Causas y soluciones de alertas de Malware o Virus por acciones de Code Injection

Este documento contiene información acerca Alertas de Malware o Virus que pueden aparecer en los servicios de hospedaje y generar que el sitio sea registrado como un sitio inseguro o potencialmente peligroso.

 

¿De qué manera llega el malware / virus a su servicio?

Las formas más comunes son:

1. El servicio tiene una contraseña insegura

Una contraseña insegura fácil de adivinar, podría permitir a un tercero no autorizado a obtener acceso a el servicio mediante el panel de control o FTP, nunca debe utilizar contraseñas simples P.Ej, nombres propios, direcciones, telefonos, etc; una contraseña segura debe contener por lo menos 8 dígitos e incluir mayúsculas, minúsculas, numeros y símbolos (Ej, @#~€,etc).

2. La PC tiene virus o algún tipo de SpyWare

No acceda a su panel de control o FTP desde lugares públicos (locutorios, etc), revise con un antivirus actualizado, todas las PC desde donde accede al servicio a fin de verificar que las mismas no contienen ningún tipo de virus o spyware, las aplicaciones de tipo spyware recolectan todas las contraseñas almacenadas en su PC permitiendo a un tercero no autorizado acceder al servicio.

3. En el servicio se ha instalado alguna aplicación (Ej, Joomla, Wordpress, etc) sin tener en cuenta medidas de seguridad o bien la aplicación se encuentra desactualizada y presenta vulnerabilidades.

 

Las aplicaciones de tipo CMS (Content Management System) permiten el acceso a través de una interfaz administrativa, este tipo de aplicaciones deben ser actualizadas períodicamente, las actualizaciones contienen en muchos casos soluciones a problemas de seguridad que, de no cerrarse, finalmente son encontradas y explotadas por terceros no autorizados a fin de hacerse de un acceso no legitimo a su servicio.

 

Para todos los casos previamente detallados, el tercero no autorizado modifica el código de las páginas (principalmente el index) con una metodología que se conoce como “iframe attack”. sumando líneas de código que lo que hacen es llamar a otra página, sin que quienes visiten su sitio lo noten, la finalidad de esta infección generalmente busca posicionar mejor la página del tercero no autorizado o infectar las PC de los visitantes.

 

Para mayor información y consejos de solución visitar el siguiente vínculo: http://www.subituweb.com/clientes/knowledgebase/574/Malware-mi-Web-figura-como-un-sitio-no-seguro-en-los-buscadores-de-Internet-Google-Yahoo-etc.html

 

¿Cómo eliminar el virus o la alerta de virus en el servicio?

A. Ingresar por FTP y descargar todo el contenido del sitio a una carpeta dentro de su equipo. Inmediatamente después, cambiar la contraseña del FTP desde su Panel de control.

 

B. Analizar el contenido completo de la PC con un antivirus y antispyware actualizados.

 

C. Una vez que el antivirus haya eliminado archivos sospechosos, comienza el trabajo manual dentro de la carpeta donde ha descargado la Web.

 

D. Con un editor de texto buscar dentro de los archivos html y php, habrá que identificar todos aquellos que incluyan un “iframe” con estilo escondido (”hidden”), que no correspondan a su página, y eliminar esa porción de código.

Ejemplo de código sospechoso:

<iframe src=”http://UN_DOMINIO.COM”
style=”visibility: hidden; display: none”>
</iframe>

E. Utilizando el mismo procedimiento, buscar también si en alguna página existe un “document.write”, seguido de una línea encodeada.

Ejemplo de código sospechoso:

<script language=”javascript”>
document.write( unescape( ‘%70%61%67%65%20%6F%6E%65′ ) );
</script>

Recuerde: Si al localizar alguna de las piezas de codigo indicadas en los ejemplos anteriores, eliminarlas.

 

Asegurarse que todos los src= y http:// hagan referencia a archivos de su sitio web o a sitios externos conocidos o confiables.

Se recomienda también efectuar una revisión manual para buscar entre todos los archivos la existencia de cualquier .php, .js, .htm, .html, asp, .aspx, .inc, .cfm, etc., que no pertenezca a su sitio Web.

 

1. Una vez realizado todo lo anterior, y con la seguridad de que el sitio está limpio, conectarse por FTP al servicio, eliminar todo el contenido de la carpeta httpdocs (Plesk) o public_html (cPanel), y luego subir todos los archivos que acaba de limpiar.

 

2. Eliminar el caché de su navegador (generalmente esto se realiza presionando de forma simultánea las teclas Ctrl+Shift+Sup).

 

Si Google marcó la web como sospechosa, será necesario solicitar una revisión, Para ello hay que completar el formulario en Google Webmaster Central o StopBadware.

 

Nota: Hay que tener presente que la página de advertencia que muestra Google, desaparecerá dentro del transcurso de 7 días sólo cuando Google vuelva a analizar el contenido del sitio Web y este no registre ningún código malicioso.

 

Recomendamos visitar los siguientes links, ya que en los mismos hay información útil sobre este tipo de eventos:

Links de utilidad:

  • 38 Los Usuarios han Encontrado Esto Útil
¿Fue útil la respuesta?

Artículos Relacionados

WebMail - No es posible acceder a mis mensajes.

Este documento contiene información a fin de determinar problemas por los cuales Horde (cliente...

Cómo prevenir el consumo de la transferencia (bandwidht)

Este documento contiene información sobre transferencia e información sobre que...

Inconvenientes comunes relacionados a conexiones FTP

Este documento contiene información sobre solución a problemas comunes en conexiones FTP. Los...

No puedo visualizar las imágenes de mi subdominio en los servicios Step o Multistep

Este documento contiene información sobre como poder visualizar las imágenes del contenido de un...

No recibo mensajes en una de mis casillas de correo.

Este documento contiene información sobre cómo detectar y solucionar inconvenientes relacionados...