Por lo general, la voz de alerta llega por parte de Google, que agrega el dominio a la lista de sitios “sospechosos” de alojar malware, y evita el acceso al sitio colocando una pantalla de alerta.

Es una medida para evitar que la infección que tiene el sitio se expanda a las PCs o los navegadores de quienes, de otra manera, visitarían la web sin saber que automáticamente estarían descargando un virus a su equipo.

¿Cómo entró el virus?

A diferencia de lo que indicaría el sentido común (“si mi sitio tiene un virus, está infectado el servidor web de mi proveedor de hosting”), el problema casi siempre está/estuvo en la PC desde donde se actualiza el sitio web.

Quienes se dedican a subir este tipo de virus, con la intención de expandirlos a través de internet, apuntan a robar una información fundamental: tus claves FTP.

Con esas claves, suben archivos infectados o sus páginas modificadas, sin que te des cuenta. Es más, si el ataque es lo suficientemente elaborado, hasta conseguirán al instante tu nueva clave de FTP en el momento que la modifiques.

Otra manera muy común de agregar un virus o código malicioso a un sitio es explotando la vulnerabilidad de una aplicación desactualizada (foro, blog, galería de fotos, carrito de compras, etc.). Por eso es fundamental tener siempre la aplicación actualizada y aplicar los parches de seguridad recomendados por sus desarrolladores.

¿Cómo encuentro el virus?

La forma más usada para esconder un virus en un sitio web se conoce como “iframe attack”.

El “iframe” se esconde en el código de tus páginas, y lo que hace es llamar a otra página de forma invisible (es decir, ni vos ni quien visite tu web lo notan), buscando posicionar mejor esa página escondida o bien infectar con virus o código malicioso a los visitantes.

Lo más común es que lo agreguen al código de tu página index (index.html, index.php, etc.). También ocurre, con virus como Gumblar cn, que suban un archivo y lo ubiquen en una carpeta donde sea difícil detectarlo (Gumblar cn, por ejemplo, sube un archivo llamado “image.php” dentro de la carpeta “images”).

¿Cómo elimino el virus?

1 Ingresar por FTP y descargar todo el contenido del sitio a una carpeta dentro de tu equipo. Inmediatamente después, cambiar la contraseña del FTP desde el Panel de Control Ferozo o el Área de Cliente.
2 Correr un buen antivirus y antispyware en la carpeta que contiene la web, y en el resto del equipo (incluyendo discos extraíbles).

3 Una vez que el antivirus haya eliminado archivos sospechosos, comienza el trabajo manual dentro de la carpeta donde está tu web.Con un programa que permita buscar dentro de los archivos, habrá que identificar todos aquellos que incluyan un “iframe” con estilo escondido (“hidden”), que no correspondan a su página, y eliminar esa porción de código.

Ejemplo:

1
2
3
<iframe src=”http://alguna_página.cat”
style=”visibility: hidden; display: none”>
</iframe>

 

Siguiendo el mismo procedimiento, buscar también si en alguna página existe un “document.write”, seguido de una línea encodeada.

Ejemplo:

1
2
3
<script language=”javascript”>
document.write( unescape( ‘%70%61%67%65%20%6F%6E%65' ) );
</script>

 

De existir, borrar esa porción de código.

Asegúrate que todos los src= y http:// hagan referencia a archivos de tu sitio web o a sitios externos que conocés y son confiables.

Luego, sólo resta la revisión manual: buscar entre todos los archivos la existencia de cualquier .php, .js, .htm, .html, asp, .aspx, .inc, .cfm, etc., que no pertenezca a tu sitio web.

4 Una vez hecho esto, ya seguro de que tu sitio está limpio, conectate por FTP en forma segura (vas a encontrar un instructivo haciendo click aquí). Eliminá todo el contenido de la carpeta public_html, y subí los archivos que acabás de limpiar.

5 Ahora, eliminá el caché del navegador, abrí la página index de tu web y todas aquellas que detectaste como infectadas en la primera revisión.Del menú del browser elegí la opción para ver el código fuente de cada página. Si no aparece más el “iframe” que apunta a una web desconocida o el “document.write”, entonces significa que el sitio está limpio.

6 Si Google marcó tu web como sospechosa, será necesario que solicites una revisión para levantar la página de alerta. Deberás completar el formulario en Google Webmaster Central o StopBadware.Por lo general, si Google no encuentra infecciones, en un día ya saca el sitio de su listado de webs sospechosas de alojar malware, aunque en los dos sitios se aclara que puede tomar unos días más.

 

Si necesitas ayuda puedes solicitarlo via TICKET en nuestro CLOUD PANEL, nuestros operadores realizarán una auditoria de tu web.