¿Qué hacer si mi sitio está infectado?

Con frecuencia nos llega el contacto por el blog, u otros medios, de personas que ven que se detecta un malware al acceder a su propio sitio web, y nos contactan para solicitar ayuda sobre cómo remediar este problema. Aunque siempre guiamos a quienes nos contactan para solucionar el problema, la realidad es que los pasos son relativamente sencillos, y deben ser realizados siempre por quién haya desarrollado el sitio web. Así que nada mejor que compartirlos con todos ustedes por si llegan a tener un incidente similar. Entonces, ¿qué debo hacer si mi sitio web está infectado?

Básicamente debe revisarse el código web de todas las páginas donde sea reportado el malware o se carguen en ese momento, en búsqueda de contenido no legítimo. Si se tiene certeza de cuándo comenzó a ocurrir el incidente, deberían revisarse además sólo los archivos que fueron modificados en los días posteriores a la aparición del problema.

¿Qué se debe buscar? En un principio cualquier contenido que no sea legítimo, es decir, que no haya sido puesto allí por el programador, ya que este sea probablemente el insertado por el atacante, e incluso si no lo fuera es bueno “limpiar” el código. En términos más concretos, este contenido malicioso suele estar en formato de script, por lo que un método eficiente que solemos utilizar es buscar todas las etiquetas “<script>” y verificar si son benignas o maliciosas. Un script debería verse de la siguiente manera:

Inyección masiva de código

Aunque recuerden que también pueden estar ofuscados, y en esos casos suele haber menos dudas, es muy raro el uso de ofuscación con fines benignos:

JS/TrojanDownloader.Pegel.BR

Por lo general estos scripts suelen estar al final de los archivos, pero esto no es en todos los casos, aunque sí pueden utilizarlo como atajo empezando del final hacia el principio, otra de las cosas que solemos hacer en estos casos.

En las últimas semanas tuvimos un caso que además vale mencionar: es posible que el incidente no esté en el código del propio sitio web. Con los iframes se inserta contenido en los sitios web que están alojados en otros servidores, por lo tanto es posible (y ya hemos visto casos de este tipo) que esté infectado alguno de los sitios web que son consultados para “traer” contenido, especialmente si se trata de banners publicitarios o similares.

Lo ideal, especialmente en el caso de empresas, es tener las herramientas de auditoría suficientes para poder detectar cómo ocurrió el incidente, pero como también nos encontramos con casos de profesionales independientes o pequeñas empresas (a quienes de todas formas les recomiendo asesorarse sobre la seguridad de sus sitios), deben saber que, tal como comentaba hace unos meses sobre la inyección de código malicioso en sitios web, los dos motivos más frecuentes por el que un atacante logra realizar este ataque son contraseñas débiles en el FTP o vulnerabilidades de software en el servidor.

Por lo tanto, ante este incidente se debe verificar:

  • Que todas las contraseñas del FTP sean rotadas y se utilicen contraseñas fuertes para todos los usuarios. También recomiendo borrar usuarios que no estén en uso.
  • Que el sistema operativo no tenga vulnerabilidades, es decir que que todas las actualizaciones de software estén instaladas.
  • Que las aplicaciones (especialmente la aplicación web o el gestor de contenidos) también tengan todos los parches de seguridad instalados.

Además, recuerden que además de soluciones de software antivirus para equipos de usuario final, como ESET NOD32, existen otras soluciones de seguridad contra malware para servidores, que pueden ser implementadas en servidores web para prevenir las infecciones. Por último, si administran servidores web recuerden que muchos de estos principios ya los compartimos en los 10 mandamientos para el SysAdmin, a releer y aprender. :)

Espero que esta guía les haya sido de utilidad ya que los ataques de Drive-by-Download son cada vez más frecuentes y es muy probable que un sitio web vulnerable se vea afectado por este ataque. ¡A cuidarse!

Sebastián Bortnik
Coordinador de Awareness & Research

Autor , ESET

Síguenos