Plugins de seguridad realizados por alumnos de la Universidad de Alicante

10/04/2019

Plugins de WordPress para seguridad

El grupo de alumnos de último curso de Ingeniería Informática de la Universidad de Alicante formado por Diego Silveira, Javier Renedo y Javi Gombao ha desarrollado dos plugins relacionados con seguridad.

El código se ha publicado en GitHub e incluye una descripción del funcionamiento.

Para ello, se ha pensado en la extracción de datos alojados en repositorios externos que están relacionados con el Cyber Threat Intelligence, que se caracteriza por ser un conjunto de servicios que predicen y notifican amenazas en tiempo real.

Concretamente, los datos se extraerán de dos fuentes:

  • HoneyDB: Un honeypot es herramienta que se encuentra en una red o sistema informático para ser el objetivo de un posible ataque, y así poder detectarlo y obtener información del mismo y del atacante. Se accede a la información a través de una API y los datos se visualizarán con un gráfico de barras.

  • MalwareDomainList: mantiene una lista de direcciones IP y dominios que se sabe que se utilizan para propagar malware y spyware. Se descargará un fichero de texto en línea que contenga direcciones IPs maliciosas y se procederá a la visualización de los datos mediante un mapamundi con puntos, donde cada punto representará las coordenadas de la dirección IP obtenida.

 

 

Plugin que nos indica la actividad de un HoneyPot

Este plugin consulta HoneyDB para recopilar información sobre las direcciones IP que se conectan a sus honeypots, el número de veces que se conecta cada IP y la fecha de última conexión.

La siguiente imagen muestra el resultado de la petición a la consulta:

 

 

A partir de esta información, se ha creado un plugin que muestra una gráfica con las 10 direcciones IP que más veces se han conectado a una de las honeypots de HoneyDB, incluyendo el número de conexiones de cada una, como muestra la siguiente imagen.

 

 

 

Geolocalización de IPs maliciosas obtenidas de "Malware Domain List"

Est e plugin permite visualizar la distribución geográfica de determinadas direcciones IP que poseen mala reputación, utilizando para ello un repositorio externo denominado “Malware Domain List” y que es accesible a través del siguiente enlace: http://www.malwaredomainlist.com/hostslist/ip.txt.

El resultado de la activación del plugin es una gráfica que posiciona en un mapa IPs con mala reputaicón, como muestra la siguiente imagen: