectados redirige el tráfico a páginas criminales, que también son, de hecho, servidores Linux. Por esta y otras razones es clave que los administradores de Linux sepan la gravedad de las infecciones de malware. Mensualmente son decenas de miles los scripts maliciosos en PHP que se ejecutan en servidores web basados en Linux. Y el problema es que para evitar su detección los criminales son capaces de ocultarlos notalmente. De hecho se han encontrado scripts PHP con 50 capas de ocultamiento.

Por eso es obligatorio que los administradores usen parches de inmediato, pero también establecer una protección de capas para el sistema operativo Linux y todos los servicios presentes en el sistema. Con el crecimiento de amenazas, es obvio que las relaciones entre empresas de hosting y seguridad debe ser más cercana.

Solo así, protegerse frente a ataques como los causados por Darkleech es posible. El desafío es que los ataques sobre sistemas Linux son difíciles de detectar. Por eso los servidores deben ser mantenidos debidamente por los proveedores de hosting, y los administradores deben estar al tanto de las amenazas existentes, así como las nuevas opciones de protección frente al malware.