Sigue los siguientes pasos:

1) Identifica que páginas estan marcadas por malware y saca indicios de por qué estan marcadas.

1. En cualquier cuadro de búsqueda de Google ingresa: site:tudominio.com

2. Verifica qué paginas tienen la banderola de advertencia. Casi siempre todos lo tienen aunque a veces no todos.

3. Haz click en el enlace de una de las páginas marcadas. En vez de ir a tu sitio, google irá a la "Página Previa" de advertencia.

4. En esa página, siga el enlace "Página de diagnóstico de navegación segura" y estudialo. Otra forma de ir directamente a la página de diagnóstico de navegación segura (Puedes verificar cualquier sitio web de esta manera) es ingresando a esta URL en tu barra de navegación. Reemplaza EJEMPLO.COM por la dirección del sitio web que tu quiers verificar:

http://www.google.com/safebrowsing/diagnostic?site=EJEMPLO.COM

 

5. A continuación le mostramos explicaciones a algunas características de la página que por si misma no estan explicadas:

* Software malicioso esta alojado en __ dominio(s)

*__ dominio(s) parecen estar funcionando como intermediarios para distribuir malware a los visitantes al sitio.

Cuando tu sitio carga en el navegador, carga contenido adicional de estos dominios y direcciones IP para ser apuntados y cargados tambien. Probablemente halles los enlaces al contenido adicional en el código fuente de tus páginas. Lo mas probable es que tu sitio fue alcanzado por un "Ataque de inyección" el cual puso los enlaces ahi.

Algunas veces los enlaces maliciosos en las páginas causan que se cargue el contenido de otros sitios remotos en cadena. Por ejemplo, tu página puede contener un iframe oculto que carga una página del sitio A, pero esa página puede tener JavaScript que carga un archivo VBScript del Sitio B, lo cual se torna en que descargue en si la carga con el problema, el programa malicioso, del sitio C. En este escenario, C es el host y A y B son los intermediarios.

* ¿Ha actuado este sitio como intermediario resultando ser un distribuidor de malware?

¿Esta tu sitio siendo usado como "Cadena" que causa que el código malicioso aparesca en otros sitio? Por ejemplo, Si eres una persona que hace publicidad en otros sitios, alguien podría comprometer tus avisos, los cuales podrían ser utilizados. O si alojas Scripts PHP que otros sitios llaman para obtner su contenido, alguien podría alterar tu código. El resultado aparecería en otros sitios, no en el tuyo, Asi te convertirías en un "intermediario". (Esta parece ser una ligera variación del significado de "intermediario" tal y como la palabra fue usada en la sección previa)

* ¿Ha alojado malware el sitio?: a) ¿hay virus directamente en el código fuente de tus páginas, o b) Estan los virus u otros programas maliciosos realmente siendo almacenados en la estructura del directorio de tu sitio, como el sitio C del ejemplo de arriba?

6. Ve a las herramientas de webmaster en Google Webmaster Central. Si no tienes una cuenta puedes crear una, es gratuito. Ellos muestran el estado del badware de tu sitio, brindan ayuda, y una lista parcial de páginas atacantes.

7. Busca tu sitio en la base de datos de StopBadware Clearinghouse

8. Si Norton Safe Web de Symantec ha encontrado el malware, su reporte muestra la localización (Nombre de archivos) de amenazas mas completamente que los resportes de Google y Stopbadware.

9. Escanea las páginas de tu sitio en UnmaskParasites para encontrar iframes ocultos.

10. Escanea las páginas de tu sitio web en Dasient.

11. Haz una búsqueda web en cada uno de los nombre de dominios y direcciones IP mencionadas en tu reporte de diagnóstico de página segura de Google sea que seas Origen o Intermediario de el malware en tus páginas. Alguno de estos nombres de sitios web y direcciones IP estan asociadas con tipos específicos de atacantes. Por ejemplo, si los dominios mencionados son gumblar o martuz, es seguro que un virus en la PC de uno de tus administradores robó la información de usuario FTP y contraseña y la usó para hackear el sitio, asi es que debes escanear los virus. Por otro lado, si el domino es beladen, estas enfrentándote a todo el servidor comprometido, este no es ataque ordinario en tu sitio web, asi es que debes notificar a tu Proveedor de hosting. Estos nombres de dominios pueden darte una buena pista de lo que esta mal y ahorrarte muchisimo tiempo si tu búsqueda es exitosa.

Ahora que tienes información preliminar acerca de qué páginas estan afectadas y lo que parece estar mal en ellas, puedes empezar a buscar el código malicioso, Algo de eso puede haber sido identificado en los pasos 9 y 10 de arriba.


2) Recuerda buscar el badware en tu código fuente.

Cuando sea posible, ve y busca el código fuente de tus páginas en tu servidor. Esto te permite ver todo el código, incluso si esta puesto solamente algunas veces en la página.

Explicación:

Algunos explotan maliciosamente el código de tus páginas bajo ciertas condiciones tales como que el visitante este ustando Internet explorer o si vienen a tu web desde una página de resultado de búsquedas en Yahoo o Google. Tu vista particular puede no estar bajo estas condiciones (tal como si estas usando firefox o fuiste directamente al sitio sin usar un motor de búsqueda). Si examinas páginas con tu vista de origen de comandos del navegador puedes pensar que la página esta limpia; sin embargo, en otras veces o cuando otras personas lo vean no lo estará.

Examinar el código de origen en tu servidor te permite ver todo el código que esta ahi.


3) Programas para detectar páginas con código malicioso.

3a) Busca una página a la vez. (Recomendado)

 

  • Un programa cliente FTP como FireFTP. Puedes usar Windows Explorer para FTP, Si en realidad tienes que hacerlo.

  • Cpanel (o Plesk) > Administrador de Archivos.

Empieza con la Página web baneada más importante (Como tu página de Inicio), Visualmente inspecciona el código fuente de cada archivo de acuerdo al tipo de código malicioso descrito en la sección 4 abajo.

 

El código malicioso con frecuencia es insertado en los archivos de páginas web por robots (programas) usando reglas muy simples para ponerlos donde sea. Algunas localizaciones comunes son:

  • En la parte superior del archivo (En la primera linea)

  • Justo antes o despues de las etiquetas o .

  • En la parte final del archivo, después de la etiqueta

Si tus páginas normalmente se validan en W3C, ve ahi y verifica tus páginas baneadas con badware, cualquier error que tu tengas puede apuntar directamente a donde esta el código malicioso.

3b) Busca multiples archivos.

Con la búsqueda de multiples archivos, un programa escanea todos los archivos con la cadena de búsqueda que especifiques, y reporta todas las instancias que encuentra. Esta es una manera eficiente de buscar si ya sabes cómo hacerlo. Si no lo sabes, esta no es probablemente la mejor forma de aprender, y te recomendariamos el método de buscar una página a la vez de arriba.

 

Servidor dedicado

Haz tu búsqueda directamente en tu servidor con una herramienta del sistema operativo como grep.

 

Servidor Compartido

Si ya te has familiarizado con el Cron y Grep, puedes crear un Cron Job para hacer la busqueda grep si es que tuvieras Acceso Shell (Línea de comando).

Si no puedes, descarga las páginas (o tu sitio completo) a tu PC para que puedas buscarlos ahi. Descargalos con:

  • FTP. Si normalmente publicas tu sitio con FTP, ¡asegurate cuando subas devuelta tu sitio a tu PC que no estes sobrescribiendo tu sitio local! Copia los archivos a un lugar diferente.

  • Wget. Después de una búsqueda confusa, encontré my version windows xp en: http://www.christopherlewis.com/WGet/WGetFiles.htm.

  • cURL.

Despues de descargar las páginas a tu PC, puedes hacer la búsqueda con cualquier programa que soporte búsqueda de múltiples archivos. Algunos ejemplos son:

  • FrontPage

  • Expression Web

  • Dreamweaver

  • GREP or alguna utilidad similar

  • Un programa IDE como Microsoft Visual C++ or Borland C++ Builder

  • Windows Explorer (sus métodos de búsqueda tienen peculiaridades que lo hacen una pobre elección para estas búsquedas)

 

4) Búsca cadenas para encontrar el código malicioso.

Estas son utiles cadenas de búsqueda, si búscas un archivo a la vez o todos los archivos de una sola vez.

 

 

Puede descubrir enlaces maliciosos, que con frecuencia son iframes.

src=

Busca ocurrencias de iframes y JavaScript porque estos usan la propiedad. La señal igual puede ser codificada como = o %3D o 3d. Buscar solo src te permitiría encontrar todos.

http://

Encuentra referencias a sitios remotos

script language=

Encuentra ocurrencias de Scripts

unescape

Una función JavaScript que con frecuencia se halla en el código malicioso.

eval

Otra función JavaScript encontrada también en el código malicioso.

Asegúrate de que todas las instancias de src= y http:// siempre hagan referencias a archivos de tu sitio o a sitios externos que conoscas y en los cuales confies.

Algunos sitios confiables comunes son:

  • pagead2.googlesyndication.com (Si es que usas AdSense)

  • www.google-analytics.com (Google analítico). Como siempre, asegurate de no escribir gooqle-analytics con q ya que es un sitio spoof/malware y no es bueno. Existen otros similares que parecen ser google pero que no lo son asi es que escribelo con cuidado.

4a) ¿Como se lucen los iframes maliciosos o invisibles?

Los códigos iframes lucen como este. Si no reconoces sitioremoto.com, el código es suspechoso. Este ejemplo combina dos métodos separados para hacer un “iframe invisible” cualquiera de los dos pueden funcionar por si mismos: la configuración de alto y ancho o el estilo:

http://sitioremoto.com/ruta/archivo</a>” width=”0” height=”0” frameborder=”0” style=”display:none”>

Donde sea que encuentres un iframe como este, haz una búsqueda en sitioremoto.com para encontrar sitios web de seguridad relacionados, blogs o foros que discutan el tema:

sitioremoto.com malware o hacked

Ten cuidado para que no hagas click en algun resultado que sea el sitio malicioso, o que sea un sitio web que haya sido infectado por el. Algunos iframes estan siempre asociados con un particular tipo de problema, asi es que la información de lo que encontraste puede ahorrarte un monton de tiempo cómo tu sitio web fue hackeado. Por ejemplo: iframes refiriendose a gumblar.cnn, martuz.cn y una creciente lista de otros son el resultado de contraseña FTP robada de una PC del webmaster asi es que el problema de seguridad esta en la PC y no en el servidor.

4b) ¿Cómo lucen las referencias maliciosas JavaScript?

Las referencias JavaScript a sitios externos lucen como esta. Si no reconoces sitioremoto.com entonces el código es sospechoso. Este código llama y ejecuta un JS Script que es alojado en un sitio web que no es el tuyo. Despues que un visitante carga tu página, su navegador apunta a este JavaScript del otro sitio y lo ejecuta.

4c) ¿Cómo luce el código JavaScript malicioso o manipulado?

El código malicioso JavaScript directamente en tus páginas (En vez de ser llamado Referencia como lo hicimos lineas arriba) es con frecuencia “manipulado”, “escondido” o “encriptado” para complicar el entendimiento de lo que en realidad es. Este luce como un juego indecifrable, como este (este ha sido grandemente acortado y manipulado para no hacerlo funcional). Código como este es siempre sospechoso y debe ser investigado:

Algunas veces VBScript es usado en ves de este, asi es que el código comenzaría con:

¿Fue útil la respuesta? 9 Los Usuarios han Encontrado Esto Útil (15 Votos)

Más Popular

¿Qué sucede cuando se sobrepasa la Transferencia asignada a mi cuenta?

En cuanto se sobrepasa el límite de Transferencia asignado a su cuenta, le asignaremos a la...
Anexo1: Información de StopBadware y pasos a seguir

Que es un Badware? Badware es un software que fundamentalmente desprecia en lo que respecta...
1. Qué es un Badware o Malware

Algunos lo llaman Malware (del ingles malicious software, Sin embargo, el nombre más...
2. Qué significa el aviso "Este sitio puede dañar tu equipo"

Google le pone esta advertencia en su lista de resultados de búsqueda a las páginas...
3. Por qué esta señalado mi Sitio

He aquí razones por las que su sitio web puede ser marcado con la advertencia "Este sitio...