Cómo detectar y eliminar malware en tu web

Ya es conocido el uso de los virus, gusano, troyanos y el software espía que pueden dañar un equipo o una red, pero desde hace décadas que lo que se persigue es hackear y atacar páginas webs, así como los servidores, routers,etc..

Entre los últimos ataques están los que residen en comprometer la integridad de tu página web por diferentes motivos. Los 3 casos más comunes son (hay otros ataques más frecuentes como por ejemplo los de tipo DoS o denegación de servicio pero que atacan a un servidor entero, independientemente de las webs o servicios que aloje)

  • Ataques de php injection o de otro tipo para incluir código. Script maliciosos
  • Redirecciones .htaccess
  • Iframes ocultos

Script maliciosos

Éstos códigos se usan a menudo para redireccionar a tus visitantes o lectores a una web diferente y/o cargan malware desde otro código. Son injectados en el contenido de la página web o a veces en otros archivos del servidor, como imágenes o PDFs. Suelen ser código javascript que ejecuta la redirección. Puede ser que están ofuscados para que sea más difícil detectarlo para los scanner anti-virus/malware y para que al programador sea más difícil entenderte que hace el código malware.

A veces los códigos ejecutan archivos .js bajo nombres de dominio que pueden confundir aparentando ser web legítimas.

Redirecciones .htaccess

Hay que tener especial cuidado con este archivo de configuración del servidor de páginas web Apache, sobre todo porque es un archivo oculto.

Los atacantes pueden modificar el archivo o subir uno nuevo, si no se tiene cuidado con los permisos. Con esto conseguirán redireccionar a todos los usuarios que entren en la web a páginas de malware o lo que el atacante haya configurado.

La recomendado es que este archivo tenga permisos 644 para un usuario determinado.

Iframes ocultos

En ocasiones el ataque puede ser injectar un simple código iframe, que no puede resultar complicado llegar a dar con él dentro del todo el código HTML de nuestra web.

Ésto seguirían cargando en nuestra página contenido que no queremos, enlaces perjudiciales para nuestra página,etc..

¿Cómo detectar malware en tu web?

Si tu página ha sido hackeada o crees que puede contener código sospechoso puedes acceder a Webmaster Tool para obtener más información

o comprobando el status de web con la siguiente aplicación de Google http://www.google.com/safebrowsing/diagnostic?site=pedroventura.com poniendo el nombre de dominio que quieras. Los resultados para mi página son los que aparecen en la siguiente captura.

Sigue los consejos que te indican desde WebMaster Tool, pero básicamente tendrás que “limpiar” todo tu site del código malware. Una vez lo hayas hecho notifica a Google de que tu site ha sido limpiado.

Los problemas de mi página, vienen porque mi blog de WordPress fue atacado por una injección de código que redirigía a una página malintencionada causando graves daños al Posicionamiento y visitas en mi blog.

¿Cómo solucionar o eliminar el malware?

Si tienes un blog de WordPress y crees que tu blog ha sido hackeado o atacado con código malware te aconsejo que leas otro de mi artículos: Como eliminar el hack o malware de rr.nu de WordPress

En primer lugar, decirte que si tienes un backup lo restaures porque puede ser complicado o minucioso llegar a “limpiar” todos los archivos.

Tendrás que comprobar todos los archivos donde los permisos no estén asignados correctamente, es decir que los pueda editar cualquier usuario y es casi seguro que el código injectado estará en todos ellos.

Busca al inicio o al final de los archivos por código que tu no has creado, cualquier código que te parezca sospechoso quítalo. En códigos basados en PHP suelen incluir una función eval() seguida de una base64_decode() y una cadena super larga de caracteres, que no es más que un código PHP codificado y que genera la creación de los iframes o el javascript que después redirecciona a otras páginas.

Puedes usar comandos de consola para buscar y reemplazar todo el código que hayas encontrado sospechoso, en el artículo que he comentado antes indico como hacerlo: Como eliminar el hack o malware de rr.nu de WordPress

También puedes leer este tutorial de Google: https://support.google.com/webmasters/bin/answer.py?hl=es&answer=163634

Consejos si tienes WordPress u otro Open Source

  • Tienes que tener en cuenta si estás usando WordPress, Joomla, Drupal, o cualquier otro Open Source, el código es abierto, tanto para los programadores que colaboran para mejorar la herramiento creando nuevos plugins y temas, así como para los hackers u otra gente que sólo quiere joder! hablando mal. Se dedican a hacer exploits, script para atacar archivos php que tengan algún bug de seguridad, atacar a los servidores de Wordpres, etc.. por lo que siempre nuestro código va a ser vulnerable, es muy importante de que siempre esté actualizado a la última versión.
  • No uses tantos plugins. Sólo instala y mantén los que vayas a usar y que también estén actualizados.
  • Cuida tu contraseña de acceso, actualizala de vez en cuando. Debes leer el siguiente artículo: Seguridad en contraseñas. Como hacer una contraseña segura
  • Otro artículo basado en seguridad para WordPress: Consejos básicos de seguridad en WordPress

Otros enlaces de interés:

39 opiniones en “Cómo detectar y eliminar malware en tu web”

    1. Hola Alex,

      Pues si tienes malware, haz todo lo posible para arreglarlo cuanto antes porque es muy perjudicial para tu web, a mi me ha causado mucho daño y perdida de mucho tráfico a la web.

      Como he dicho en el articulo, revisa en google webmaster tool, tendrás que revisar y limpiar todo tu código. Mucha suerte y hazlo cuanto antes.

      Me gustaría que si haces algún otro paso o procedimiento para limpiar o eliminar el malware que no he indicado en el articulo que lo comentes, vale? Así tu experiencia puede ser buena para mi y otros lectores del blog.

      Gracias y un saludo!

  1. creo que los mas interesante seria aprender a hakear nuestras propias webs para saber como defendernos ante esos ataques
    la verdad no entiendo como es que se las pueden arreglar, incluso cuando el diseño es simplista y seguro
    saludos

  2. Mi página basada en Joomla (1.5) fue atacada empezando con el archivo htaccess y terminando con el resto de subcarpetas que son muchísimas. Gran parte de los archivos tenían cambiados los permisos a 200… en fin que tuve que borrarlo todo y hacer una instalación fresca, en el archivo “configuration.php” conecté la base de datos que ya tenía en lugar de crear una nueva y asunto solucionado.. eso parece.

    Se dice pronto, pero me costó algunos dolores de cabeza y de dedo (de tantos clicks..)

    Aún no entiendo cómo fue atacada exactamente.

  3. hola quisiera saber si me puede ayudar ? tengo una cuenta en un portal de chateo donde uno se envia imagenes bonitas de otras paginas para postear imagenes de todas partes del mundo pero no puedo accesar a mi perfil para verlo pues me dice q tiene software malicioso y mi antivirus me lo bloquea , puedo entrar a mens y enviar , ver perfiles y ver las etiquetas q me mandan enviar mens etiquetas pero ver mi perfil como tal donde estan mis fotos y las imagenes que me envian no la pagina con el malware se llama freeimagehosting.net es lo que me deja ver mi antivirus pero no puedo entrar veo en otra opcion las imagenes sin los codigos q uno las puede reenviar pero no se me bloquea asi q no se donde puede estar anclado este error sabe alguien como limpio mi perfil de ese portal?? hay cientos de paginas que uno usa para enviar cosas como recadolindo.com y miles pero jamas me habia pasado ! tambien hay perfiles de personas q mi antivirus bloquea pero lo q quiero es solucion para entrar a mi perfil!! gracias!

  4. Hola, resulta que mi tuenti empezó a enviarle a todos mis contactos un mensaje sobre encuestas con dicha web, no estaba en esos momentos conectada, y me empezaron a avisar de los mensajes, no sabia que hacer… Y el caso es que no se si es un malware, spam, no lo se… Pero se supone que si es spam se lo hubieran enviado también a mis contactos de gmail (porque está la sesión iniciada), lo cual no lo a echo… Necesito ayuda… Espero tu respuesta, y gracias de ante mano!

  5. Amigo podrían ayudarme, he sido victima de un ataque similar a los que exponen en este blog, de alguna manera han insertado dentro de mis archivos un script malintencionado que envía mails masivos a usuarios inexistentes con el dominio de mi pagina, necesito toda la ayuda posible, actualmente la pagina esta sin acceso debido a que mi proveedor de hosting las a bloqueado por seguridad pero no tengo idea de como solucionar el problema solo manejo joomla y no se absolutamente nada de programación de script, java, etc etc etc, la pagina es http://www.etniatravel.com, espero sus sabia asesoría, de ante mano muchas gracias.

  6. amigo yo soy un poco novato en esto y quisiera que si pudieras me dieras una ayuda con un problema que tengo. sucede que la pagina web de la empresa a la cual le trabajo esta redireccionandome hacia otro sitio como podria arreglar eso? algun tipo de ayuda lo agradezco.

      1. Pues te han hackeado el site. No hay una solución mágica, tendrías que entrar en el código, buscar y encontrar donde esta el código que hace la redirección 301 a la url: /site

        Otra opción, si tuvieras una copia de seguridad de tu código sería restaurarlo y securizarlo lo máximo posible.

        Si no tienes ni idea de programación o informática que aconsejo que busques un profesional en tu zona.

  7. Una pregunta, hay una herramienta para escanear un CMS o Plantilla antes de subirlo ? Si me explico ?.

    Dicho claramente, si me bajo plantillas que no se quien las puso ahí para descargar, hay un programa para escanear esa plantilla antes de subirla a mi Web ?.

    De antemano… Gracias

  8. Hola gracias por la publicacion pero si yo tuviera algun problema en la web MMA Barcelona Team podria ponerme en contacto para ayudarme? Muchas gracias por todas tus entradas

  9. hola,
    te agradeceré ayuda si es posible.
    Cuando entro en google me aparecen palabras convertidas en enlaces. Se trata de un doble subrayado que cuando pasas el cursor por encima te abre una pestaña que normalmente es un test. Nunca he entrado en el test por si de descarga algo más perjudicial.
    ¿Cómo se podría eliminar esto?

    Gracias

  10. yo teng un preblema esq mi facebook detecto un virus en mi compu y se llama malware y no me deja maipular mi facebook , pero yo ya puse el entibirus y dic q no tngo nada pero mi fcebook me dic lo contrario

  11. Pingback: Anónimo
  12. Buenas,

    Mi problema es en referencia a una url que me han insertado en todas los “artículos” y que no logro eliminar. He leído mil cosas sobre encriptaciones de código para hacer este uso pero el resultado es el mismo, puesto que no se tampoco dónde está ese código encriptado.

    La web insertada es http://www.bettingy.com y se puede ver cuando accedes al código desde el explorador.

  13. Hola mi problema es que cuando una persona hace clic en el botón de pago lo redirigen a una página que dice “página no segura, salga corriendo!!!” Lo que me extraña es que en mi área local no ocurre este problema. Alguien me podría ayudar con esto. Gracias.

  14. excelente post. tengo un problema cuando trato de entrar al administrador de mi web echa con wordpres tarda casi 30 minutos para cargar y si quiero crear una entrada nueva igual pasa lo mismo.
    No se que pasa pero cuando trato a entrar a mi web http://www.symple.com.ve, hay no hay ningún problema, es solo en el area de administracion . me pueden ayudar ?
    espero su respuesta.

  15. Estan todas lar herramientas para detectar, google tolos etc, pero hay q mirar un poco la red ya que cambian cada rato… Pueden modificar modulos y ficheros, aveces se puede limpiar con un programa mas rápido, y sino, manual… Antes de todo, prevenir y actualizar joomla o wp a la ultima en tu pagina web.

  16. Me gustaría que si haces algún otro paso o procedimiento para limpiar o eliminar el malware que no he indicado en el articulo que lo comentes, vale? Así tu experiencia puede ser buena para mi y otros lectores del blog.

    Gracias

  17. Hola, yo use un template qque baje del Internet y ahora me dicen en mi hosting qué el template es un peligro y esta lleno de virus, como puedo eliminar y dejarlo apto par usarlo en mi nuevo Host,

  18. Hola, yo he conseguido limpiar mi página infectada con Js:Injection. El código malicioso estaba en el index.php, justo sobre la etiqueta , la ruta al archivo: templates/beez3/index.php
    Eliminé los dos script que figuraban y ya estoy libre de virus, por el momento

        1. Hola María, a mi me sale lo mismo, el script se coloca arriba del /head. Uno lo elimina, pero al tiempo, vuelve y se injecta, todavía no encuentro el origen donde se ocasione esto. Por fa, coméntame si no te volvió a infectar.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *