Sugerencias en caso de ser hackeado ( Iframe )

Desde hace algunos meses atrás, algunos usuarios se están viendo afectados debido a que sus paginas son infectadas con el adicionamiento no deseado de un tag que contiene enlaces  hacia websites con extensiones de dominio de Rusia (.ru) y china ( .cn), o también adición de segmentos de código escrito en javascript que no comprenden que hace.

Esto trae como mayor inconveniente que las paginas son bloqueadas por una pantalla roja, esta pantalla  indica que el bloqueo se debe a que contiene código malicioso (este mensaje sobre todo sale en el buscador de google y en el navegador firefox).

Los antecedentes:

Generalmente los usuarios se dan cuenta que su pagina no va bien o que ha sido modificada por que al intentar cargarla, no pueden hacerlo de manera completa (la pagina se muestra cortada) o los redirige hacia otras websites que contienen publicidad o de manera automática les quiere instalar un programa.

Al notar esto, algunos optan por consultar a soporte que es lo que ha pasado con la pagina web, otros solo suben un backup y arreglan el problema de manera temporal y la  mayoría suponen (erroneamente) que es un error temporal del servidor y que si esperan algunos días se solucionara el problema.

Método de infección:

Según hemos visto en reiteradas oportunidades, el método consiste en agregar el código a los archivos index y a todos aquellos archivos con extensión .html y htm.

En un 99% de los casos esa modificación la han realizado con los accesos ftp de la cuenta principal de hosting

El método como obtienen la clave principal de la cuenta del hosting que están atacando aun no esta evidenciado claramente, en algunos foros mencionan que esta circulando por la red un virus o troyano que esta infectando los navegadores y que cuando los clientes se loguean a su cuenta de hosting, estos programas mandan los accesos a los piratas informáticos.

También se especula que hay una versión de cuteftp (pirata) que contiene un troyano que hace la misma operación de robar los passwords.

Después de eso, a través del uso de unos robots están descargando el index y las paginas html vía ftp, una vez que lo tienen, alteran el código de la pagina agregándole el código malicioso,  y como último paso están subiendo la pagina web infectada (si es muy larga la pagina simplemente la mandan incompleta).

Es necesario remarcar que el proceso descrito anteriormente lo desarrollan a diario y desde IPs de maquinas ubicadas en Europa y Asia, no desde la maquina de la victima a la que le robaron el password.

Solución:

La solución mas adecuada, es que inmediatamente cambien el password desde una maquina la cual tengan la certeza que no esta infectada con ningún virus o troyano. Donde no tengan instalados programas piratas bajados desde paginas sospechosas (warez) o desde redes P2P.

El segundo paso seria eliminar virus y troyanos, para esta tarea debe utilizar un antivirus con la última actualización (por favor no usen antivirus piratas). NO es para nada recomendable tener 2 antivirus en una misma maquina.

Recomendamos utilizar http://www.malwarebytes.org/ para la detección y eliminación de Troyanos y Spywares

 

  • 218 Utilisateurs l'ont trouvée utile
Cette réponse était-elle pertinente?

Articles connexes

¿Cómo crear contraseñas seguras?

Las contraseñas son las claves con las que el sistema nos permite acceder a muchos de los...

¿Qué es el Phishing y como puedo evitarlo?

Phishing es una forma de engaño mediante la cual los atacantes envían un mensaje...

¿Qué es SSL ?

SSL (Secure Layer Socket) es una tecnología desarrollada por Netscape en 1994 junto con...

¿Mi sitio tiene virus? ¿Porque se marca mi pagina como peligrosa?

Un problema común y conocido que sucede en los sitios es el mensaje de alerta "¡Este sitio es una...

Como protegerme contra el Virus Gumblar - Troj/JSRedir-R ?

Ya tenemos identificado el malware que produce esto, se llama Gumblar...