BAQUIA

Cómo reconocer y solucionar las infecciones de un sitio web

Las infecciones masivas de algunos sitios web son uno de los mayores problemas de la seguridad informática en la actualidad. Una gran cantidad de consultas referidas a sitios web maliciosos llegan cada día al soporte técnico de empresas especializadas en combatir estos problemas.

Por su parte, algunos propietarios de sitios web se quejan de que los productos para prevenir el malware bloquean el acceso a sus portales, según ellos, de forma incorrecta, ya que normalmente estos no alojan ningún contenido malicioso.

Desafortunadamente, en la mayoría de los casos se equivocan, y sus sitios web esconden scripts maliciosos que son inyectados por los ciberdelincuentes en el código original PHP, JS o HTML. Estos scripts suelen redirigir los visitantes a direcciones URL maliciosas donde el malware es descargado y ejecutado en el ordenador de la víctima.

En la mayoría de los casos, las victimas ni siquiera se dan cuenta de la ejecución del malware, ya que en su ordenador se muestra la misma página web que aparece siempre.

Este método se ha extendido brutalmente en los últimos años. Por ello, Securelist ha publicado un artículo sobre este problema, y cómo se puede identificar y eliminar.

En primer lugar, tenemos que prestar atención a los síntomas de infección: que el sitio web esté bloqueado por el navegador o el antivirus, que se encuentre en la lista negra de Google o esté incluído en una base datos de URLs maliciosas. Otro síntoma sospechoso puede ser que exista un cambio significativo en el tráfico o caídas en los rankings de los motores de búsqueda. Y lógicamente, también debemos andarnos con cuidado si observamos que el sitio web no funciona correctamente, o muestra errores y advertencias.

Como ya hemos explicado, a menudo sucede que la infección pasa inadvertida para el usuario durante un largo periodo de tiempo, especialmente en el caso del malware más sofisticado. Este tipo de malware trata de engañar a los administradores de los sitios web y al software de seguridad, cambiando constantemente los nombres de dominio a los que redirecciona a la víctima.

Por esta razón, debemos fijarnos en si hay presencia de códigos maliciosos en uno o más archivos del servidor (principalmente HTML, PHP o JS, pero recientemente también ASP/ASPX). Aunque no es fácil encontrar este código sin tener algunos conocimientos de programación y desarrollo de sitios web, es fácil identificarlos si sabemos cómo suelen presentarse. Estos son algunos ejemplos:

– Ejemplo 1: redirección simple

El método más antiguo y menos complicado utilizado por los ciberdelincuentes consiste en colocar un simple HTML IFRAME en el código HTML de los archivos del servidor.

Marta1s

Otra técnica para la ejecución de secuencias de comandos malintencionadas en el navegador del usuario es introducir un enlace en un archivo HTML como atributo src.

Marta2s

 

– Ejemplo 2: "404 Not Found"

En este caso, el código malicioso se incrusta en la plantilla del mensaje que se muestra cuando el objeto especificado no se ha encontrado en el servidor (el popular pantallazo HTTP 404).

Marta3s

 

– Ejemplo 3: Archivos JavaScript infectados

Un método diferente a los anteriores es infectar archivos legítimos de JS que ya existen en el servidor. El script responsable se coloca en uno o más archivos JS.

Marta10s
 


Compartir en :


Noticias relacionadas

Recomendamos




Comentarios