Ya es conocido el uso de los virus, gusano, troyanos y el software espía que pueden dañar un equipo o una red, pero desde hace décadas que lo que se persigue es hackear y atacar páginas webs, así como los servidores, routers,etc..
Entre los últimos ataques están los que residen en comprometer la integridad de tu página web por diferentes motivos. Los 3 casos más comunes son (hay otros ataques más frecuentes como por ejemplo los de tipo DoS o denegación de servicio pero que atacan a un servidor entero, independientemente de las webs o servicios que aloje)
- Ataques de php injection o de otro tipo para incluir código. Script maliciosos
- Redirecciones .htaccess
- Iframes ocultos
Script maliciosos
Éstos códigos se usan a menudo para redireccionar a tus visitantes o lectores a una web diferente y/o cargan malware desde otro código. Son injectados en el contenido de la página web o a veces en otros archivos del servidor, como imágenes o PDFs. Suelen ser código javascript que ejecuta la redirección. Puede ser que están ofuscados para que sea más difícil detectarlo para los scanner anti-virus/malware y para que al programador sea más difícil entenderte que hace el código malware.
A veces los códigos ejecutan archivos .js bajo nombres de dominio que pueden confundir aparentando ser web legítimas.
Redirecciones .htaccess
Hay que tener especial cuidado con este archivo de configuración del servidor de páginas web Apache, sobre todo porque es un archivo oculto.
Los atacantes pueden modificar el archivo o subir uno nuevo, si no se tiene cuidado con los permisos. Con esto conseguirán redireccionar a todos los usuarios que entren en la web a páginas de malware o lo que el atacante haya configurado.
La recomendado es que este archivo tenga permisos 644 para un usuario determinado.
Iframes ocultos
En ocasiones el ataque puede ser injectar un simple código iframe, que no puede resultar complicado llegar a dar con él dentro del todo el código HTML de nuestra web.
Ésto seguirían cargando en nuestra página contenido que no queremos, enlaces perjudiciales para nuestra página,etc..
¿Cómo detectar malware en tu web?
Si tu página ha sido hackeada o crees que puede contener código sospechoso puedes acceder a Webmaster Tool para obtener más información
o comprobando el status de web con la siguiente aplicación de Google http://www.google.com/safebrowsing/diagnostic?site=pedroventura.com poniendo el nombre de dominio que quieras. Los resultados para mi página son los que aparecen en la siguiente captura.
Sigue los consejos que te indican desde WebMaster Tool, pero básicamente tendrás que “limpiar” todo tu site del código malware. Una vez lo hayas hecho notifica a Google de que tu site ha sido limpiado.
Los problemas de mi página, vienen porque mi blog de WordPress fue atacado por una injección de código que redirigía a una página malintencionada causando graves daños al Posicionamiento y visitas en mi blog.
¿Cómo solucionar o eliminar el malware?
Si tienes un blog de WordPress y crees que tu blog ha sido hackeado o atacado con código malware te aconsejo que leas otro de mi artículos: Como eliminar el hack o malware de rr.nu de WordPress
En primer lugar, decirte que si tienes un backup lo restaures porque puede ser complicado o minucioso llegar a “limpiar” todos los archivos.
Tendrás que comprobar todos los archivos donde los permisos no estén asignados correctamente, es decir que los pueda editar cualquier usuario y es casi seguro que el código injectado estará en todos ellos.
Busca al inicio o al final de los archivos por código que tu no has creado, cualquier código que te parezca sospechoso quítalo. En códigos basados en PHP suelen incluir una función eval() seguida de una base64_decode() y una cadena super larga de caracteres, que no es más que un código PHP codificado y que genera la creación de los iframes o el javascript que después redirecciona a otras páginas.
Puedes usar comandos de consola para buscar y reemplazar todo el código que hayas encontrado sospechoso, en el artículo que he comentado antes indico como hacerlo: Como eliminar el hack o malware de rr.nu de WordPress
También puedes leer este tutorial de Google: https://support.google.com/webmasters/bin/answer.py?hl=es&answer=163634
Consejos si tienes WordPress u otro Open Source
- Tienes que tener en cuenta si estás usando WordPress, Joomla, Drupal, o cualquier otro Open Source, el código es abierto, tanto para los programadores que colaboran para mejorar la herramiento creando nuevos plugins y temas, así como para los hackers u otra gente que sólo quiere joder! hablando mal. Se dedican a hacer exploits, script para atacar archivos php que tengan algún bug de seguridad, atacar a los servidores de Wordpres, etc.. por lo que siempre nuestro código va a ser vulnerable, es muy importante de que siempre esté actualizado a la última versión.
- No uses tantos plugins. Sólo instala y mantén los que vayas a usar y que también estén actualizados.
- Cuida tu contraseña de acceso, actualizala de vez en cuando. Debes leer el siguiente artículo: Seguridad en contraseñas. Como hacer una contraseña segura
- Otro artículo basado en seguridad para WordPress: Consejos básicos de seguridad en WordPress
Otros enlaces de interés:
Hola, desde hace poco me di cuenta que al revisar la carpeta de archivos de mi servidor se crea un index.php y un index.html bak bak, y dentro de otras carpetas otros archi os php, los intente borrar y luego vuelven a aparecer, cambie mi clave de ftp y acceso y aparece todo lo detallado anteriormente, converse con mi proveedor (hostgator) y no hacen restauraciones de sistema, probé subir todo lo que tenia en eses servidor a otro y no genera esos archivos php, mi proveedor puede haber ingresado malware? Tal ves para que le compre el security lock? O algo así se llama ese servicio de protección y eliminación de malware.
Hola, yo he conseguido limpiar mi página infectada con Js:Injection. El código malicioso estaba en el index.php, justo sobre la etiqueta , la ruta al archivo: templates/beez3/index.php
Eliminé los dos script que figuraban y ya estoy libre de virus, por el momento
sobre la etiqueta
/head
Hola María, a mi me sale lo mismo, el script se coloca arriba del /head. Uno lo elimina, pero al tiempo, vuelve y se injecta, todavía no encuentro el origen donde se ocasione esto. Por fa, coméntame si no te volvió a infectar.
Hola, yo use un template qque baje del Internet y ahora me dicen en mi hosting qué el template es un peligro y esta lleno de virus, como puedo eliminar y dejarlo apto par usarlo en mi nuevo Host,
Hola alguien de los que estan aca me puede ayudar con mi sitio Es un chat pero que tiene programaciones Malignas y ya estoy cansado de que me borren todo del host alguien que me ayude por favor
mi correo es adrianrobertorr@gmail.com por si alguien desea ayudarme !!
gracias por los consejos
Saludo excelente contenido,
Me gustaría que si haces algún otro paso o procedimiento para limpiar o eliminar el malware que no he indicado en el articulo que lo comentes, vale? Así tu experiencia puede ser buena para mi y otros lectores del blog.
Gracias
Estan todas lar herramientas para detectar, google tolos etc, pero hay q mirar un poco la red ya que cambian cada rato… Pueden modificar modulos y ficheros, aveces se puede limpiar con un programa mas rápido, y sino, manual… Antes de todo, prevenir y actualizar joomla o wp a la ultima en tu pagina web.
Hola, tengo código malicioso en mi página. Estaba escondido en un módulo y lo eliminé pero google dice que sigue ahí, que puedo hacer?
Saludo excelente contenido, Compre una Plantilla Joomla y cuando un articulo lo han visto 110 veces coloca unos enlace raros en el articulo. Utilizo K2, para manejar el contenido, si me puedes dar un consejo.
Este es un enlace a un articulo: http://sagppld.com/index.php/component/k2/item/13-orden-y-disciplina-facilitan-al-pld-control-de-los-gremios
excelente post. tengo un problema cuando trato de entrar al administrador de mi web echa con wordpres tarda casi 30 minutos para cargar y si quiero crear una entrada nueva igual pasa lo mismo.
No se que pasa pero cuando trato a entrar a mi web http://www.symple.com.ve, hay no hay ningún problema, es solo en el area de administracion . me pueden ayudar ?
espero su respuesta.
Hola buen post, yo quiero dejar una alternativa que me funciono, ya que me parece un poco complejo este tema e intentandolo me a demandado muchas horas, espero que alguien le sirva. http://soportefluido.es/home/20-eliminacion-de-malware.html
Hola mi problema es que cuando una persona hace clic en el botón de pago lo redirigen a una página que dice “página no segura, salga corriendo!!!” Lo que me extraña es que en mi área local no ocurre este problema. Alguien me podría ayudar con esto. Gracias.
Buenas,
Mi problema es en referencia a una url que me han insertado en todas los “artículos” y que no logro eliminar. He leído mil cosas sobre encriptaciones de código para hacer este uso pero el resultado es el mismo, puesto que no se tampoco dónde está ese código encriptado.
La web insertada es http://www.bettingy.com y se puede ver cuando accedes al código desde el explorador.
Hola mi pagina web : http://www.filipinasunica.com ha sufrido un ataque hacker y esta llena de códigos maliciosos. ¿podrian darme un contacto de alguien en Madrid que me pudiera solucionar esto? esta alojada en Blue Host y esta hecha con Word Press. Es URGENTE
Muchas gracias
Saludos
yo teng un preblema esq mi facebook detecto un virus en mi compu y se llama malware y no me deja maipular mi facebook , pero yo ya puse el entibirus y dic q no tngo nada pero mi fcebook me dic lo contrario
Cuando intento abrir alguna página en mi web, me sale un mensaje que no responde por un script de larga duración. No se como proceder.
hola,
te agradeceré ayuda si es posible.
Cuando entro en google me aparecen palabras convertidas en enlaces. Se trata de un doble subrayado que cuando pasas el cursor por encima te abre una pestaña que normalmente es un test. Nunca he entrado en el test por si de descarga algo más perjudicial.
¿Cómo se podría eliminar esto?
Gracias
Hola gracias por la publicacion pero si yo tuviera algun problema en la web MMA Barcelona Team podria ponerme en contacto para ayudarme? Muchas gracias por todas tus entradas
Cual es tu problema exactamente?
Muchísimas gracias por explicar esto para todos, voy a hacerlo ahora mismo en una web que tengo en PHP hecha “a mano”
un saludo
Una pregunta, hay una herramienta para escanear un CMS o Plantilla antes de subirlo ? Si me explico ?.
Dicho claramente, si me bajo plantillas que no se quien las puso ahí para descargar, hay un programa para escanear esa plantilla antes de subirla a mi Web ?.
De antemano… Gracias
amigo yo soy un poco novato en esto y quisiera que si pudieras me dieras una ayuda con un problema que tengo. sucede que la pagina web de la empresa a la cual le trabajo esta redireccionandome hacia otro sitio como podria arreglar eso? algun tipo de ayuda lo agradezco.
aquí te dejo el url de la pagina para que veas el problema que tengo.
rodriguezyasociados.com.ve
Pues te han hackeado el site. No hay una solución mágica, tendrías que entrar en el código, buscar y encontrar donde esta el código que hace la redirección 301 a la url: /site
Otra opción, si tuvieras una copia de seguridad de tu código sería restaurarlo y securizarlo lo máximo posible.
Si no tienes ni idea de programación o informática que aconsejo que busques un profesional en tu zona.
Hola Pedro.
Me está diciendo Google que se ha encontrado software malintencionado en una de las noticias de nuestra web
http://www.lesdoit.net/justin-bieber-madrid-2013.html
Me dice que este es el código que se encuentra.
He accedido al servidor y mirando en los archivos php más comunes, en el .htaccess y no encuentro ni rastro de ningún código o script parecido.
¿Que podría hacer?
Muchas gracias!
Amigo podrían ayudarme, he sido victima de un ataque similar a los que exponen en este blog, de alguna manera han insertado dentro de mis archivos un script malintencionado que envía mails masivos a usuarios inexistentes con el dominio de mi pagina, necesito toda la ayuda posible, actualmente la pagina esta sin acceso debido a que mi proveedor de hosting las a bloqueado por seguridad pero no tengo idea de como solucionar el problema solo manejo joomla y no se absolutamente nada de programación de script, java, etc etc etc, la pagina es http://www.etniatravel.com, espero sus sabia asesoría, de ante mano muchas gracias.
Hola, resulta que mi tuenti empezó a enviarle a todos mis contactos un mensaje sobre encuestas con dicha web, no estaba en esos momentos conectada, y me empezaron a avisar de los mensajes, no sabia que hacer… Y el caso es que no se si es un malware, spam, no lo se… Pero se supone que si es spam se lo hubieran enviado también a mis contactos de gmail (porque está la sesión iniciada), lo cual no lo a echo… Necesito ayuda… Espero tu respuesta, y gracias de ante mano!
Hola amigo me podrias ayudar con esta web???? ya nose que hacer le hise un escaneo y nada esta infectado
hola quisiera saber si me puede ayudar ? tengo una cuenta en un portal de chateo donde uno se envia imagenes bonitas de otras paginas para postear imagenes de todas partes del mundo pero no puedo accesar a mi perfil para verlo pues me dice q tiene software malicioso y mi antivirus me lo bloquea , puedo entrar a mens y enviar , ver perfiles y ver las etiquetas q me mandan enviar mens etiquetas pero ver mi perfil como tal donde estan mis fotos y las imagenes que me envian no la pagina con el malware se llama freeimagehosting.net es lo que me deja ver mi antivirus pero no puedo entrar veo en otra opcion las imagenes sin los codigos q uno las puede reenviar pero no se me bloquea asi q no se donde puede estar anclado este error sabe alguien como limpio mi perfil de ese portal?? hay cientos de paginas que uno usa para enviar cosas como recadolindo.com y miles pero jamas me habia pasado ! tambien hay perfiles de personas q mi antivirus bloquea pero lo q quiero es solucion para entrar a mi perfil!! gracias!
Fantástico post
Mi página basada en Joomla (1.5) fue atacada empezando con el archivo htaccess y terminando con el resto de subcarpetas que son muchísimas. Gran parte de los archivos tenían cambiados los permisos a 200… en fin que tuve que borrarlo todo y hacer una instalación fresca, en el archivo “configuration.php” conecté la base de datos que ya tenía en lugar de crear una nueva y asunto solucionado.. eso parece.
Se dice pronto, pero me costó algunos dolores de cabeza y de dedo (de tantos clicks..)
Aún no entiendo cómo fue atacada exactamente.
Muchas gracias por tus consejos.
Saludos !
creo que los mas interesante seria aprender a hakear nuestras propias webs para saber como defendernos ante esos ataques
la verdad no entiendo como es que se las pueden arreglar, incluso cuando el diseño es simplista y seguro
saludos
Estoy sufriendo por esto en Joomla gracias por los consejos
Hola Alex,
Pues si tienes malware, haz todo lo posible para arreglarlo cuanto antes porque es muy perjudicial para tu web, a mi me ha causado mucho daño y perdida de mucho tráfico a la web.
Como he dicho en el articulo, revisa en google webmaster tool, tendrás que revisar y limpiar todo tu código. Mucha suerte y hazlo cuanto antes.
Me gustaría que si haces algún otro paso o procedimiento para limpiar o eliminar el malware que no he indicado en el articulo que lo comentes, vale? Así tu experiencia puede ser buena para mi y otros lectores del blog.
Gracias y un saludo!