Este documento tiene informacion acerca Alertas de Malware o Virus por acciones de Code Injection que pueden aparecer en los servicios de hospedaje y generar que su sitio sea registrado como un sitio inseguro o potencialmente peligroso
Informacion y consejos de solucion sobre sitios no seguros infectados con algún tipo de Malware en el siguiente vínculo:
http://www.viafacil.com/faq/content/6/232/es/malware-_-mi-p%E1gina-figura-como-un-sitio-no-seguro-en-los-buscadores-de-internet-google-yahoo-etc.html
¿De qué manera llega el malware con capacidades de Code Injection a mi servicio?
El atacante o el Cracker modifica el código de tus páginas (principalmente el index) con una metodología que se conoce como “iframe attack”. Le suma líneas de código que lo que hacen es llamar a otra página, sin que quienes visiten tu sitio lo noten, con la intención de posicionarla mejor o bien infectar con virus las PCs de tus clientes y visitantes.
Las formas más comunes de infectar un sitio son dos: alojando el virus en tu equipo o interceptando los archivos al momento de subirlos por FTP. Si el malware está en tu equipo, va a robar tus claves del FTP y las va a usar para subir por su cuenta los archivos infectados. En el segundo caso, detecta el momento en que te estás conectando por FTP, toma tus claves y las usa para subir los archivos modificados.
Este tipo de problemas generalmente es causado por un tipo de actividad ilegal denominada code injection (inyección de código), el cual es inyectado en sus páginas webs valiéndose de vulnerabilidades en sus aplicaciones php, java script, o el mismo código html
Alertas de virus en los servicios y ataques mediante Code injection
¿Cómo ingresó el virus en su servicio?
A diferencia de lo que indicaría el sentido común (”si mi sitio tiene un virus, está infectado el servidor web de mi proveedor de hosting”), el problema casi siempre está/estuvo en la PC desde donde se actualiza el sitio web.
Quienes se dedican a subir este tipo de virus, con la intención de expandirlos a través de internet, apuntan a robar una información fundamental: sus claves FTP.
Con esas claves, suben archivos infectados o sus páginas modificadas, sin que Ud. se dé cuenta. Es más, si el ataque es lo suficientemente elaborado, hasta conseguirán al instante su nueva clave de FTP en el momento que la modifique.
Otra manera muy común de agregar un virus o código malicioso a un sitio es explotando la vulnerabilidad de una aplicación desactualizada (foro, blog, galería de fotos, carrito de compras, etc.). Por eso es fundamental tener siempre la aplicación actualizada y aplicar los parches de seguridad recomendados por sus desarrolladores.
¿Cómo encuentro el virus?
La forma más usada para esconder un virus en un sitio web se conoce como “iframe attack”.
El “iframe” se esconde en el código de sus páginas, y lo que hace es llamar a otra página de forma invisible (es decir, ni Ud. ni quien visite su web lo notan), buscando posicionar mejor esa página escondida o bien infectar con virus o código malicioso a los visitantes.
Lo más común es que lo agreguen al código de su página index (index.html, index.php, etc.). También ocurre, con virus como Gumblar cn, que suban un archivo y lo ubiquen en una carpeta donde sea difícil detectarlo (Gumblar cn, por ejemplo, sube un archivo llamado “image.php” dentro de la carpeta “images”).
¿Cómo eliminar el virus o la alerta de virus en su servicio?
1)Ingresar por FTP y descargar todo el contenido del sitio a una carpeta dentro de su equipo. Inmediatamente después, cambiar la contraseña del FTP desde su Panel de control Plesk o su Panel de Control HELM
2) Correr un buen antivirus y antispyware en la carpeta de su equipo local que contiene la web, y en el resto del equipo (incluyendo discos extraíbles).
3) Una vez que el antivirus haya eliminado archivos sospechosos, comienza el trabajo manual dentro de la carpeta donde está su web.
Con un programa que permita buscar dentro de los archivos, habrá que identificar todos aquellos que incluyan un “iframe” con estilo escondido (”hidden”), que no correspondan a su página, y eliminar esa porción de código.
Ejemplo de código sospechoso:
<iframe src=”http://UN_DOMINIO.COM”
style=”visibility: hidden; display: none”>
</iframe>
Implementando el mismo procedimiento, buscar también si en alguna página existe un “document.write”, seguido de una línea encodeada.
Ejemplo de código sospechoso:
<script language=”javascript”>
document.write( unescape( ‘%70%61%67%65%20%6F%6E%65′ ) );
</script>
Recuerde: Si ud ubica alguna de las piezas de codigo indicadas en los ejemplos anteriores, eliminelas.
Asegúrese que todos los src= y http:// hagan referencia a archivos de su sitio web o a sitios externos que Ud. conoce y son confiables.
Se recomineda que también efectúe una revisión manual para buscar entre todos los archivos la existencia de cualquier .php, .js, .htm, .html, asp, .aspx, .inc, .cfm, etc., que no pertenezca a su sitio web.
4) Una vez hecho esto, ya seguro de que su sitio está limpio, conéctese por FTP a su servicio. Elimine todo el contenido de la carpeta httpdocs (Plesk) wwwroot (Helm) u public_html (cPanel) , y suba los archivos que acaba de limpiar.
A modo preventivo: Recomendamos que utilice contraseñas que incorporen caracteres especiales , debido a que contraseñas simples como "Pedro" o sucesiones de letras de su teclado, como los numeros "123456" u "qwerty" ingresadas en orden de escritura de izquierda a derecha o derecha a izquierda ("ytrewq" u "654321"), son facilmente descifradas por aplicaciones maliciosas. Implemente contraseñas con combinaciones de letras, números y al menos un caractér especial.
5) Ahora, elimine el caché de su navegador (para ver un instructivo haga click aquí), abra la página index de su web y todas aquellas que detectó como infectadas en la primera revisión.
Del menú del browser elija la opción para ver el código fuente de cada página. Si no aparece más el “iframe” que apunta a una web desconocida o el “document.write”, entonces significa que el sitio está limpio.
6) Si Google marcó su web como sospechosa, será necesario que solicite una revisión para levantar la página de alerta. Deberá completar el formulario en Google Webmaster Central o StopBadware.
Nota: Recuerde que la página de advertencia que muestra Google ( u cualquier otro buscador) al intentar ingresar a su sitio, desaparecerá dentro del transcurso de 7 días cuando Google vuelva a analizar el contenido de su sitio Web.
Links de utilidad:
