Cómo detectar y eliminar malware en tu web

Cómo detectar y eliminar malware en tu web

Ya es conocido el uso de los virus, gusano, troyanos y el software espía que pueden dañar un equipo o una red, pero desde hace décadas que lo que se persigue es hackear y atacar páginas webs, así como los servidores, routers,etc..

Entre los últimos ataques están los que residen en comprometer la integridad de tu página web por diferentes motivos. Los 3 casos más comunes son (hay otros ataques más frecuentes como por ejemplo los de tipo DoS o denegación de servicio pero que atacan a un servidor entero, independientemente de las webs o servicios que aloje)

  • Ataques de php injection o de otro tipo para incluir código. Script maliciosos
  • Redirecciones .htaccess
  • Iframes ocultos

Script maliciosos

Éstos códigos se usan a menudo para redireccionar a tus visitantes o lectores a una web diferente y/o cargan malware desde otro código. Son injectados en el contenido de la página web o a veces en otros archivos del servidor, como imágenes o PDFs. Suelen ser código javascript que ejecuta la redirección. Puede ser que están ofuscados para que sea más difícil detectarlo para los scanner anti-virus/malware y para que al programador sea más difícil entenderte que hace el código malware.

A veces los códigos ejecutan archivos .js bajo nombres de dominio que pueden confundir aparentando ser web legítimas.

Redirecciones .htaccess

Hay que tener especial cuidado con este archivo de configuración del servidor de páginas web Apache, sobre todo porque es un archivo oculto.

Los atacantes pueden modificar el archivo o subir uno nuevo, si no se tiene cuidado con los permisos. Con esto conseguirán redireccionar a todos los usuarios que entren en la web a páginas de malware o lo que el atacante haya configurado.

La recomendado es que este archivo tenga permisos 644 para un usuario determinado.

Iframes ocultos

En ocasiones el ataque puede ser injectar un simple código iframe, que no puede resultar complicado llegar a dar con él dentro del todo el código HTML de nuestra web.

Ésto seguirían cargando en nuestra página contenido que no queremos, enlaces perjudiciales para nuestra página,etc..

¿Cómo detectar malware en tu web?

Si tu página ha sido hackeada o crees que puede contener código sospechoso puedes acceder a Webmaster Tool para obtener más información

o comprobando el status de web con la siguiente aplicación de Google http://www.google.com/safebrowsing/diagnostic?site=pedroventura.com poniendo el nombre de dominio que quieras. Los resultados para mi página son los que aparecen en la siguiente captura.

Sigue los consejos que te indican desde WebMaster Tool, pero básicamente tendrás que “limpiar” todo tu site del código malware. Una vez lo hayas hecho notifica a Google de que tu site ha sido limpiado.

Los problemas de mi página, vienen porque mi blog de WordPress fue atacado por una injección de código que redirigía a una página malintencionada causando graves daños al Posicionamiento y visitas en mi blog.

¿Cómo solucionar o eliminar el malware?

Si tienes un blog de WordPress y crees que tu blog ha sido hackeado o atacado con código malware te aconsejo que leas otro de mi artículos: Como eliminar el hack o malware de rr.nu de WordPress

En primer lugar, decirte que si tienes un backup lo restaures porque puede ser complicado o minucioso llegar a “limpiar” todos los archivos.

Tendrás que comprobar todos los archivos donde los permisos no estén asignados correctamente, es decir que los pueda editar cualquier usuario y es casi seguro que el código injectado estará en todos ellos.

Busca al inicio o al final de los archivos por código que tu no has creado, cualquier código que te parezca sospechoso quítalo. En códigos basados en PHP suelen incluir una función eval() seguida de una base64_decode() y una cadena super larga de caracteres, que no es más que un código PHP codificado y que genera la creación de los iframes o el javascript que después redirecciona a otras páginas.

Puedes usar comandos de consola para buscar y reemplazar todo el código que hayas encontrado sospechoso, en el artículo que he comentado antes indico como hacerlo: Como eliminar el hack o malware de rr.nu de WordPress

También puedes leer este tutorial de Google: https://support.google.com/webmasters/bin/answer.py?hl=es&answer=163634

Consejos si tienes WordPress u otro Open Source

  • Tienes que tener en cuenta si estás usando WordPress, Joomla, Drupal, o cualquier otro Open Source, el código es abierto, tanto para los programadores que colaboran para mejorar la herramiento creando nuevos plugins y temas, así como para los hackers u otra gente que sólo quiere joder! hablando mal. Se dedican a hacer exploits, script para atacar archivos php que tengan algún bug de seguridad, atacar a los servidores de Wordpres, etc.. por lo que siempre nuestro código va a ser vulnerable, es muy importante de que siempre esté actualizado a la última versión.
  • No uses tantos plugins. Sólo instala y mantén los que vayas a usar y que también estén actualizados.
  • Cuida tu contraseña de acceso, actualizala de vez en cuando. Debes leer el siguiente artículo: Seguridad en contraseñas. Como hacer una contraseña segura
  • Otro artículo basado en seguridad para WordPress: Consejos básicos de seguridad en WordPress

Otros enlaces de interés:

Tags de búsquedas:

malware,como eliminar facebook hack tools de mi pc,dESEO QUE SE ELIME LINK MALICIOSO VINCULADO A MI NOMBRE,eliminar virus del servidor,pongo una web y sale otra malware,imagenes de malware,joomla hackeado limpiar el malware,como eliminar malware de mi vps,eliminar virus facebook hack tools,ok permiteme Eliminar mi pagina,como localizar contenido malintencionado en mi blog,cómo quitar el código malware de pagina,como eliminar virus de una pagina web,detectar codigo malicioso en mi web,como eliminar el facebook hack tools

Noticias relacionadas »

39 comentarios en Cómo detectar y eliminar malware en tu web

  1. / Responder

    Hola, yo he conseguido limpiar mi página infectada con Js:Injection. El código malicioso estaba en el index.php, justo sobre la etiqueta , la ruta al archivo: templates/beez3/index.php
    Eliminé los dos script que figuraban y ya estoy libre de virus, por el momento

    • / Responder

      sobre la etiqueta

      • / Responder

        /head

        • Carlos
          / Responder

          Hola María, a mi me sale lo mismo, el script se coloca arriba del /head. Uno lo elimina, pero al tiempo, vuelve y se injecta, todavía no encuentro el origen donde se ocasione esto. Por fa, coméntame si no te volvió a infectar.

  2. Alejandro
    / Responder

    Hola, yo use un template qque baje del Internet y ahora me dicen en mi hosting qué el template es un peligro y esta lleno de virus, como puedo eliminar y dejarlo apto par usarlo en mi nuevo Host,

  3. / Responder

    Hola alguien de los que estan aca me puede ayudar con mi sitio Es un chat pero que tiene programaciones Malignas y ya estoy cansado de que me borren todo del host alguien que me ayude por favor
    mi correo es adrianrobertorr@gmail.com por si alguien desea ayudarme !!

  4. / Responder

    gracias por los consejos

  5. / Responder

    Saludo excelente contenido,

  6. / Responder

    Me gustaría que si haces algún otro paso o procedimiento para limpiar o eliminar el malware que no he indicado en el articulo que lo comentes, vale? Así tu experiencia puede ser buena para mi y otros lectores del blog.

    Gracias

  7. / Responder

    Estan todas lar herramientas para detectar, google tolos etc, pero hay q mirar un poco la red ya que cambian cada rato… Pueden modificar modulos y ficheros, aveces se puede limpiar con un programa mas rápido, y sino, manual… Antes de todo, prevenir y actualizar joomla o wp a la ultima en tu pagina web.

  8. / Responder

    Hola, tengo código malicioso en mi página. Estaba escondido en un módulo y lo eliminé pero google dice que sigue ahí, que puedo hacer?

  9. / Responder

    Saludo excelente contenido, Compre una Plantilla Joomla y cuando un articulo lo han visto 110 veces coloca unos enlace raros en el articulo. Utilizo K2, para manejar el contenido, si me puedes dar un consejo.

    Este es un enlace a un articulo: http://sagppld.com/index.php/component/k2/item/13-orden-y-disciplina-facilitan-al-pld-control-de-los-gremios

  10. / Responder

    excelente post. tengo un problema cuando trato de entrar al administrador de mi web echa con wordpres tarda casi 30 minutos para cargar y si quiero crear una entrada nueva igual pasa lo mismo.
    No se que pasa pero cuando trato a entrar a mi web http://www.symple.com.ve, hay no hay ningún problema, es solo en el area de administracion . me pueden ayudar ?
    espero su respuesta.

  11. / Responder

    Hola buen post, yo quiero dejar una alternativa que me funciono, ya que me parece un poco complejo este tema e intentandolo me a demandado muchas horas, espero que alguien le sirva. http://soportefluido.es/home/20-eliminacion-de-malware.html

  12. deminio
    / Responder

    Hola mi problema es que cuando una persona hace clic en el botón de pago lo redirigen a una página que dice “página no segura, salga corriendo!!!” Lo que me extraña es que en mi área local no ocurre este problema. Alguien me podría ayudar con esto. Gracias.

  13. Alonso
    / Responder

    Buenas,

    Mi problema es en referencia a una url que me han insertado en todas los “artículos” y que no logro eliminar. He leído mil cosas sobre encriptaciones de código para hacer este uso pero el resultado es el mismo, puesto que no se tampoco dónde está ese código encriptado.

    La web insertada es http://www.bettingy.com y se puede ver cuando accedes al código desde el explorador.

  14. / Responder

    Hola mi pagina web : http://www.filipinasunica.com ha sufrido un ataque hacker y esta llena de códigos maliciosos. ¿podrian darme un contacto de alguien en Madrid que me pudiera solucionar esto? esta alojada en Blue Host y esta hecha con Word Press. Es URGENTE
    Muchas gracias

    Saludos

  15. Pingback: Anónimo

  16. locasa
    / Responder

    yo teng un preblema esq mi facebook detecto un virus en mi compu y se llama malware y no me deja maipular mi facebook , pero yo ya puse el entibirus y dic q no tngo nada pero mi fcebook me dic lo contrario

  17. JOSE MARIA
    / Responder

    Cuando intento abrir alguna página en mi web, me sale un mensaje que no responde por un script de larga duración. No se como proceder.

  18. carlos
    / Responder

    hola,
    te agradeceré ayuda si es posible.
    Cuando entro en google me aparecen palabras convertidas en enlaces. Se trata de un doble subrayado que cuando pasas el cursor por encima te abre una pestaña que normalmente es un test. Nunca he entrado en el test por si de descarga algo más perjudicial.
    ¿Cómo se podría eliminar esto?

    Gracias

  19. aitor
    / Responder

    Hola gracias por la publicacion pero si yo tuviera algun problema en la web MMA Barcelona Team podria ponerme en contacto para ayudarme? Muchas gracias por todas tus entradas

    • Pedro Ventura
      / Responder

      Cual es tu problema exactamente?

  20. / Responder

    Muchísimas gracias por explicar esto para todos, voy a hacerlo ahora mismo en una web que tengo en PHP hecha “a mano”

    un saludo

  21. Carlos Peniche
    / Responder

    Una pregunta, hay una herramienta para escanear un CMS o Plantilla antes de subirlo ? Si me explico ?.

    Dicho claramente, si me bajo plantillas que no se quien las puso ahí para descargar, hay un programa para escanear esa plantilla antes de subirla a mi Web ?.

    De antemano… Gracias

  22. oswaldo
    / Responder

    amigo yo soy un poco novato en esto y quisiera que si pudieras me dieras una ayuda con un problema que tengo. sucede que la pagina web de la empresa a la cual le trabajo esta redireccionandome hacia otro sitio como podria arreglar eso? algun tipo de ayuda lo agradezco.

    • oswaldo
      / Responder

      aquí te dejo el url de la pagina para que veas el problema que tengo.

      rodriguezyasociados.com.ve

      • pedro
        / Responder

        Pues te han hackeado el site. No hay una solución mágica, tendrías que entrar en el código, buscar y encontrar donde esta el código que hace la redirección 301 a la url: /site

        Otra opción, si tuvieras una copia de seguridad de tu código sería restaurarlo y securizarlo lo máximo posible.

        Si no tienes ni idea de programación o informática que aconsejo que busques un profesional en tu zona.

  23. / Responder

    Hola Pedro.

    Me está diciendo Google que se ha encontrado software malintencionado en una de las noticias de nuestra web

    http://www.lesdoit.net/justin-bieber-madrid-2013.html

    Me dice que este es el código que se encuentra.

    He accedido al servidor y mirando en los archivos php más comunes, en el .htaccess y no encuentro ni rastro de ningún código o script parecido.

    ¿Que podría hacer?

    Muchas gracias!

  24. Julio
    / Responder

    Amigo podrían ayudarme, he sido victima de un ataque similar a los que exponen en este blog, de alguna manera han insertado dentro de mis archivos un script malintencionado que envía mails masivos a usuarios inexistentes con el dominio de mi pagina, necesito toda la ayuda posible, actualmente la pagina esta sin acceso debido a que mi proveedor de hosting las a bloqueado por seguridad pero no tengo idea de como solucionar el problema solo manejo joomla y no se absolutamente nada de programación de script, java, etc etc etc, la pagina es http://www.etniatravel.com, espero sus sabia asesoría, de ante mano muchas gracias.

  25. Inés
    / Responder

    Hola, resulta que mi tuenti empezó a enviarle a todos mis contactos un mensaje sobre encuestas con dicha web, no estaba en esos momentos conectada, y me empezaron a avisar de los mensajes, no sabia que hacer… Y el caso es que no se si es un malware, spam, no lo se… Pero se supone que si es spam se lo hubieran enviado también a mis contactos de gmail (porque está la sesión iniciada), lo cual no lo a echo… Necesito ayuda… Espero tu respuesta, y gracias de ante mano!

  26. Daniel
    / Responder

    Hola amigo me podrias ayudar con esta web???? ya nose que hacer le hise un escaneo y nada esta infectado

  27. joselin
    / Responder

    hola quisiera saber si me puede ayudar ? tengo una cuenta en un portal de chateo donde uno se envia imagenes bonitas de otras paginas para postear imagenes de todas partes del mundo pero no puedo accesar a mi perfil para verlo pues me dice q tiene software malicioso y mi antivirus me lo bloquea , puedo entrar a mens y enviar , ver perfiles y ver las etiquetas q me mandan enviar mens etiquetas pero ver mi perfil como tal donde estan mis fotos y las imagenes que me envian no la pagina con el malware se llama freeimagehosting.net es lo que me deja ver mi antivirus pero no puedo entrar veo en otra opcion las imagenes sin los codigos q uno las puede reenviar pero no se me bloquea asi q no se donde puede estar anclado este error sabe alguien como limpio mi perfil de ese portal?? hay cientos de paginas que uno usa para enviar cosas como recadolindo.com y miles pero jamas me habia pasado ! tambien hay perfiles de personas q mi antivirus bloquea pero lo q quiero es solucion para entrar a mi perfil!! gracias!

  28. Material para oficina
    / Responder

    Fantástico post

  29. visitante
    / Responder

    Mi página basada en Joomla (1.5) fue atacada empezando con el archivo htaccess y terminando con el resto de subcarpetas que son muchísimas. Gran parte de los archivos tenían cambiados los permisos a 200… en fin que tuve que borrarlo todo y hacer una instalación fresca, en el archivo “configuration.php” conecté la base de datos que ya tenía en lugar de crear una nueva y asunto solucionado.. eso parece.

    Se dice pronto, pero me costó algunos dolores de cabeza y de dedo (de tantos clicks..)

    Aún no entiendo cómo fue atacada exactamente.

  30. Gonzalo
    / Responder

    Muchas gracias por tus consejos.
    Saludos !

  31. jorge
    / Responder

    creo que los mas interesante seria aprender a hakear nuestras propias webs para saber como defendernos ante esos ataques
    la verdad no entiendo como es que se las pueden arreglar, incluso cuando el diseño es simplista y seguro
    saludos

  32. Alex
    / Responder

    Estoy sufriendo por esto en Joomla gracias por los consejos

    • Pedro Ventura
      / Responder

      Hola Alex,

      Pues si tienes malware, haz todo lo posible para arreglarlo cuanto antes porque es muy perjudicial para tu web, a mi me ha causado mucho daño y perdida de mucho tráfico a la web.

      Como he dicho en el articulo, revisa en google webmaster tool, tendrás que revisar y limpiar todo tu código. Mucha suerte y hazlo cuanto antes.

      Me gustaría que si haces algún otro paso o procedimiento para limpiar o eliminar el malware que no he indicado en el articulo que lo comentes, vale? Así tu experiencia puede ser buena para mi y otros lectores del blog.

      Gracias y un saludo!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Invertir en criptomonedas: »

 

Cómo comprar bitcoin

Invertir y comprar Bitcoin y otras altcoins es más fácil de lo que crees.

1) Si sólo quieres comprar Bitcoin, Ethereum o Litecoin como inversión, tu opción es Coinbase

2) Si quieres probar con otras criptomonedas tu opción es Binance

3) Cualquier duda escríbeme con total libertad al formulario de contacto para resolver dudas: https://www.pedroventura.com/contacto/

¡Comparte este artículo! »

  • A.BTC (4 semanas)
    Canal Serio de Señales para Trading con Criptomonedas Enlace: https://t.me/tradingcriptomonedas
  • Margart (1 mes)
    La verdad que me ha gustado mucho el post, de…
  • ¡Hablan de nosotros! (2 meses)
    […] 04/02/2018          => Lee el artículo aquí…
  • Emiluz (2 meses)
    Camaradas... tengo documento de word con formulas nativas de word...…
  • Francisco (2 meses)
    Buen dia, agradeceria el envio del archivo. Saludos.
  • yaplog.jp (2 meses)
    I am genuinely glad to glance at this webpage posts…

Suscríbete al newsletter »

Proporciona tu correo electrónico a continuación y recibe las últimas noticias! Funciona con Feedburner de Google

Archivo »

Leer entrada anterior
Configurar google analytics con subdominios en un mismo perfil

Por defecto cuando crear una cuenta en Google Analytics y después su perfil correspondiente te genera un código de seguimiento,...

Cerrar