Cómo detectar y eliminar malware en tu web

Ya es conocido el uso de los virus, gusano, troyanos y el software espía que pueden dañar un equipo o una red, pero desde hace décadas que lo que se persigue es hackear y atacar páginas webs, así como los servidores, routers,etc..

Entre los últimos ataques están los que residen en comprometer la integridad de tu página web por diferentes motivos. Los 3 casos más comunes son (hay otros ataques más frecuentes como por ejemplo los de tipo DoS o denegación de servicio pero que atacan a un servidor entero, independientemente de las webs o servicios que aloje)

• Ataques de php injection o de otro tipo para incluir código. Script maliciosos
• Redirecciones .htaccess
• Iframes ocultos

Script maliciosos

Éstos códigos se usan a menudo para redireccionar a tus visitantes o lectores a una web diferente y/o cargan malware desde otro código. Son injectados en el contenido de la página web o a veces en otros archivos del servidor, como imágenes o PDFs. Suelen ser código javascript que ejecuta la redirección. Puede ser que están ofuscados para que sea más difícil detectarlo para los scanner anti-virus/malware y para que al programador sea más difícil entenderte que hace el código malware.

A veces los códigos ejecutan archivos .js bajo nombres de dominio que pueden confundir aparentando ser web legítimas.

Redirecciones .htaccess

Hay que tener especial cuidado con este archivo de configuración del servidor de páginas web Apache, sobre todo porque es un archivo oculto.

Los atacantes pueden modificar el archivo o subir uno nuevo, si no se tiene cuidado con los permisos. Con esto conseguirán redireccionar a todos los usuarios que entren en la web a páginas de malware o lo que el atacante haya configurado.

La recomendado es que este archivo tenga permisos 644 para un usuario determinado.

Iframes ocultos

En ocasiones el ataque puede ser injectar un simple código iframe, que no puede resultar complicado llegar a dar con él dentro del todo el código HTML de nuestra web.

Ésto seguirían cargando en nuestra página contenido que no queremos, enlaces perjudiciales para nuestra página,etc..

¿Cómo detectar malware en tu web?

Si tu página ha sido hackeada o crees que puede contener código sospechoso puedes acceder a Webmaster Tool para obtener más información

o comprobando el status de web con la siguiente aplicación de Google http://www.google.com/safebrowsing/diagnostic?site=pedroventura.com poniendo el nombre de dominio que quieras. Los resultados para mi página son los que aparecen en la siguiente captura.

Sigue los consejos que te indican desde WebMaster Tool, pero básicamente tendrás que “limpiar” todo tu site del código malware. Una vez lo hayas hecho notifica a Google de que tu site ha sido limpiado.

Los problemas de mi página, vienen porque mi blog de Wordpress fue atacado por una injección de código que redirigía a una página malintencionada causando graves daños al Posicionamiento y visitas en mi blog.

¿Cómo solucionar o eliminar el malware?

Si tienes un blog de Wordpress y crees que tu blog ha sido hackeado o atacado con código malware te aconsejo que leas otro de mi artículos: Como eliminar el hack o malware de rr.nu de WordPress

En primer lugar, decirte que si tienes un backup lo restaures porque puede ser complicado o minucioso llegar a “limpiar” todos los archivos.

Tendrás que comprobar todos los archivos donde los permisos no estén asignados correctamente, es decir que los pueda editar cualquier usuario y es casi seguro que el código injectado estará en todos ellos.

Busca al inicio o al final de los archivos por código que tu no has creado, cualquier código que te parezca sospechoso quítalo. En códigos basados en PHP suelen incluir una función eval() seguida de una base64_decode() y una cadena super larga de caracteres, que no es más que un código PHP codificado y que genera la creación de los iframes o el javascript que después redirecciona a otras páginas.

Puedes usar comandos de consola para buscar y reemplazar todo el código que hayas encontrado sospechoso, en el artículo que he comentado antes indico como hacerlo: Como eliminar el hack o malware de rr.nu de WordPress

También puedes leer este tutorial de Google: https://support.google.com/webmasters/bin/answer.py?hl=es&answer=163634

Consejos si tienes Wordpress u otro Open Source

• Tienes que tener en cuenta si estás usando Wordpress, Joomla, Drupal, o cualquier otro Open Source, el código es abierto, tanto para los programadores que colaboran para mejorar la herramiento creando nuevos plugins y temas, así como para los hackers u otra gente que sólo quiere joder! hablando mal. Se dedican a hacer exploits, script para atacar archivos php que tengan algún bug de seguridad, atacar a los servidores de Wordpres, etc.. por lo que siempre nuestro código va a ser vulnerable, es muy importante de que siempre esté actualizado a la última versión.
• No uses tantos plugins. Sólo instala y mantén los que vayas a usar y que también estén actualizados.
• Cuida tu contraseña de acceso, actualizala de vez en cuando. Debes leer el siguiente artículo: Seguridad en contraseñas. Como hacer una contraseña segura
• Otro artículo basado en seguridad para Wordpress: Consejos básicos de seguridad en Wordpress

Otros enlaces de interés:

• https://support.google.com/webmasters/bin/answer.py?hl=es&answer=163633#1
• http://www.stopbadware.org/home/security#identifying