Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
17/10/2012
Explican a administradores web como evitar el fatídico "Este sitio puede dañar tu equipo"
Marta Janus, experta en seguridad informática en Kaspersky Lab, explica a los administradores web a saber cómo reconocer y evitar que su sitio web esté infectado.
Las infecciones masivas originadas en sitios web son uno de los mayores problemas que enfrenta la seguridad informática actual. Algunos propietarios de sitios web suelen quejarse de que el software de seguridad bloquea erróneamente el acceso a su portal y que debe tratarse de una falsa alarma ya que no alojan contenidos maliciosos de ningún tipo. Por desgracia, en la mayoría de los casos, se equivocan porque sí que se pueden encontrar en sus sitios web scripts maliciosos que se inyectaron en el código original PHP, JS o HTML.
Estos scripts suelen desviar a los visitantes hacia URLs maliciosas desde las que se descargan y se ejecutan programas maliciosos en el ordenador del usuario. En la mayor parte de los casos, estos scripts se ejecutan furtivamente, por lo que al usuario le parece que el sitio funciona con toda normalidad. Los códigos maliciosos explotan vulnerabilidades en los programas instalados en el ordenador del usuario (como Java, Flash, lectores PDF, plugins para el navegador, etc.) para instalarse en secreto en el ordenador atacado. Este método se llama descarga "drive-by".
Para Kaspersky Lab, los administradores de sitios web deben saber cómo identificar y eliminar programas maliciosos de sus webs, ser conscientes en todo momento de qué está pasando, qué hay que buscar; cómo sucedió; cuál es su propósito; cómo desinfectar; y cómo prevenir que un sitio web se infecte.
Síntomas de la infección
- Los usuarios se quejan de que el navegador o la solución de seguridad han bloqueado el sitio;
- el sitio web está en la lista de sitios prohibidos de Google o aparece en otra base de datos de URLs maliciosas;
- hay un notable cambio en el tráfico y/o una caída en las clasificaciones de los motores de búsqueda;
- el sitio web no se abre de forma correcta, muestra errores y advertencias;
- tras visitar el sitio web, el ordenador muestra un extraño comportamiento.
A menudo la infección pasa inadvertida durante mucho tiempo, especialmente si se trata de un programa malicioso sofisticado. Estos programas maliciosos suelen estar bien camuflados para engañar al administrador del sitio web y a las soluciones de seguridad, y constantemente se cambian los nombres de los dominios a los que se desvía, a fin de burlar la detección mediante listas negras. Si no han notado ninguno de estos síntomas es un buen indicio de que el servidor está limpio, pero hay que permanecer alerta ante cualquier actividad sospechosa.
La señal más inequívoca de cualquier infección es la presencia de códigos maliciosos sospechosos en uno o más archivos en el servidor, especialmente archivos HTML, PHP o JS, y últimamente también archivos ASP/ASPX. No es fácil encontrar el código y se necesita por lo menos conocimientos básicos de programación y de diseño de sitios web.
Más información en DiarioTI.
El artículo completo de Marta Janus, en inglés, está disponible en SecureList.