Inyección de código malicioso en páginas webs

publicado por Soporte el 27 julio, 2009

Desde hace algunos meses atrás, algunos de nuestros usuarios se están viendo afectados debido a que sus paginas son infectadas con el adicionamiento no deseado de un tag <iframe> que contiene enlaces  hacia websites con extensiones de dominio de Rusia (.ru) y china ( .cn), o también adición de segmentos de código escrito en javascript que no comprenden que hace.

Esto trae como mayor inconveniente que las paginas son bloqueadas por una pantalla roja, esta pantalla  indica que el bloqueo se debe a que contiene código malicioso (este mensaje sobre todo sale en el buscador de google y en el navegador firefox).

Los antecedentes:

Generalmente los usuarios se dan cuenta que su pagina no va bien o que ha sido modificada por que al intentar cargarla, no pueden hacerlo de manera completa (la pagina se muestra cortada) o los redirige hacia otras websites que contienen publicidad o de manera automática les quiere instalar un programa.

Al notar esto, algunos optan por consultar a soporte que es lo que ha pasado con la pagina web, otros solo suben un backup y arreglan el problema de manera temporal y la  mayoría suponen (erroneamente) que es un error temporal del servidor y que si esperan algunos días se solucionara el problema.

Método de infección:

Según hemos visto en reiteradas oportunidades, el método consiste en agregar el código a los archivos index y a todos aquellos archivos con extensión .html y htm.

En un 99% de los casos esa modificación la han realizado con los accesos ftp de la cuenta principal de hosting.

El método como obtienen la clave principal de la cuenta del hosting que están atacando aun no esta evidenciado claramente, en algunos foros mencionan que esta circulando por la red un virus o troyano que esta infectando los navegadores y que cuando los clientes se loguean a su cuenta de hosting, estos programas mandan los accesos a los piratas informáticos.

También se especula que hay una versión de cuteftp (pirata) que contiene un troyano que hace la misma operación de robar los passwords.

Después de eso, a través del uso de unos robots están descargando el index y las paginas html vía ftp, una vez que lo tienen, alteran el código de la pagina agregándole el código malicioso,  y como último paso están subiendo la pagina web infectada (si es muy larga la pagina simplemente la mandan incompleta).

Es necesario remarcar que el proceso descrito anteriormente lo desarrollan a diario y desde IPs de maquinas ubicadas en Europa y Asia, no desde la maquina de la victima a la que le robaron el password.

Solución:

La solución mas adecuada, es que inmediatamente cambien el password desde una maquina la cual tengan la certeza que no esta infectada con ningún virus o troyano. Donde no tengan instalados programas piratas bajados desde paginas sospechosas (warez) o desde redes P2P.

El segundo paso seria eliminar virus y troyanos, para esta tarea debe utilizar un antivirus con la última actualización (por favor no usen antivirus piratas). NO es para nada recomendable tener 2 antivirus en una misma maquina.

Recomendamos utilizar http://www.malwarebytes.org/ para la detección y eliminación de Troyanos y Spywares

Subir un backup limpio de su website o solicitar a soporte el ultimo backup no infectado de su sitio web.

Recomendaciones adicionales:

Algunas de las cuentas de nuestros clientes o resellers poseen claves demasiado inseguras como secuencias de números (Ej. 123456 ó 987654) también nombres o segmentos del dominio (Ej. farmaciamibotiquin.com el usuario: farmacia password: botiquin) o passwords que contienen datos personales. Por favor leer el siguiente post para ver como tener una contraseña segura:

http://blog.aqphost.com//hosting/soporte/como-crear-contrasenas-seguras/

No utilizar software pirata, y menos si es pirateado de sitios muy sospechosos, paginas rusas, asiáticas, de warez, etc.

Mantener siempre actualizado el antivirus (compre la licencia!!!) de otra forma solo tiene un programa que consume muchísimos recursos y que no hace nada mas que ocupar espacio y hacer mas lenta su maquina.

Información adicional:

Si desea que le quiten ese mensaje con mayor celeridad, deben inscribirse a las google webmaster tools, www.google.com/webmasters/tools/?hl=es (para inscribirse es necesario tener una cuenta en alguno de los servicios de google), luego de ello deben pedir una nueva revisión. El proceso de revisión toma entre 1 y 12 horas, y dependiendo que ya no hayan mas de esos códigos en sus paginas, google le sacara ese mensaje de pagina que contiene enlaces maliciosos.


6 comentarios to “Inyección de código malicioso en páginas webs”

  1. Javier Ramos Dijo:

    el virus reddii.ru ha atacado dos webs que gestiono. Ha sucedido exactamente lo que se describe aqui. Y he aplicado todo los pasos, pero ahi sigue. He redireccionado el dominio a otro proveedor, le he habilitado a la pagina otros hosting, he formateado la pc desde se sube las webs, la he desinfectado alk maximo, pero el problema persite.
    Que mas se puede hacer?

  2. Soporte Dijo:

    Una vez que usted siguió los pasos para remover esos códigos maliciosos, solo queda esperar a que google verifique nuevamente esa cuenta y que retire el mensaje de advertencia; esto puede demorar mucho, y mientras tanto el mensaje de pagina infectada seguirá apareciendo.

    Para acelerar el proceso debe inscribirse a las webmaster tools de google, una vez que se ha inscrito allí, tiene que solicitar una nueva revisión y en aproximadamente una hora ya no tendrá ese mensaje.

    Saludos

  3. Diego Dijo:

    Yo uso joomla y hace un tiempo me infectaron mi pagina menos mal me di cuenta a tiempo…

    Lo primero que hay que hacer es instalar un buen antivirus, les recomiendo avira

    luego hacer la busqueda del codigo malicioso con el dreamwevaer y borrarlo

    eso es todo

    espero les haya servido

  4. Josue Dijo:

    EL google, te sacará de la linea roja de 1 dia a 3 dias, tengan paciencia

  5. carla Dijo:

    lo mejor es pedir ayuda a tu webmaster, porque tambien sufri una infeccion de un trojano el cual me bloqueaba la web. mi pagina esta hecha con joomla… ahora todo solucionado gracias al soporte tan profesional de aqp

  6. Hoy.com.do Infectado con Codigo Malicioso | Seguridad y Tecnologia Dijo:

    [...] Mas info:  blog.aqphost.com [...]

Escribe un comentario