Sigue los siguientes pasos:
1) Identifica que páginas están marcadas por malware y saca indicios de por qué están marcadas.
1. En cualquier cuadro de búsqueda de Google ingresa: site:tudominio.com
2. Verifica qué paginas tienen la banderola de advertencia. Casi siempre todos lo tienen aunque a veces no todos.
3. Haz clic en el enlace de una de las páginas marcadas. En vez de ir a tu sitio, Google irá a la “Página Previa” de advertencia.
4. En esa página, siga el enlace “Página de diagnóstico de navegación segura” y estudialo. Otra forma de ir directamente a la página de diagnóstico de navegación segura (Puedes verificar cualquier sitio web de esta manera) es ingresando a esta URL en tu barra de navegación. Reemplaza EJEMPLO.COM por la dirección del sitio web que tu quieras verificar:
http://www.google.com/safebrowsing/diagnostic?site=EJEMPLO.COM
5. A continuación le mostramos explicaciones a algunas características de la página que por si misma no están explicadas:
* Software malicioso esta alojado en __ dominio(s)
*__ dominio(s) parecen estar funcionando como intermediarios para distribuir malware a los visitantes al sitio.
Cuando tu sitio carga en el navegador, carga contenido adicional de estos dominios y direcciones IP para ser apuntados y cargados también. Probablemente halles los enlaces al contenido adicional en el código fuente de tus páginas. Lo mas probable es que tu sitio fue alcanzado por un “Ataque de inyección” el cual puso los enlaces ahí.
<p”>Algunas veces los enlaces maliciosos en las páginas causan que se cargue el contenido de otros sitios remotos en cadena. Por ejemplo, tu página puede contener un iframe oculto que carga una página del sitio A, pero esa página puede tener JavaScript que carga un archivo VBScript del Sitio B, lo cual se torna en que descargue en si la carga con el problema, el programa malicioso, del sitio C. En este escenario, C es el host y A y B son los intermediarios.
* ¿Ha actuado este sitio como intermediario resultando ser un distribuidor de malware?
¿Esta tu sitio siendo usado como “Cadena” que causa que el código malicioso aparezca en otros sitio? Por ejemplo, Si eres una persona que hace publicidad en otros sitios, alguien podría comprometer tus avisos, los cuales podrían ser utilizados. O si alojas Scripts PHP que otros sitios llaman para obtener su contenido, alguien podría alterar tu código. El resultado aparecería en otros sitios, no en el tuyo, así te convertirías en un “intermediario”. (Esta parece ser una ligera variación del significado de “intermediario” tal y como la palabra fue usada en la sección previa)
* ¿Ha alojado malware el sitio?: a) ¿hay virus directamente en el código fuente de tus páginas, o b) Están los virus u otros programas maliciosos realmente siendo almacenados en la estructura del directorio de tu sitio, como el sitio C del ejemplo de arriba?
6. Ve a las herramientas de webmaster en Google Webmaster Central. Si no tienes una cuenta puedes crear una, es gratuito. Ellos muestran el estado del badware de tu sitio, brindan ayuda, y una lista parcial de páginas atacantes.
7. Busca tu sitio en la base de datos de StopBadware Clearinghouse
8. Si Norton Safe Web de Symantec ha encontrado el malware, su reporte muestra la localización (Nombre de archivos) de amenazas mas completamente que los resportes de Google y Stopbadware.
9. Escanea las páginas de tu sitio en UnmaskParasites para encontrar iframes ocultos.
10. Escanea las páginas de tu sitio web en Dasient.
11. Haz una búsqueda web en cada uno de los nombre de dominios y direcciones IP mencionadas en tu reporte de diagnóstico de página segura de Google sea que seas Origen o Intermediario de el malware en tus páginas. Alguno de estos nombres de sitios web y direcciones IP están asociadas con tipos específicos de atacantes. Por ejemplo, si los dominios mencionados son gumblar o martuz, es seguro que un virus en la PC de uno de tus administradores robó la información de usuario FTP y contraseña y la usó para hackear el sitio, así es que debes escanear los virus. Por otro lado, si el domino es beladen, estas enfrentándote a todo el servidor comprometido, este no es ataque ordinario en tu sitio web, así es que debes notificar a tu Proveedor de hosting. Estos nombres de dominios pueden darte una buena pista de lo que esta mal y ahorrarte muchísimo tiempo si tu búsqueda es exitosa.
Ahora que tienes información preliminar acerca de qué páginas están afectadas y lo que parece estar mal en ellas, puedes empezar a buscar el código malicioso, Algo de eso puede haber sido identificado en los pasos 9 y 10 de arriba.
2) Recuerda buscar el badware en tu código fuente.
Cuando sea posible, ve y busca el código fuente de tus páginas en tu servidor. Esto te permite ver todo el código, incluso si esta puesto solamente algunas veces en la página.
Explicación:
Algunos explotan maliciosamente el código de tus páginas bajo ciertas condiciones tales como que el visitante este usando Internet explorer o si vienen a tu web desde una página de resultado de búsquedas en Yahoo o Google. Tu vista particular puede no estar bajo estas condiciones (tal como si estas usando firefox o fuiste directamente al sitio sin usar un motor de búsqueda). Si examinas páginas con tu vista de origen de comandos del navegador puedes pensar que la página esta limpia; sin embargo, en otras veces o cuando otras personas lo vean no lo estará.
Examinar el código de origen en tu servidor te permite ver todo el código que esta ahí.
3) Programas para detectar páginas con código malicioso.
3a) Busca una página a la vez. (Recomendado)
- Un programa cliente FTP como FireFTP. Puedes usar Windows Explorer para FTP, Si en realidad tienes que hacerlo.
- Cpanel (o Plesk) > Administrador de Archivos.
Empieza con la Página web ‘baneada’ más importante (Como tu página de Inicio), Visualmente inspecciona el código fuente de cada archivo de acuerdo al tipo de código malicioso descrito en la sección 4 abajo.
El código malicioso con frecuencia es insertado en los archivos de páginas web por robots (programas) usando reglas muy simples para ponerlos donde sea. Algunas localizaciones comunes son:
- En la parte superior del archivo (En la primera línea)
- Justo antes o después de las etiquetas o .
- En la parte final del archivo, después de la etiqueta
Si tus páginas normalmente se validan en W3C, ve ahí y verifica tus páginas baneadas con badware, cualquier error que tu tengas puede apuntar directamente a donde esta el código malicioso.
3b) Busca múltiples archivos.
Con la búsqueda de múltiples archivos, un programa escanea todos los archivos con la cadena de búsqueda que especifiques, y reporta todas las instancias que encuentra. Esta es una manera eficiente de buscar si ya sabes cómo hacerlo. Si no lo sabes, esta no es probablemente la mejor forma de aprender, y te recomendaríamos el método de buscar una página a la vez de arriba.
Servidor dedicado
Haz tu búsqueda directamente en tu servidor con una herramienta del sistema operativo como grep.
Servidor Compartido
Si ya te has familiarizado con el Cron y Grep, puedes crear un Cron Job para hacer la búsqueda grep si es que tuvieras Acceso Shell (Línea de comando).
Si no puedes, descarga las páginas (o tu sitio completo) a tu PC para que puedas buscarlos ahí. Descárgalos con:
- FTP. Si normalmente publicas tu sitio con FTP, ¡asegúrate cuando subas devuelta tu sitio a tu PC que no estés sobrescribiendo tu sitio local! Copia los archivos a un lugar diferente.
- Wget. Después de una búsqueda confusa, encontré my version windows xp en: http://www.christopherlewis.com/WGet/WGetFiles.htm.
- cURL.
Después de descargar las páginas a tu PC, puedes hacer la búsqueda con cualquier programa que soporte búsqueda de múltiples archivos. Algunos ejemplos son:
- FrontPage
- Expression Web
- Dreamweaver
- GREP or alguna utilidad similar
- Un programa IDE como Microsoft Visual C++ or Borland C++ Builder
-
Windows Explorer (sus métodos de búsqueda tienen peculiaridades que lo hacen una pobre elección para estas búsquedas)
4) Busca cadenas para encontrar el código malicioso.
Estas son útiles cadenas de búsqueda, si buscas un archivo a la vez o todos los archivos de una sola vez.
|
Puede descubrir enlaces maliciosos, que con frecuencia son iframes. |
src= |
Busca ocurrencias de iframes y JavaScript porque estos usan la propiedad. La señal igual puede ser codificada como = o %3D o 3d. Buscar solo src te permitiría encontrar todos. |
http:// |
Encuentra referencias a sitios remotos |
script language= |
Encuentra ocurrencias de Scripts |
unescape |
Una función JavaScript que con frecuencia se halla en el código malicioso. |
eval |
Otra función JavaScript encontrada también en el código malicioso. |
Asegúrate de que todas las instancias de src= y http:// siempre hagan referencias a archivos de tu sitio o a sitios externos que conoscas y en los cuales confíes.
Algunos sitios confiables comunes son:
- pagead2.googlesyndication.com (Si es que usas AdSense)
- www.google-analytics.com (Google analítico). Como siempre, asegurate de no escribir gooqle-analytics con q ya que es un sitio spoof/malware y no es bueno. Existen otros similares que parecen ser google pero que no lo son asi es que escribelo con cuidado.
4a) ¿Cómo se lucen los iframes maliciosos o invisibles?
Los códigos iframes lucen como este. Si no reconoces sitioremoto.com, el código es suspechoso. Este ejemplo combina dos métodos separados para hacer un “iframe invisible” cualquiera de los dos pueden funcionar por si mismos: la configuración de alto y ancho o el estilo:
http://sitioremoto.com/ruta/archivo</a>” width=”0” height=”0” frameborder=”0” style=”display:none”>
Donde sea que encuentres un iframe como este, haz una búsqueda en sitioremoto.com para encontrar sitios web de seguridad relacionados, blogs o foros que discutan el tema:
sitioremoto.com malware o hacked
Ten cuidado para que no hagas click en algun resultado que sea el sitio malicioso, o que sea un sitio web que haya sido infectado por el. Algunos iframes estan siempre asociados con un particular tipo de problema, asi es que la información de lo que encontraste puede ahorrarte un monton de tiempo cómo tu sitio web fue hackeado. Por ejemplo: iframes refiriendose a gumblar.cnn, martuz.cn y una creciente lista de otros son el resultado de contraseña FTP robada de una PC del webmaster asi es que el problema de seguridad esta en la PC y no en el servidor.
4b) ¿Cómo lucen las referencias maliciosas JavaScript?
Las referencias JavaScript a sitios externos lucen como esta. Si no reconoces sitioremoto.com entonces el código es sospechoso. Este código llama y ejecuta un JS Script que es alojado en un sitio web que no es el tuyo. Después que un visitante carga tu página, su navegador apunta a este JavaScript del otro sitio y lo ejecuta.
4c) ¿Cómo luce el código JavaScript malicioso o manipulado?
El código malicioso JavaScript directamente en tus páginas (En vez de ser llamado Referencia como lo hicimos lineas arriba) es con frecuencia “manipulado”, “escondido” o “encriptado” para complicar el entendimiento de lo que en realidad es. Este luce como un juego indescifrable, como este (este ha sido grandemente acortado y manipulado para no hacerlo funcional). Código como este es siempre sospechoso y debe ser investigado:
Algunas veces VBScript es usado en ves de este, así es que el código comenzaría con: