Necesita ayuda?
El atacante o el Cracker modifica el
código de tus páginas (principalmente el index) con una metodología que
se conoce como “iframe attack”. Le suma líneas de código que lo que
hacen es llamar a otra página, sin que quienes visiten tu sitio lo
noten, con la intención de posicionarla mejor o bien infectar con virus
las PCs de tus clientes y visitantes.
Las formas más comunes de
infectar un sitio son dos: alojando el virus en tu equipo o
interceptando los archivos al momento de subirlos por FTP. Si el
malware está en tu equipo, va a robar tus claves del FTP y
las va a usar para subir por su cuenta los archivos infectados. En el
segundo caso, detecta el momento en que te estás conectando por FTP,
toma tus claves y las usa para subir los archivos modificados.
Este
tipo de problemas generalmente es causado por un tipo de actividad
ilegal denominada code injection (inyección de código), el cual es
inyectado en sus páginas webs valiéndose de vulnerabilidades en sus
aplicaciones php, java script, o el mismo código html
¿Cómo ingresó el virus en su servicio?
A
diferencia de lo que indicaría el sentido común (”si mi sitio tiene un
virus, está infectado el servidor web de mi proveedor de hosting”), el
problema casi siempre está/estuvo en la PC desde donde se actualiza el
sitio web.
Quienes se dedican a subir este tipo de virus, con la
intención de expandirlos a través de internet, apuntan a robar una
información fundamental: sus claves FTP.
Con esas claves, suben
archivos infectados o sus páginas modificadas, sin que Ud. se dé
cuenta. Es más, si el ataque es lo suficientemente elaborado, hasta
conseguirán al instante su nueva clave de FTP en el momento que la modifique.
Otra
manera muy común de agregar un virus o código malicioso a un sitio es
explotando la vulnerabilidad de una aplicación desactualizada (foro,
blog, galería de fotos, carrito de compras, etc.). Por eso es
fundamental tener siempre la aplicación actualizada y aplicar los
parches de seguridad recomendados por sus desarrolladores.
¿Cómo encuentro el virus?
La forma más usada para esconder un virus en un sitio web se conoce como “iframe attack”.
El
“iframe” se esconde en el código de sus páginas, y lo que hace es
llamar a otra página de forma invisible (es decir, ni Ud. ni quien
visite su web lo notan), buscando posicionar mejor esa página escondida
o bien infectar con virus o código malicioso a los visitantes.
Lo
más común es que lo agreguen al código de su página index (index.html,
index.php, etc.). También ocurre, con virus como Gumblar cn, que suban
un archivo y lo ubiquen en una carpeta donde sea difícil detectarlo
(Gumblar cn, por ejemplo, sube un archivo llamado “image.php” dentro de
la carpeta “images”).
¿Cómo eliminar el virus o la alerta de virus en su servicio?
1)Ingresar por FTP y descargar todo el contenido del sitio a una carpeta dentro de su equipo. Inmediatamente después, cambiar la contraseña del FTP desde su Panel de control Plesk o su Panel de Control HELM
2)
Correr un buen antivirus y antispyware en la carpeta de su equipo local
que contiene la web, y en el resto del equipo (incluyendo discos
extraíbles).
3) Una vez que el antivirus haya eliminado archivos
sospechosos, comienza el trabajo manual dentro de la carpeta donde está
su web.
Con un programa que permita buscar dentro de los
archivos, habrá que identificar todos aquellos que incluyan un “iframe”
con estilo escondido (”hidden”), que no correspondan a su página, y
eliminar esa porción de código.
Ejemplo de código sospechoso:
<iframe src=”http://UN_DOMINIO.COM”
style=”visibility: hidden; display: none”>
</iframe>
Implementando
el mismo procedimiento, buscar también si en alguna página existe un
“document.write”, seguido de una línea encodeada.
Ejemplo de código sospechoso:
<script language=”javascript”>
document.write( unescape( ‘%70%61%67%65%20%6F%6E%65′ ) );
</script>
Recuerde: Si ud ubica alguna de las piezas de codigo indicadas en los ejemplos anteriores, eliminelas.
Asegúrese
que todos los src= y http:// hagan referencia a archivos de su sitio
web o a sitios externos que Ud. conoce y son confiables.
Se
recomineda que también efectúe una revisión manual para buscar entre
todos los archivos la existencia de cualquier .php, .js, .htm, .html,
asp, .aspx, .inc, .cfm, etc., que no pertenezca a su sitio web.
4) Una vez hecho esto, ya seguro de que su sitio está limpio, conéctese por FTP a
su servicio. Elimine todo el contenido de la carpeta httpdocs (Plesk)
wwwroot (Helm) u public_html (cPanel) , y suba los archivos que acaba
de limpiar.
A modo preventivo: Recomendamos que utilice
contraseñas que incorporen caracteres especiales , debido a que
contraseñas simples como "Pedro" o sucesiones de letras de su teclado,
como los numeros "123456" u "qwerty" ingresadas en orden de escritura
de izquierda a derecha o derecha a izquierda ("ytrewq" u "654321"), son
facilmente descifradas por aplicaciones maliciosas. Implemente
contraseñas con combinaciones de letras, números y al menos un caractér
especial.
5) Ahora, elimine el caché de su navegador (para ver
un instructivo haga click aquí), abra la página index de su web y todas
aquellas que detectó como infectadas en la primera revisión.
Del
menú del browser elija la opción para ver el código fuente de cada
página. Si no aparece más el “iframe” que apunta a una web desconocida
o el “document.write”, entonces significa que el sitio está limpio.
6)
Si Google marcó su web como sospechosa, será necesario que solicite una
revisión para levantar la página de alerta. Deberá completar el
formulario en Google Webmaster Central o StopBadware.
Nota:
Recuerde que la página de advertencia que muestra Google ( u cualquier
otro buscador) al intentar ingresar a su sitio, desaparecerá dentro del
transcurso de 7 días cuando Google vuelva a analizar el contenido de su
sitio Web.
Links de utilidad:
Etiquetas: -
Registros relacionados:
Última actualización: 2010-03-01 15:48
Autor: HelpDesk
Revisión: 1.2
No puedes comentar este registro
