Cómo detectar y eliminar malware en tu web

Ya es conocido el uso de los virus, gusano, troyanos y el software espía que pueden dañar un equipo o una red, pero desde hace décadas que lo que se persigue es hackear y atacar páginas webs, así como los servidores, routers,etc..

Entre los últimos ataques están los que residen en comprometer la integridad de tu página web por diferentes motivos. Los 3 casos más comunes son (hay otros ataques más frecuentes como por ejemplo los de tipo DoS o denegación de servicio pero que atacan a un servidor entero, independientemente de las webs o servicios que aloje)

Ataques de php injection o de otro tipo para incluir código. Script maliciosos
Redirecciones .htaccess
Iframes ocultos

Script maliciosos

Éstos códigos se usan a menudo para redireccionar a tus visitantes o lectores a una web diferente y/o cargan malware desde otro código. Son injectados en el contenido de la página web o a veces en otros archivos del servidor, como imágenes o PDFs. Suelen ser código javascript que ejecuta la redirección. Puede ser que están ofuscados para que sea más difícil detectarlo para los scanner anti-virus/malware y para que al programador sea más difícil entenderte que hace el código malware.

A veces los códigos ejecutan archivos .js bajo nombres de dominio que pueden confundir aparentando ser web legítimas.

Redirecciones .htaccess

Hay que tener especial cuidado con este archivo de configuración del servidor de páginas web Apache, sobre todo porque es un archivo oculto.

Los atacantes pueden modificar el archivo o subir uno nuevo, si no se tiene cuidado con los permisos. Con esto conseguirán redireccionar a todos los usuarios que entren en la web a páginas de malware o lo que el atacante haya configurado.

La recomendado es que este archivo tenga permisos 644 para un usuario determinado.

Iframes ocultos

En ocasiones el ataque puede ser injectar un simple código iframe, que no puede resultar complicado llegar a dar con él dentro del todo el código HTML de nuestra web.

Ésto seguirían cargando en nuestra página contenido que no queremos, enlaces perjudiciales para nuestra página,etc..

¿Cómo detectar malware en tu web?

Si tu página ha sido hackeada o crees que puede contener código sospechoso puedes acceder a Webmaster Tool para obtener más información

o comprobando el status de web con la siguiente aplicación de Google http://www.google.com/safebrowsing/diagnostic?site=pedroventura.com poniendo el nombre de dominio que quieras. Los resultados para mi página son los que aparecen en la siguiente captura.

Sigue los consejos que te indican desde WebMaster Tool, pero básicamente tendrás que “limpiar” todo tu site del código malware. Una vez lo hayas hecho notifica a Google de que tu site ha sido limpiado.

Los problemas de mi página, vienen porque mi blog de WordPress fue atacado por una injección de código que redirigía a una página malintencionada causando graves daños al Posicionamiento y visitas en mi blog.

¿Cómo solucionar o eliminar el malware?

Si tienes un blog de WordPress y crees que tu blog ha sido hackeado o atacado con código malware te aconsejo que leas otro de mi artículos: Como eliminar el hack o malware de rr.nu de WordPress

En primer lugar, decirte que si tienes un backup lo restaures porque puede ser complicado o minucioso llegar a “limpiar” todos los archivos.

Tendrás que comprobar todos los archivos donde los permisos no estén asignados correctamente, es decir que los pueda editar cualquier usuario y es casi seguro que el código injectado estará en todos ellos.

Busca al inicio o al final de los archivos por código que tu no has creado, cualquier código que te parezca sospechoso quítalo. En códigos basados en PHP suelen incluir una función eval() seguida de una base64_decode() y una cadena super larga de caracteres, que no es más que un código PHP codificado y que genera la creación de los iframes o el javascript que después redirecciona a otras páginas.

Puedes usar comandos de consola para buscar y reemplazar todo el código que hayas encontrado sospechoso, en el artículo que he comentado antes indico como hacerlo: Como eliminar el hack o malware de rr.nu de WordPress

También puedes leer este tutorial de Google: https://support.google.com/webmasters/bin/answer.py?hl=es&answer=163634

Consejos si tienes WordPress u otro Open Source

Tienes que tener en cuenta si estás usando WordPress, Joomla, Drupal, o cualquier otro Open Source, el código es abierto, tanto para los programadores que colaboran para mejorar la herramiento creando nuevos plugins y temas, así como para los hackers u otra gente que sólo quiere joder! hablando mal. Se dedican a hacer exploits, script para atacar archivos php que tengan algún bug de seguridad, atacar a los servidores de Wordpres, etc.. por lo que siempre nuestro código va a ser vulnerable, es muy importante de que siempre esté actualizado a la última versión.
No uses tantos plugins. Sólo instala y mantén los que vayas a usar y que también estén actualizados.
Cuida tu contraseña de acceso, actualizala de vez en cuando. Debes leer el siguiente artículo: Seguridad en contraseñas. Como hacer una contraseña segura
Otro artículo basado en seguridad para WordPress: Consejos básicos de seguridad en WordPress

Otros enlaces de interés:

Tags de búsquedas:

malware,como eliminar facebook hack tools de mi pc,dESEO QUE SE ELIME LINK MALICIOSO VINCULADO A MI NOMBRE,eliminar virus del servidor,pongo una web y sale otra malware,imagenes de malware,joomla hackeado limpiar el malware,como eliminar malware de mi vps,eliminar virus facebook hack tools,ok permiteme Eliminar mi pagina,como localizar contenido malintencionado en mi blog,cómo quitar el código malware de pagina,como eliminar virus de una pagina web,detectar codigo malicioso en mi web,como eliminar el facebook hack tools

39 comentarios en Cómo detectar y eliminar malware en tu web

María Luisa

23 junio, 2016 at junio 23, 2016 / Responder

Hola, yo he conseguido limpiar mi página infectada con Js:Injection. El código malicioso estaba en el index.php, justo sobre la etiqueta , la ruta al archivo: templates/beez3/index.php
Eliminé los dos script que figuraban y ya estoy libre de virus, por el momento
- María Luisa
  
  23 junio, 2016 at junio 23, 2016 / Responder
  
  sobre la etiqueta
  - María Luisa
    
    23 junio, 2016 at junio 23, 2016 / Responder
    
    /head
    - Carlos
      
      21 octubre, 2016 at octubre 21, 2016 / Responder
      
      Hola María, a mi me sale lo mismo, el script se coloca arriba del /head. Uno lo elimina, pero al tiempo, vuelve y se injecta, todavía no encuentro el origen donde se ocasione esto. Por fa, coméntame si no te volvió a infectar.
Alejandro

9 junio, 2016 at junio 9, 2016 / Responder

Hola, yo use un template qque baje del Internet y ahora me dicen en mi hosting qué el template es un peligro y esta lleno de virus, como puedo eliminar y dejarlo apto par usarlo en mi nuevo Host,
adrian

31 mayo, 2016 at mayo 31, 2016 / Responder

Hola alguien de los que estan aca me puede ayudar con mi sitio Es un chat pero que tiene programaciones Malignas y ya estoy cansado de que me borren todo del host alguien que me ayude por favor
mi correo es adrianrobertorr@gmail.com por si alguien desea ayudarme !!
Alberto

23 mayo, 2016 at mayo 23, 2016 / Responder

gracias por los consejos
Carlos

23 mayo, 2016 at mayo 23, 2016 / Responder

Saludo excelente contenido,
Carlos

23 mayo, 2016 at mayo 23, 2016 / Responder

Me gustaría que si haces algún otro paso o procedimiento para limpiar o eliminar el malware que no he indicado en el articulo que lo comentes, vale? Así tu experiencia puede ser buena para mi y otros lectores del blog.

Gracias
diseño web seo

19 noviembre, 2015 at noviembre 19, 2015 / Responder

Estan todas lar herramientas para detectar, google tolos etc, pero hay q mirar un poco la red ya que cambian cada rato… Pueden modificar modulos y ficheros, aveces se puede limpiar con un programa mas rápido, y sino, manual… Antes de todo, prevenir y actualizar joomla o wp a la ultima en tu pagina web.
Beatriz Frasquet

14 noviembre, 2015 at noviembre 14, 2015 / Responder

Hola, tengo código malicioso en mi página. Estaba escondido en un módulo y lo eliminé pero google dice que sigue ahí, que puedo hacer?
Franklin

21 octubre, 2015 at octubre 21, 2015 / Responder

Saludo excelente contenido, Compre una Plantilla Joomla y cuando un articulo lo han visto 110 veces coloca unos enlace raros en el articulo. Utilizo K2, para manejar el contenido, si me puedes dar un consejo.

Este es un enlace a un articulo: http://sagppld.com/index.php/component/k2/item/13-orden-y-disciplina-facilitan-al-pld-control-de-los-gremios
eduardo

13 agosto, 2015 at agosto 13, 2015 / Responder

excelente post. tengo un problema cuando trato de entrar al administrador de mi web echa con wordpres tarda casi 30 minutos para cargar y si quiero crear una entrada nueva igual pasa lo mismo.
No se que pasa pero cuando trato a entrar a mi web http://www.symple.com.ve, hay no hay ningún problema, es solo en el area de administracion . me pueden ayudar ?
espero su respuesta.
juan maya

24 julio, 2015 at julio 24, 2015 / Responder

Hola buen post, yo quiero dejar una alternativa que me funciono, ya que me parece un poco complejo este tema e intentandolo me a demandado muchas horas, espero que alguien le sirva. http://soportefluido.es/home/20-eliminacion-de-malware.html
deminio

7 julio, 2015 at julio 7, 2015 / Responder

Hola mi problema es que cuando una persona hace clic en el botón de pago lo redirigen a una página que dice “página no segura, salga corriendo!!!” Lo que me extraña es que en mi área local no ocurre este problema. Alguien me podría ayudar con esto. Gracias.
Alonso

19 febrero, 2015 at febrero 19, 2015 / Responder

Buenas,

Mi problema es en referencia a una url que me han insertado en todas los “artículos” y que no logro eliminar. He leído mil cosas sobre encriptaciones de código para hacer este uso pero el resultado es el mismo, puesto que no se tampoco dónde está ese código encriptado.

La web insertada es http://www.bettingy.com y se puede ver cuando accedes al código desde el explorador.
Fernando Coloma

19 enero, 2015 at enero 19, 2015 / Responder

Hola mi pagina web : http://www.filipinasunica.com ha sufrido un ataque hacker y esta llena de códigos maliciosos. ¿podrian darme un contacto de alguien en Madrid que me pudiera solucionar esto? esta alojada en Blue Host y esta hecha con Word Press. Es URGENTE
Muchas gracias

Saludos
Pingback: Anónimo
locasa

13 agosto, 2014 at agosto 13, 2014 / Responder

yo teng un preblema esq mi facebook detecto un virus en mi compu y se llama malware y no me deja maipular mi facebook , pero yo ya puse el entibirus y dic q no tngo nada pero mi fcebook me dic lo contrario
JOSE MARIA

25 marzo, 2014 at marzo 25, 2014 / Responder

Cuando intento abrir alguna página en mi web, me sale un mensaje que no responde por un script de larga duración. No se como proceder.
carlos

17 enero, 2014 at enero 17, 2014 / Responder

hola,
te agradeceré ayuda si es posible.
Cuando entro en google me aparecen palabras convertidas en enlaces. Se trata de un doble subrayado que cuando pasas el cursor por encima te abre una pestaña que normalmente es un test. Nunca he entrado en el test por si de descarga algo más perjudicial.
¿Cómo se podría eliminar esto?

Gracias
aitor

25 septiembre, 2013 at septiembre 25, 2013 / Responder

Hola gracias por la publicacion pero si yo tuviera algun problema en la web MMA Barcelona Team podria ponerme en contacto para ayudarme? Muchas gracias por todas tus entradas
- Pedro Ventura
  
  25 septiembre, 2013 at septiembre 25, 2013 / Responder
  
  Cual es tu problema exactamente?
outlet-erotico (@Outlet_Erotico)

10 septiembre, 2013 at septiembre 10, 2013 / Responder

Muchísimas gracias por explicar esto para todos, voy a hacerlo ahora mismo en una web que tengo en PHP hecha “a mano”

un saludo
Carlos Peniche

20 julio, 2013 at julio 20, 2013 / Responder

Una pregunta, hay una herramienta para escanear un CMS o Plantilla antes de subirlo ? Si me explico ?.

Dicho claramente, si me bajo plantillas que no se quien las puso ahí para descargar, hay un programa para escanear esa plantilla antes de subirla a mi Web ?.

De antemano… Gracias
oswaldo

17 junio, 2013 at junio 17, 2013 / Responder

amigo yo soy un poco novato en esto y quisiera que si pudieras me dieras una ayuda con un problema que tengo. sucede que la pagina web de la empresa a la cual le trabajo esta redireccionandome hacia otro sitio como podria arreglar eso? algun tipo de ayuda lo agradezco.
- oswaldo
  
  17 junio, 2013 at junio 17, 2013 / Responder
  
  aquí te dejo el url de la pagina para que veas el problema que tengo.
  
  rodriguezyasociados.com.ve
  - pedro
    
    17 junio, 2013 at junio 17, 2013 / Responder
    
    Pues te han hackeado el site. No hay una solución mágica, tendrías que entrar en el código, buscar y encontrar donde esta el código que hace la redirección 301 a la url: /site
    
    Otra opción, si tuvieras una copia de seguridad de tu código sería restaurarlo y securizarlo lo máximo posible.
    
    Si no tienes ni idea de programación o informática que aconsejo que busques un profesional en tu zona.
Carlos

29 abril, 2013 at abril 29, 2013 / Responder

Hola Pedro.

Me está diciendo Google que se ha encontrado software malintencionado en una de las noticias de nuestra web

http://www.lesdoit.net/justin-bieber-madrid-2013.html

Me dice que este es el código que se encuentra.

He accedido al servidor y mirando en los archivos php más comunes, en el .htaccess y no encuentro ni rastro de ningún código o script parecido.

¿Que podría hacer?

Muchas gracias!
Julio

28 febrero, 2013 at febrero 28, 2013 / Responder

Amigo podrían ayudarme, he sido victima de un ataque similar a los que exponen en este blog, de alguna manera han insertado dentro de mis archivos un script malintencionado que envía mails masivos a usuarios inexistentes con el dominio de mi pagina, necesito toda la ayuda posible, actualmente la pagina esta sin acceso debido a que mi proveedor de hosting las a bloqueado por seguridad pero no tengo idea de como solucionar el problema solo manejo joomla y no se absolutamente nada de programación de script, java, etc etc etc, la pagina es http://www.etniatravel.com, espero sus sabia asesoría, de ante mano muchas gracias.
Inés

28 febrero, 2013 at febrero 28, 2013 / Responder

Hola, resulta que mi tuenti empezó a enviarle a todos mis contactos un mensaje sobre encuestas con dicha web, no estaba en esos momentos conectada, y me empezaron a avisar de los mensajes, no sabia que hacer… Y el caso es que no se si es un malware, spam, no lo se… Pero se supone que si es spam se lo hubieran enviado también a mis contactos de gmail (porque está la sesión iniciada), lo cual no lo a echo… Necesito ayuda… Espero tu respuesta, y gracias de ante mano!
Daniel

27 febrero, 2013 at febrero 27, 2013 / Responder

Hola amigo me podrias ayudar con esta web???? ya nose que hacer le hise un escaneo y nada esta infectado
joselin

17 diciembre, 2012 at diciembre 17, 2012 / Responder

hola quisiera saber si me puede ayudar ? tengo una cuenta en un portal de chateo donde uno se envia imagenes bonitas de otras paginas para postear imagenes de todas partes del mundo pero no puedo accesar a mi perfil para verlo pues me dice q tiene software malicioso y mi antivirus me lo bloquea , puedo entrar a mens y enviar , ver perfiles y ver las etiquetas q me mandan enviar mens etiquetas pero ver mi perfil como tal donde estan mis fotos y las imagenes que me envian no la pagina con el malware se llama freeimagehosting.net es lo que me deja ver mi antivirus pero no puedo entrar veo en otra opcion las imagenes sin los codigos q uno las puede reenviar pero no se me bloquea asi q no se donde puede estar anclado este error sabe alguien como limpio mi perfil de ese portal?? hay cientos de paginas que uno usa para enviar cosas como recadolindo.com y miles pero jamas me habia pasado ! tambien hay perfiles de personas q mi antivirus bloquea pero lo q quiero es solucion para entrar a mi perfil!! gracias!
Material para oficina

17 diciembre, 2012 at diciembre 17, 2012 / Responder

Fantástico post
visitante

30 octubre, 2012 at octubre 30, 2012 / Responder

Mi página basada en Joomla (1.5) fue atacada empezando con el archivo htaccess y terminando con el resto de subcarpetas que son muchísimas. Gran parte de los archivos tenían cambiados los permisos a 200… en fin que tuve que borrarlo todo y hacer una instalación fresca, en el archivo “configuration.php” conecté la base de datos que ya tenía en lugar de crear una nueva y asunto solucionado.. eso parece.

Se dice pronto, pero me costó algunos dolores de cabeza y de dedo (de tantos clicks..)

Aún no entiendo cómo fue atacada exactamente.
Gonzalo

25 septiembre, 2012 at septiembre 25, 2012 / Responder

Muchas gracias por tus consejos.
Saludos !
jorge

21 septiembre, 2012 at septiembre 21, 2012 / Responder

creo que los mas interesante seria aprender a hakear nuestras propias webs para saber como defendernos ante esos ataques
la verdad no entiendo como es que se las pueden arreglar, incluso cuando el diseño es simplista y seguro
saludos
Alex

28 julio, 2012 at julio 28, 2012 / Responder

Estoy sufriendo por esto en Joomla gracias por los consejos
- Pedro Ventura
  
  30 julio, 2012 at julio 30, 2012 / Responder
  
  Hola Alex,
  
  Pues si tienes malware, haz todo lo posible para arreglarlo cuanto antes porque es muy perjudicial para tu web, a mi me ha causado mucho daño y perdida de mucho tráfico a la web.
  
  Como he dicho en el articulo, revisa en google webmaster tool, tendrás que revisar y limpiar todo tu código. Mucha suerte y hazlo cuanto antes.
  
  Me gustaría que si haces algún otro paso o procedimiento para limpiar o eliminar el malware que no he indicado en el articulo que lo comentes, vale? Así tu experiencia puede ser buena para mi y otros lectores del blog.
  
  Gracias y un saludo!