Causas y soluciones de alertas de Malware o Virus por acciones de Code Injection

Este documento contiene información acerca Alertas de Malware o Virus que pueden aparecer en los servicios de hospedaje y generar que el sitio sea registrado como un sitio inseguro o potencialmente peligroso.

 

¿De qué manera llega el malware / virus a su servicio?

Las formas más comunes son:

1. El servicio tiene una contraseña insegura.

Una contraseña insegura fácil de adivinar, podría permitir a un tercero no autorizado a obtener acceso a el servicio mediante el panel de control o FTP, nunca debes utilizar contraseñas simples P.Ej, nombres propios, direcciones, teléfonos, etc; una contraseña segura debe contener por lo menos 8 dígitos e incluir mayúsculas, minúsculas, numeros y símbolos (Ej, @#~€,etc).

2. La PC tiene virus o algún tipo de SpyWare

No accedas a tu panel de control o FTP desde lugares públicos (locutorios, etc), revisá con un antivirus actualizado todas las PC desde donde accedes al servicio a fin de verificar que las mismas no contienen ningún tipo de virus o spyware, las aplicaciones de tipo spyware recolectan todas las contraseñas almacenadas en tu PC permitiendo a un tercero no autorizado acceder al servicio.

3. En el servicio se ha instalado alguna aplicación (Ej, Joomla, Wordpress, etc) sin tener en cuenta medidas de seguridad o bien la aplicación se encuentra desactualizada y presenta vulnerabilidades.

 

Consideraciones

Las aplicaciones de tipo CMS (Content Management System) permiten el acceso a través de una interfaz administrativa, este tipo de aplicaciones deben ser actualizadas períodicamente, las actualizaciones contienen en muchos casos soluciones a problemas de seguridad que, de no cerrarse, finalmente son encontradas y explotadas por terceros no autorizados a fin de hacerse de un acceso no legitimo a su servicio.

Para todos los casos previamente detallados, el tercero no autorizado modifica el código de las páginas (principalmente el index) con una metodología que se conoce como “iframe attack”. sumando líneas de código que lo que hacen es llamar a otra página, sin que quienes visiten su sitio lo noten, la finalidad de esta infección generalmente busca posicionar mejor la página del tercero no autorizado o infectar las PC de los visitantes.

Para mayor información y consejos de solución visitá el siguiente vínculo

 

¿Cómo eliminar el virus o la alerta de virus en el servicio?

A. Ingresá por FTP y descargá todo el contenido del sitio a una carpeta dentro de su equipo. Inmediatamente después, cambiar la contraseña del FTP desde el Panel de control. 

B. Analizá el contenido completo de la PC con un antivirus y antispyware actualizados. 

C. Una vez que el antivirus haya eliminado los archivos sospechosos, comenzá el trabajo manual dentro de la carpeta donde has descargado la Web. 

D. Con un editor de texto buscá dentro de los archivos html y php, habrá que identificar todos aquellos que incluyan un “iframe” con estilo escondido (”hidden”), que no correspondan a su página y eliminá esa porción de código.

Ejemplo de código sospechoso:

<iframe src=”http://UN_DOMINIO.COM”
style=”visibility: hidden; display: none”>
</iframe>

E. Utilizando el mismo procedimiento, buscá también si en alguna página existe un “document.write”, seguido de una línea encodeada.

Ejemplo de código sospechoso:

<script language=”javascript”>
document.write( unescape( ‘%70%61%67%65%20%6F%6E%65′ ) );
</script>


Recordá:
si localizás alguna de las piezas de código indicadas en los ejemplos anteriores, eliminalas.

Asegurate que todos los src= y http:// hagan referencia a archivos de tu sitio web o a sitios externos conocidos o confiables.

Se recomienda también efectuar una revisión manual para buscar entre todos los archivos la existencia de cualquier .php, .js, .htm, .html, asp, .aspx, .inc, .cfm, etc., que no pertenezca a tu sitio Web.

 

Una vez realizado todo lo anterior, y con la seguridad de que el sitio está limpio:

1.conectate por FTP al servicio, eliminado todo el contenido de la carpeta httpdocs (Plesk) o public_html (cPanel) y luego subí todos los archivos que acabas de limpiar. 

2. eliminá el caché de tu navegador (generalmente esto se realiza presionando de forma simultánea las teclas Ctrl+Shift+Sup).

Si Google marcó la web como sospechosa, será necesario solicitar una revisión, Para ello hay que completar el formulario en Google Webmaster Central o StopBadware.

Nota: Hay que tener presente que la página de advertencia que muestra Google, desaparecerá dentro del transcurso de 7 días sólo cuando Google vuelva a analizar el contenido del sitio Web y este no registre ningún código malicioso.

  • malware virus acciones code injection, code injection, alertas de malware, virus spyware, tengo un virus en el servicio, wordpress vulnerado, malware virus, eliminar virus del servicio, codigo malicioso, google marco web como sospechosa, codigo sospechoso en mi sitio
  • 38 Los Usuarios han Encontrado Esto Útil
¿Fue útil la respuesta?

Artículos Relacionados

Cómo prevenir el consumo de la transferencia (bandwidht)

Este documento contiene información sobre el consumo de transferencia e información sobre qué...

Inconvenientes comunes relacionados a conexiones FTP

Este documento contiene información sobre solución a problemas comunes en conexiones FTP. Los...

Cómo migrar Web completa hacia otra plataforma

Este documento contiene información acerca de cómo migrar el contenido de un servicio...

Phplist - error 500

Este documento contiene información acerca del error 500 generado en phplist cuando se envía a...

Espacio agotado, cómo solucionarlo

Este documento contiene información que te ayudará a resolver en caso de que te quedes sin...