Ultimamente, se incrementaron notablemente los casos de sitios web que son infectados por virus o codigo malicioso, sin que el webmaster lo note.
¿Como entro el virus?
A diferencia de lo que indicaria el sentido comun (si mi sitio tiene un virus, esta infectado el servidor web de mi proveedor de hosting), el problema casi siempre esta/estuvo en la PC desde donde se actualiza el sitio web.
Quienes se dedican a subir este tipo de virus, con la intencion de expandirlos a traves de internet, apuntan a robar una informacion fundamental: sus claves FTP.
Con esas claves, suben archivos infectados o sus paginas modificadas, sin que Ud. se de cuenta. Es mas, si el ataque es lo suficientemente elaborado, pueden hasta conseguir al instante su nueva clave de FTP en el momento que la modifique.
Otra manera muy comun de agregar un virus o codigo malicioso a un sitio es explotando la vulnerabilidad de una aplicacion desactualizada (foro, blog, galería de fotos, carrito de compras, etc.). Por eso es fundamental tener siempre la aplicacion actualizada y aplicar los parches de seguridad recomendados por sus desarrolladores.
¿Como encuentro el virus?
La forma mas usada para esconder un virus en un sitio web se conoce como "iframe attack".
El iframe se esconde en el codigo de sus paginas, y lo que hace es llamar a otra pagina de forma invisible (es decir, ni Ud. ni quien visite su web lo notan), buscando posicionar mejor esa pagina escondida o bien infectar con virus o codigo malicioso a los visitantes.
Lo mas comun es que lo agreguen al codigo de su pagina index (index.html, index.php, etc.). Tambien ocurre, con virus como Gumblar cn, que suban un archivo y lo ubiquen en una carpeta donde sea difícil detectarlo (Gumblar cn, por ejemplo, sube un archivo llamado image.php dentro de la carpeta images).
¿Como elimino el virus?
Paso 1: Ingresar por FTP y descargar todo el contenido del sitio a una carpeta dentro de su equipo. Inmediatamente despues, cambiar la contraseña del FTP desde su Panel de Control.
Paso 2: Correr un buen antivirus y antispyware en la carpeta que contiene la web, y en el resto del equipo (incluyendo discos extraibles).
Paso 3: Una vez que el antivirus haya eliminado archivos sospechosos, comienza el trabajo manual dentro de la carpeta donde esta su web.
Con un programa que permita buscar dentro de los archivos, habra que identificar todos aquellos que incluyan un iframe con estilo escondido (hidden), que no correspondan a su pagina, y eliminar esa porcion de codigo.
Ejemplo:
style=”visibility: hidden; display: none”>
Siguiendo el mismo procedimiento, buscar tambien si en alguna pagina existe un document.write, seguido de una línea encodeada.
Ejemplo:
De existir, borrar esa porcion de codigo.
Asegurese que todos los src= y http:// hagan referencia a archivos de su sitio web o a sitios externos que Ud. conoce y son confiables.
Luego, solo resta la revision manual: buscar entre todos los archivos la existencia de cualquier .php, .js, .htm, .html, asp, .aspx, .inc, .cfm, etc., que no pertenezca a su sitio web.
Paso 4: Una vez hecho esto, ya seguro de que su sitio este limpio, conectese por FTP en forma segura. Elimine todo el contenido de la carpeta public_html, y suba los archivos que acaba de limpiar.
Paso 5: Ahora, elimine el cache de su navegador, abra la pagina index de su web y todas aquellas que detecto como infectadas en la primera revision.
Del menu del browser elija la opción para ver el código fuente de cada pugina. Si no aparece más el iframe que apunta a una web desconocida o el document.write, entonces significa que el sitio está limpio.
Paso 6: Si Google marcó su web como sospechosa, será necesario que solicite una revisión para levantar la página de alerta. Deberá completar el formulario en Google Webmaster Central o StopBadware.
Por lo general, si Google no encuentra infecciones, en un día ya saca el sitio de su listado de webs sospechosas de alojar malware, aunque en los dos sitios se aclara que puede tomar unos días más.
