Calificación:
  • 0 voto(s) - 0 Media
  • 1
  • 2
  • 3
  • 4
  • 5
Inyección de código malicioso en páginas webs
#1
Desde hace algunos meses atrás, se están viendo afectados debido a que sus paginas son infectadas con el adicionamiento no deseado de un tag <iframe> que contiene enlaces hacia websites con extensiones de dominio de Rusia (.ru) y china ( .cn), o también adición de segmentos de código escrito en javascript que no comprenden que hace.


Esto trae como mayor inconveniente que las paginas son bloqueadas por una pantalla roja, esta pantalla indica que el bloqueo se debe a que contiene código malicioso (este mensaje sobre todo sale en el buscador de google y en el navegador firefox).


Los antecedentes:

Generalmente los usuarios se dan cuenta que su pagina no va bien o que ha sido modificada por que al intentar cargarla, no pueden hacerlo de manera completa (la pagina se muestra cortada) o los redirige hacia otras websites que contienen publicidad o de manera automática les quiere instalar un programa.

Al notar esto, algunos optan por consultar a soporte que es lo que ha pasado con la pagina web, otros solo suben un backup y arreglan el problema de manera temporal y la mayoría suponen (erroneamente) que es un error temporal del servidor y que si esperan algunos días se solucionara el problema.


Método de infección:

Según hemos visto en reiteradas oportunidades, el método consiste en agregar el código a los archivos index y a todos aquellos archivos con extensión .html y htm.

En un 99% de los casos esa modificación la han realizado con los accesos ftp de la cuenta principal de hosting.

El método como obtienen la clave principal de la cuenta del hosting que están atacando aun no esta evidenciado claramente, en algunos foros mencionan que esta circulando por la red un virus o troyano que esta infectando los navegadores y que cuando los clientes se loguean a su cuenta de hosting, estos programas mandan los accesos a los piratas informáticos.

También se especula que hay una versión de cuteftp (pirata) que contiene un troyano que hace la misma operación de robar los passwords.

Después de eso, a través del uso de unos robots están descargando el index y las paginas html vía ftp, una vez que lo tienen, alteran el código de la pagina agregándole el código malicioso, y como último paso están subiendo la pagina web infectada (si es muy larga la pagina simplemente la mandan incompleta).

Es necesario remarcar que el proceso descrito anteriormente lo desarrollan a diario y desde IPs de maquinas ubicadas en Europa y Asia, no desde la maquina de la victima a la que le robaron el password.


Solución:

La solución mas adecuada, es que inmediatamente cambien el password desde una maquina la cual tengan la certeza que no esta infectada con ningún virus o troyano. Donde no tengan instalados programas piratas bajados desde paginas sospechosas (warez) o desde redes P2P.

El segundo paso seria eliminar virus y troyanos, para esta tarea debe utilizar un antivirus con la última actualización (por favor no usen antivirus piratas). NO es para nada recomendable tener 2 antivirus en una misma maquina.

Recomendamos utilizar http://www.malwarebytes.org para la detección y eliminación de Troyanos y Spywares

Subir un backup limpio de su website o solicitar a soporte el ultimo backup no infectado de su sitio web.


Recomendaciones adicionales:

Algunas de las cuentas poseen claves demasiado inseguras como secuencias de números (Ej. 123456 ó 987654) también nombres o segmentos del dominio (Ej. farmaciamibotiquin.com el usuario: farmacia password: botiquin) o passwords que contienen datos personales.

No utilizar software pirata, y menos si es pirateado de sitios muy sospechosos, paginas rusas, asiáticas, de warez, etc.

Mantener siempre actualizado el antivirus (compre la licencia!!!) de otra forma solo tiene un programa que consume muchísimos recursos y que no hace nada mas que ocupar espacio y hacer mas lenta su maquina.

Información adicional:

Si desea que le quiten ese mensaje con mayor celeridad, deben inscribirse a las google webmaster tools, http://www.google.com/webmasters/tools/?hl=es (para inscribirse es necesario tener una cuenta en alguno de los servicios de google), luego de ello deben pedir una nueva revisión. El proceso de revisión toma entre 1 y 12 horas, y dependiendo que ya no hayan mas de esos códigos en sus paginas, google le sacara ese mensaje de pagina que contiene enlaces malicioso

Fuente Jpardo en otra web
WWW
#2
Tus aportes son siempre geniales papi Sonrisa

Aunq parezca una tontería y q son cosas q nunca nos puede llegar a pasar, es muy importante tener a salvo nuestras contraseñas e información sensible a ser comprometida.

Es importante también hacer backups periódicos tanto de los documentos de nuestro ordenador como de nuestros archivos en el alojamiento web.
[Imagen: firmabp.jpg][Imagen: mineenlineaentregadispo.jpg]
WWW
#3
Gracias Mine, maestro, a ver si aprendo php de una vez por todas Guiño
WWW
#4
vaya que si, gran post

yo recomiendo encarecidamente malawarebytes http://www.malwarebytes.org es un excelente sofware gratuito (y con versión de pago), que quita lo que hasta los mejores antiv no quitan.

Aunque, hablando de hackear una web........tengo unas cuentas pendientes que saldar..... Gran sonrisa
[Imagen: bann.png]
WWW
#5
Taquion escribió:Aunque, hablando de hackear una web........tengo unas cuentas pendientes que saldar.....
Yo te ayudo... Sobre todo si es la de Custus xD
WWW
#6
Buen enlace Taquión. Jamás utilicé ese programa.

Otros programas similares para spyware y malware son:
- spybot search & destroy
- sentido común Lengua
[Imagen: firmabp.jpg][Imagen: mineenlineaentregadispo.jpg]
WWW
#7
Minenage escribió:- sentido común
Desde luego, ese es el mejor de todos...
WWW
#8
Muy buena información.
#9
Minenage escribió:- spybot search & destroy
- sentido común

el Spybot e smuy bueno, aunque bastante pesado, ó por lo menos así lo era la última vez que lo probé

el segundo es un poco más difícil de encontrar en estos días Gran sonrisa
[Imagen: bann.png]
WWW
#10
Taquion escribió:el segundo es un poco más difícil de encontrar en estos días
xD
WWW


Posibles temas similares...
Tema Autor Respuestas Vistas Último mensaje
  [Aporte] Como compartir codigo en la nube con Codepen amner 1 87 14-03-2017, 03:05 PM
Último mensaje: Carlos Mendoza
  Ayuda con Código php CarlosAlberto 1 93 03-12-2016, 07:22 PM
Último mensaje: Minenage
  [Duda] Código en ASP NET C# romeho 2 224 26-07-2016, 10:40 PM
Último mensaje: romeho
  [Aporte] Codigo para renombrar tabla MySQL gassip 3 230 23-12-2015, 08:10 AM
Último mensaje: AbaddonOrmuz
  Homero Simpson dibujado con sólo código CSS Kevin9908 8 332 06-11-2015, 02:12 AM
Último mensaje: juanjj
  Mejores páginas para aprender programación manubenidorm 3 240 31-10-2015, 05:13 AM
Último mensaje: habacuc78
  ¿Este código es malicioso? bseca 3 242 07-09-2015, 07:59 PM
Último mensaje: Minenage
  ¿Debería "firmar" mis webs? bseca 13 462 31-05-2015, 10:42 PM
Último mensaje: mispracticas2009
  Codigo Imágenes que cambian automáticamente tucine 8 639 19-05-2015, 03:36 PM
Último mensaje: betiko2424
  InHabilitar Console o F12 :D + Codigo RezakeaoCrew 1 318 05-05-2015, 09:32 PM
Último mensaje: RezakeaoCrew



Usuarios navegando en este tema: 1 invitado(s)