Cada webmaster se ha enfrentado al problema de encontrar vulnerabilidades en su sitio web, con la ayuda de las cuales un atacante puede cargar su código malicioso, lo que de una forma u otra afectará el rendimiento de todo el sitio, hasta excluirlo de los resultados de búsqueda.

La mayoría de las veces, la infección se debe al factor humano, pero ¿qué hacer si el sitio es pirateado?

Principales problemas

El mal menor es encontrar y eliminar el propio código malicioso. El principal problema es encontrar el punto vulnerable a través del cual el atacante subió su código a su sitio para protegerse de otros precedentes similares.

Para buscar códigos maliciosos se han escrito muchos programas antivirus, se han creado muchos servicios que pueden señalar la dirección de una página infectada e incluso proporcionar una firma e información completa sobre el virus. Pero ningún software puede decirle cómo apareció este “código extraño” en el sitio. Aquí debes confiar sólo en ti mismo.

A continuación daré varios comandos que pueden usarse al buscar archivos infectados y/o shells/puertas traseras cargados en su sitio web. Para hacer esto, necesitamos el programa Putty y acceso SSH al sitio.

Buscar archivos infectados

Con los siguientes comandos, puede encontrar archivos que contengan elementos "peligrosos" que un atacante puede utilizar para ejecutar código malicioso ofuscado.

La salida de los archivos se escribirá en un archivo de registro en su directorio actual. Cada archivo contendrá la ruta al archivo encontrado y una línea con una sección de código sospechosa.

busque /Directorio con el sitio -type f -iname "*" -exec grep -Him1 "eval" () \; > ./eval.log
busque /Directorio con el sitio -type f -iname "*" -exec grep -Him1 "base64" () \; > ./base64.log
busque /Directorio con el sitio -type f -iname "*" -exec grep -Him1 "file_get_contents" () \; > ./file_get_contents.log

Encontrar directorios con permisos completos de escritura

El siguiente comando muestra una lista de directorios que tienen permisos de escritura completos. Estos son los directorios que se utilizan para infectar un sitio web.

buscar ./Directorio con sitio web -perm 777 -tipo d

Buscar archivos modificados durante un período

Si sabe aproximadamente cuándo ocurrió la infección, puede ver una lista de archivos modificados en los últimos días (el parámetro –mtime -7 indica una fecha de cambio distinta a la actual durante los últimos 7 días)

buscar ./Directorio con sitio web -tipo f -iname "*" -mtime -7

¿Qué hacer si el sitio está infectado?

Entonces, supongamos que hemos encontrado archivos infectados o un archivo shell. Antes de eliminarlo/eliminar código malicioso, recuerde su nombre (ruta completa), la fecha en que se modificó/creó el archivo, su gid y su identificación de usuario (para sistemas Unix), esto le permitirá encontrar una manera de cargarlo. a nuestro sitio. Comencemos con el usuario y el grupo:

Vea con qué usuario se está ejecutando su servidor web:

ps-aux | grep "apache2" | awk("imprimir $1")

Si este usuario es el mismo que creó el archivo malicioso, entonces podemos asumir que se descargó a través del sitio. De lo contrario, el archivo podría haberse descargado vía ftp (recomendamos encarecidamente cambiar las contraseñas del servidor FTP y del panel administrativo del sitio).

gato ./site.ru.access.log | grep “nombre archivonombreOfShellScript”

Y obtenemos el resultado de todas las solicitudes a nuestro script. Al usarlo determinamos el userAgent y la dirección IP de nuestro atacante.

Con el siguiente comando obtenemos una lista de todas las solicitudes a las que nos llegó.

gato ./site.ru.access.log | grep “IP” | grep "agente de usuario"

Al analizarlo cuidadosamente, puede encontrar un punto vulnerable en el sitio; debe prestar especial atención a las solicitudes POST de la salida, con la ayuda de las cuales se podría cargar un archivo malicioso.

Andrey Izhakovsky, administrador del sistema

Primeros auxilios

Si descubre que el sitio está infectado o recibe una notificación de que hay malware en su cuenta:

¿Por qué hay virus en mi sitio web?

Las causas comunes de infección del sitio son:

• vulnerabilidad en la versión del CMS utilizada;
• vulnerabilidad en la extensión CMS instalada (temas, complementos, módulos);
• virus en la computadora desde la cual se administra el sitio.

La mayoría de las veces, los atacantes piratean sitios web automáticamente utilizando programas especiales. Recopilan una gran base de datos de sitios de motores de búsqueda según ciertos criterios (sitios instalados en CMS populares y sus complementos que son susceptibles a cualquier vulnerabilidad conocida). Después de esto, se coloca código malicioso en los archivos del sitio. Por lo tanto, es importante actualizar el CMS y los complementos de manera oportuna. Desde el punto de vista del alojamiento, sus sitios están máximamente protegidos. Si el sitio de otro cliente en el servidor está infectado, su sitio estará seguro.

¿Cómo puedo proteger el sitio?

Para proteger su sitio contra la piratería, debe seguir reglas simples:

• Establezca los derechos correctos para directorios y archivos del sitio. Evite el uso de permisos "777", ya que estos atributos brindan a cualquier persona acceso completo a los archivos y directorios de su cuenta. Utilice los derechos "777" sólo en casos excepcionales.
• Supervise las actualizaciones del CMS que utiliza y sus complementos en los sitios web oficiales e instálelas de manera oportuna.
• Utilice únicamente temas y complementos oficiales de CMS. Muy a menudo, las versiones pirateadas (anuladas) de scripts pagos contienen virus.
• Utilice contraseñas complejas (de al menos 8 caracteres, con números y letras en diferentes mayúsculas y minúsculas). Recuerda que las contraseñas simples son muy fáciles de adivinar.
• Utilice software antivirus y actualice periódicamente las bases de datos antivirus.
• Utilice únicamente versiones actuales de navegadores (Mozilla Firefox, Google Chrome, Opera, Safari).
• No almacene contraseñas en clientes FTP. Muy a menudo, los virus toman información de un cliente FTP.

¿Qué hacer si, al ingresar al sitio, el antivirus de repente comenzó a maldecir (y si los clientes también informaron esta noticia)? ¿O, sin razón aparente, el sitio comenzó a cargarse más de lo habitual, mientras que el contenido principal de la página ya estaba "renderizado"? ¿O tal vez el sitio utilizó scripts interactivos que de repente dejaron de funcionar?

Todo lo anterior es el resultado de la infección de un sitio con un virus, un código malicioso extraño. ¿Cómo sucedió esto, quién tiene la culpa y, lo más importante, qué hacer para eliminarlo y evitar que esto suceda en el futuro?

¿Qué ha pasado?

El código malicioso que señala el antivirus es la inserción de un determinado código JavaScript cifrado en el código de la página del sitio que, cuando se ejecuta, crea el llamado iframe (un elemento HTML que le permite incluir el contenido de una página en otra cuando desplegado). El iframe insertado normalmente apunta a una página infectada, que ya contiene código más "pesado" que utiliza varias vulnerabilidades del navegador (principalmente Internet Explorer) para descargar y ejecutar archivos de virus ejecutables.

Mecanismo de infección

El mecanismo para infectar sitios en la gran mayoría de los casos es el mismo: el virus ingresa a la computadora desde la que inició sesión en el sitio mediante el protocolo FTP, después de lo cual recibe los detalles de acceso a las direcciones. para el cual se seleccionó la opción “recordar inicio de sesión/contraseña” en el programa cliente FTP. Una vez recibidas las credenciales de acceso, el virus las envía a los ordenadores de los atacantes, donde ya se encuentran los programas robóticos que realizan el trabajo "sucio". Estos robots se conectan a direcciones FTP con los detalles recibidos y luego escanean los directorios del sitio en busca de archivos con nombres específicos: la mayoría de las veces se trata de archivos raíz, aquellos a los que se accede por primera vez al ingresar al sitio. Al detectar dicho archivo, el robot lo descarga, agrega un código malicioso al final del archivo descargado y lo carga nuevamente en el servidor FTP, reemplazando el original.

Desde el punto de vista del servidor, esto parece una actividad normal del usuario: se está estableciendo una conexión autorizado usuario, descargar y cargar archivos; de hecho, exactamente lo que realiza un desarrollador durante una actualización normal del sitio web a través de FTP.

Quitar la infección

Lo primero que se debe hacer cuando se detecta una infección de este tipo es evitar que el virus vuelva a infectar el sitio. Para hacer esto, simplemente cambie la contraseña de acceso FTP a través del panel de control y también verifique todas las computadoras desde las cuales se conectó al sitio a través de FTP en busca de virus, utilizando antivirus con las últimas actualizaciones de las bases de datos.

Dado que el código del sitio son esencialmente archivos de texto comunes, para eliminar el código malicioso solo necesita abrir el archivo infectado, encontrar la sección de código requerida, eliminarla y guardar el archivo. En situaciones particularmente difíciles, puede suceder que varios virus diferentes hayan "funcionado" en el sitio infectado: los archivos del sitio contendrán varias inserciones de diversos códigos maliciosos. Con menos frecuencia, hay casos en los que el contenido de un sitio puede sufrir daños bastante graves, en cuyo caso es más aconsejable restaurar los datos a partir de una copia de seguridad que tratar cada archivo manualmente.

Prevención de infecciones

Para no repetir los errores de otros y protegerse de daños al sitio, basta con seguir unas sencillas recomendaciones:

no utilice las capacidades para guardar contraseñas de los clientes FTP;

cambiar periódicamente las contraseñas de acceso FTP;

si es necesario, limite las direcciones de las computadoras desde las cuales puede conectarse vía FTP;

utilice únicamente computadoras "confiables" para el acceso FTP: aquellas con software antivirus instalado con bases de datos actualizadas.

16.02.2015 16:05:23

Siempre existe la posibilidad de que su computadora quede infectada con malware, incluso si tiene un antivirus instalado. Y cuando no hay ningún software de seguridad instalado en el ordenador, esta probabilidad es aún mayor.

Si se produce una infección, lo mejor es contactar a especialistas para recibir “tratamiento”. Sin embargo, no siempre hay un experto en informática cerca. En este artículo, podrá aprender cómo reconocer la infección usted mismo y solucionar el problema o, si es posible, reducir el riesgo de daño antes de que llegue un especialista.

Signos de infección

Si sospechas de un virus

Dado que los virus modernos están "adaptados" para funcionar en una red, si sospecha una infección, es extremadamente importante desconectar el cable de red de la computadora o, si la red es inalámbrica, apagar el módulo Wi-Fi.

Desafortunadamente, hay situaciones en las que se necesita la red para realizar un "tratamiento", por ejemplo, para descargar un programa antivirus. Por supuesto, sería más correcto descargar la utilidad antivirus desde otro lugar y luego copiarla a una computadora infectada pero desconectada, por ejemplo usando una unidad flash. Si este método no está disponible, puede intentar utilizar Internet. Sin embargo, en ningún caso debe iniciar sesión en sistemas bancarios en línea, conectarse a buzones de correo, etc., es decir, no exponer datos confidenciales de ninguna manera. Una vez que se hayan descargado todas las herramientas antivirus necesarias, se debe apagar la red.

Debe entenderse que el hecho mismo de que una computadora esté infectada, es decir, la presencia de un virus activo en la memoria operativa, puede dificultar el “tratamiento”. El virus puede resistir: por ejemplo, bloquear el acceso a los sitios web de los fabricantes de antivirus o camuflarse de programas antivirus específicos. Esto significa que en algunos casos puede ser necesario un “tratamiento” con la ayuda de un sistema “limpio” adicional. Por ejemplo, puede iniciar el sistema desde un CD o puede extraer el disco duro con el sistema infectado y conectarlo como segundo a una computadora que sepa que está "limpia".

Cómo curar una computadora

Existen diferentes formas de deshacerse del malware, cada una de las cuales tiene sus propias ventajas y desventajas. Si se produce una infección, lo mejor es contactar a especialistas para recibir “tratamiento”. Sin embargo, no siempre hay un experto en informática cerca. En este artículo, podrá aprender cómo reconocer la infección usted mismo y solucionar el problema o, si es posible, reducir el riesgo de daño antes de que llegue un especialista.

Método 1. Usar herramientas antivirus listas para usar

La gran mayoría de los usuarios estarán satisfechos con "limpiar" su computadora utilizando herramientas listas para usar que ofrecen los desarrolladores de software antivirus. En particular, puede encontrar fácilmente utilidades gratuitas diseñadas específicamente para "curar" una computadora infectada. A continuación se muestran algunos ejemplos de programas de este tipo con una interfaz en ruso:

• Dr.Web CureIt! (http://www.freedrweb.com/cureit/);
• Herramienta de eliminación de virus Kaspersky (http://www.kaspersky.ru/antivirus-removal-tool);
• Escáner de seguridad de Microsoft (http://www.microsoft.com/security/scanner/ru-ru/default.aspx).

Por supuesto, puede utilizar otras utilidades, pero se recomienda descargarlas únicamente desde los sitios oficiales de desarrolladores. Y es recomendable descargarlo primero en una computadora "sana" y luego transferirlo a la infectada.

A pesar de la relativa simplicidad de este método, antes de comenzar el "tratamiento", es necesario comprender una serie de principios:

1. Incluso si su computadora está protegida por un software antivirus, puede infectarse con un virus porque el antivirus no lo reconoce.
2. Si el antivirus no reconoce este virus en particular en este momento, es muy posible que comience a reconocerlo en el futuro, por ejemplo, si actualiza las bases de datos con firmas de virus.
3. Si el antivirus instalado no reconoce este virus en particular, es muy posible que un antivirus de otro fabricante lo reconozca.
4. Si ninguno de los antivirus encuentra virus en su computadora, esto no significa que no estén allí. Sin embargo, no nos queda más remedio que asumir con un alto grado de probabilidad que el ordenador está “limpio”.

En otras palabras, es posible que deba realizar el tratamiento utilizando varias utilidades de diferentes fabricantes.

El régimen de tratamiento general es el siguiente:

1. Si tu ordenador está infectado con un bloqueador, primero debes desbloquearlo (puedes leer más sobre esto en el artículo sobre bloqueadores de troyanos).
2. Instale y ejecute la utilidad de tratamiento.
3. Sigue las instrucciones.
4. Después de completar la utilidad, instale y ejecute una o más utilidades de otros fabricantes de la misma manera.
5. El ordenador ha sido desinfectado. Ahora necesita instalar (o reinstalar) el complejo antivirus.
6. El ordenador queda desinfectado y protegido. Debe cambiar todas las contraseñas de todos los servicios de Internet, programas de correo electrónico, mensajería instantánea, etc. Se recomienda encarecidamente controlar el movimiento de fondos a través de tarjetas plásticas y cuentas bancarias si utiliza sistemas bancarios en línea: en caso de transacciones sospechosas, debe comunicarse con al banco para su aprobación medidas necesarias: cancelación de pagos, reemisión de tarjetas, etc.
7. Si por algún motivo no pudo curar su computadora usted mismo, debe comunicarse con un especialista. No debemos olvidarnos de la existencia de soporte técnico para los usuarios de productos antivirus: esto puede ahorrarles mucho tiempo, nervios y dinero.

Método 2: reinstalar el sistema operativo

Este es un método radical al que se debe recurrir si los agentes antivirales no ayudan. Antes de volver a instalar el sistema operativo, es recomendable formatear primero el disco duro, lo que no siempre es conveniente, ya que conduce a la destrucción no solo de programas maliciosos, sino también de datos útiles. Además, el procedimiento de instalación y, especialmente, la personalización del sistema operativo requiere bastante mano de obra.

La tarea de reinstalar el sistema puede resultar más sencilla si se ocupa de ello con antelación. Por ejemplo, la carpeta "Mis documentos" en Windows se puede mover a otra unidad lógica o física, lo que le permitirá formatear la partición del sistema en cualquier momento sin temor a perder datos personales. Además, los propietarios de las últimas versiones de Windows tienen la oportunidad de crear un disco de instalación del sistema operativo en el que también se almacena su propio conjunto de programas y configuraciones.

También debes tener en cuenta que si tu computadora está infectada con un virus ransomware, simplemente reinstalar el sistema no te ayudará a recuperar datos personales cifrados.

Método 3: detectar y eliminar malware manualmente

Inmediatamente vale la pena decir que este método se recomienda al final. Es poco probable que incluso un conocimiento profundo del sistema operativo le ayude a implementarlo adecuadamente: existe una alta probabilidad de que se pierda algunos módulos maliciosos o, por el contrario, confunda un programa útil con un virus y elimine algo que necesita. violando la integridad del sistema operativo.

Incluso si te damos algunas recomendaciones generales, por ejemplo, que revises la carpeta de inicio del programa y las claves de inicio del registro de Windows, esto no te será de mucha ayuda, porque sin conocimientos y experiencia profesional en temas de seguridad informática, será muy difícil. para que pueda distinguir entre los archivos "malos" y los "buenos".

En la era de la tecnología, a menudo tenemos que lidiar no sólo con la facilidad de uso de los dispositivos, sino también con sus problemas. Lo mismo puede decirse de una computadora. El sistema de PC es muy complejo. Desafortunadamente, es susceptible a varios tipos de ataques cibernéticos y ¿Cómo puede saber si su computadora está infectada con un virus o gusano publicitario?

Dañar

¿Cuál es la esencia de la pregunta? Si decide que su computadora está infectada con un virus, es importante comprender de qué se trata exactamente.

Un virus informático es un software malicioso que puede replicarse, inyectarse en códigos importantes, áreas del sistema, destruir sectores de arranque y también propagarse a otros sistemas a través de la red.

El objetivo principal del malware es propagarse. El hecho de que un virus pueda eliminar, ocultar, agregar, etc. son solo sus efectos secundarios.

También sucede que un archivo tan “maligno” no tiene ningún motivo para programar efectos maliciosos. Pero debido a incompatibilidad o algunas sutilezas de interacción, el sistema puede fallar.

Los virus pueden "vivir" en las unidades y consumir todos los recursos desde allí.

Mejorado

Para entender cómo determinar que una computadora está infectada, es necesario comprender los tipos de virus y su interacción en el sistema.

Desafortunadamente, con el desarrollo de la tecnología, el malware ha comenzado a mejorar activamente. Por lo tanto, los virus pueden "cubrir" sistemas gubernamentales completos que están protegidos por métodos especiales. Pero ni siquiera esa defensa puede resistir a algunos “villanos”.

Grupos

El software malicioso se diferencia según los métodos de distribución y la funcionalidad. Anteriormente, sólo era posible recuperarlos a través de medios de almacenamiento como, por ejemplo, disquetes. Ahora la mayoría llegan a nuestro PC a través de Internet.

No existe una clasificación estandarizada de los virus porque a veces tienen características ambiguas. Por tanto, no es fácil asignarlos a ningún grupo.

Hay programas que atacan determinadas áreas del sistema. Los virus pueden llegar a archivos, servicios de arranque, códigos fuente, scripts, etc.

También existe una clasificación basada en el mecanismo de infección. Por ejemplo, hay “plagas” que se agregan a un archivo ejecutable, o aquellas que corrompen un documento que no se puede restaurar. También hay virus que "viven" separados de los demás y afectan constantemente el sistema de la PC.

Hay "atacantes" virtuales que pueden utilizar tecnologías especiales dentro de su sistema. Por lo tanto, le resultará difícil incluso comprender cómo determinar que su computadora está infectada.

Los expertos dividen los virus según el idioma en el que fueron escritos. También hay software que utiliza funciones adicionales en el sistema. Pueden espiar, recopilar información necesaria, registrar acciones de los usuarios, etc.

Advertencia

Puede evitar que aparezca una notificación de que su computadora está infectada. ¿Qué hacer en este caso?

Por supuesto, los programas antivirus más populares han sido durante mucho tiempo los principales asistentes. Pero los recientes desarrollos de malware se han vuelto tan avanzados que los programas de seguridad no pueden manejarlo todo. Por eso, es importante seguir algunas recomendaciones para no contraer un virus y luego preguntarse cómo determinar que su computadora está infectada.

Evite el uso de cuentas privilegiadas a menos que sea necesario. Esto se refiere a una cuenta de tipo administrador de Windows. Si un virus se apodera de tus datos, podrás despedirte de todos tus datos y del sistema en su conjunto.

Recuerde que ejecutar programas sospechosos y poco conocidos desde fuentes no verificadas también provoca infección. Debe tener cuidado si el sistema intenta cambiar sus archivos por sí solo.

También vale la pena ocuparse de las funciones del sistema potencialmente peligrosas. Por supuesto, es mejor no "escalar" recursos desconocidos y mirar más de cerca la barra de direcciones. Utilice distribuciones confiables.

Si trabaja a menudo con datos importantes, es mejor transferirlos a un disco externo o hacer copias de seguridad. Puede capturar una imagen de todo el sistema con la implementación.

El sistema está en peligro.

Mucha gente se pregunta cómo determinar si su computadora está infectada. La respuesta es sencilla. Definitivamente adivinarás que hay algún problema con el sistema basándose en las señales existentes.

Las señales de alarma son:

• Aparecen mensajes o imágenes inesperados en la pantalla.
• Reproducción regular de sonidos, que pueden ocurrir de forma caótica en cualquier momento.
• Autoactivación de programas.
• Conectar algunas utilidades a Internet sin su conocimiento.
• Enviar mensajes incomprensibles (spam) desde su dirección de correo electrónico a sus amigos.
• El sistema se congela o funciona lentamente.
• Una gran cantidad de errores y notificaciones del sistema.
• Incapacidad para iniciar el sistema.
• Desaparición de datos personales: ficheros, carpetas y archivos.
• El navegador no funciona correctamente.

Por supuesto, estos no son todos los signos que pueden aparecer durante la infección. Hay muchas variaciones: desde grandes carteles pornográficos hasta apagar completamente la PC.

Primeras acciones

¿Qué hacer si tu computadora está infectada con un virus? Si puede determinar que un "gusano" se ha instalado en el sistema, debe tomar una serie de acciones de inmediato.

Es importante rechazar inmediatamente los pagos bancarios y las billeteras electrónicas. No cambie a ninguna cuenta o sistema financiero importante.

Si tu PC no cuenta con un programa antivirus, es recomendable utilizar al menos su versión online. De esta manera podrá escanear rápidamente el sistema y descubrir qué "sorpresas" se esconden allí.

Lo mejor es apagar Internet y la red local. Para que el virus no pueda "llamar" a alguien para que se ayude a sí mismo o "esconderse" en la World Wide Web por un tiempo. Si el programa antivirus encuentra malware, decidirá automáticamente qué hacer con él: puede eliminarlo inmediatamente o ponerlo en cuarentena.

Por cierto, a menudo algunos programas de seguridad no pueden solucionar estos problemas, por lo que tendrás que instalar otros. Pero esto, a su vez, tampoco es del todo seguro. Por lo tanto, intente asegurarse de antemano de tener instalado un programa antivirus en su computadora. Si interfiere con su trabajo, puede desactivarlo. Pero él es quien sabe cómo determinar que tu ordenador está infectado.

Si ninguna de las opciones le ayuda, debe tomar medidas decisivas.

Ayuda adicional

Por supuesto, si no entiende nada de informática, es mejor llamar inmediatamente a un especialista que "tratará" su PC. Si tiene al menos un conocimiento superficial del sistema, puede intentar encontrar el archivo del virus usted mismo. Puede acceder a esta opción sólo si se enfrenta a un gusano o troyano normal.

Si comprende que tiene un programa malicioso complejo que no es tan fácil de eliminar del sistema usted mismo, puede intentar utilizar programas de terceros. En algunos casos, necesitará conectar el disco duro a otra PC o iniciar el sistema desde un disco.

Conclusiones

Los virus son una molestia que probablemente le ha pasado a todos los usuarios. Los atacantes de todo el mundo intentan robar datos personales o simplemente gastar una broma a un usuario inexperto.

Si tiene un archivo malicioso simple frente a usted, lo más probable es que un programa antivirus pueda encontrarlo. Ella misma lo curará o lo eliminará.

Si tiene un troyano o un gusano, puede solucionarlo usted mismo buscándolo en los archivos del sistema o en el directorio raíz. Para buscarlo, utilice cualquier administrador de archivos que pueda ordenar todos los archivos del sistema por fecha.

Si hay un verdadero "villano" en el sistema, entonces sólo los verdaderos especialistas podrán tratar con él. Por lo tanto, le ayudarán no sólo a eliminarlo de su PC, sino también a guardar sus datos personales. Si los documentos no son importantes para usted o no tiene nada en su computadora, simplemente puede reinstalar el sistema operativo.