Descripción del problema

Todos los días, muchos sitios web son vulnerados por piratas informáticos y son utilizados como medio para infectar las computadoras de sus visitantes. Los sitios web contienen códigos de descargas para instalar spyware, malware, etc, sin que el usuario se de cuenta.

El proceso de ataque en los sitios web se realiza de manera automatica mediante herramientas que buscan alguna vulnerabilidad. Si la encuentran, insertan un script malicioso dentro del código HTML del sitio violado (generalmente en sus páginas de inicio). Cuando un usuario visita el sitio infectado, éste descargará dicho script en su sistema, y a continuación realizará una petición a un servidor (Hop Point), donde se solicitarán nuevos scripts con exploits encargados de comprobar si esa computadora tiene alguna vulnerabilidad que pueda ser explotada, intentando aprovechar las fallas hasta que tienen éxito, en cuyo caso se descargará un script que descarga el archivo ejecutable (malware) desde el servidor que lo contiene.

Recomiendo leer este artículo de Wikipedia: http://es.wikipedia.org/wiki/Malware

Perjuicios / daños provocados a los propietarios de sitios web

Lamentablemente este tipo de incidencia provoca la pérdida temporal de visitas al sitio web, causa perjuicios económicos (cuesta dinero reparar y restablecer el sitio web vulnerado/hackeado), y además provocan la pérdida potencial de dinero (si el sitio web es un medio de negocios y más aún si es de comercio electronico), sin mencionar el daño a su reputación (puesto que estas advertencias generan desconfianza actual y futura para sus usuarios).

Esto es así porque en un sitio web pirateado sucede:

- Eliminación temporal del sito web en los resultados de búsqueda de Google
- Inclusión temporal del dominio en la lista negra de Stopbadware
- Inaccesibilidad temporal del sitio web a visitantes que utilizan navegadores conectados con el servicio de Stopbadware y Google. Los navegadores modernos tienen bloqueadores antiphishing y antimalware que advierten a los usuarios a través de alertas que se muestran cuando se accede a una página web dañada, a su vez, bloquean el contenido

Cómo detectar o chequear sitios web vulnerados

Algunos organismos están realizando esfuerzos para identificar las páginas que pudieran ser maliciosas y existe una base de datos donde están listadas.

No obstante, un sitio puede estar infectado y aún no ser detectado por las herramientas de rastreo que detectan estos problemas (la mayor, es el propio motor de búsquedas Google), por ende, el sitio pirateado aún puede estar fuera de la lista negra.

Status de sitios web infectados, en buscadores y listas negras

La información actualizada sobre el status de cualquier sito web en Google está en:
http://www.google.com/safebrowsing/diagnostic?site=http://www.nombredelsitioweb.com

También puede hacerse una consulta en:
http://www.stopbadware.org/home/reportsearch

Para chequear que tu website está indexado en Google:
http://www.google.com.ar/search?q=site%3Anombredelsitioweb.com
(si esta consulta arroja “no se encontraron resultados” es porque el website ha sido desindexado o baneado)

Chequeo de código malicioso en sitios web

Estas herramientas no son del todo fiables pero algo ayudan

Para chequear si el website está limpio o posee código sospechoso: http://sitecheck.sucuri.net/scanner/?scan=www.nombredelsitioweb.com

Otras herramientas de chequeo:

http://www.mywot.com/en/scorecard/nombredelsitioweb.com
http://siteadvisor.com/sites/nombredelsitioweb.com
http://reviews.wikia.com/nombredelsitioweb.com
http://www.sitejabber.com/reviews/nombredelsitioweb.com

Cómo detectar Malware en tu sitio web a tiempo?

Lo mejor es dar de alta tu sitio web en Google Webmaster tools: https://www.google.com/webmasters/tools/home?hl=es porque este cuando detecte el problema te notificará por email

Otra forma (requiere de un programador) es a través de un script en el servidor web, que se ejecute cada cierto tiempo desde tareas programadas (cron job), que revise archivos y sus fechas de modificación para que dispare alertas ante modificaciones sospechosas.

Acciones y pasos a seguir con un website que contiene malware

1) Reestablecimiento del sitio web (eliminación y limpieza de archivos)
2) Revisar los logs HTTP del servidor web para identificar el origen del ataque. Reportar el problema al administrador del servidor web que aloja el sitio pirateado
3) Identificar la vulnerabilidad (falla de seguridad) que le permitió al intruso vulnerar la web, y corregir el fallo de seguridad (para evitar que vuelva a suceder, o minimizar el riesgo)
4) Notificar en el organismo de control de Malware www.stopbadware.org que el sitio ha sido restablecido (puesto que la lista negra notifica a los navegadores de los usuarios para que bloqueen el sitio web).
5) Pedir la solicitud de reconsideración del website en Google. La forma de hacer esto es utilizando el servicio de Google Webmaster Tools

Hay que esperar simplemente que se procese la solicitud de revisión que se envía a Google, chequeando su status en la cuenta de Google Webmaster Tools. Una vez que el website sea revisado y eliminado de la lista negra, será fácilmente accesible desde los navegadores conectados stopbadware/Google, y además el mismo será vuelto a incluirse en el índice de resultados del buscador Google.

Lamentablemente GWT no es un servicio donde Google brinde un soporte, por ende el tiempo de la revisión es arbitraria (Google no responde mensajes ni solicitudes por revisiones para este tipo de casos, no obstante considero que si el sitio web está vinculado a una cuenta de Google Adwords, tiene prioridad de revisión y el tiempo de demora puede acortarse notablemente)

Los navegadores Chrome y Firefox siguen advirtiendo a los usuarios que se trata de un website con malware, incluso despues de restablecer la web y eliminar los códigos malignos, puesto que cuando se notifica al organismo que previene sobre este tipo de problemas a los usuarios de Internet (http://www.stopbadware.org/ ), este incluye la dirección url del sitio web infectado en una lista negra: http://www.stopbadware.org/home/security que luego se utiliza por estos navegadores para advertir sobre los riesgos de visitar el sitio web infectado.

Acciones preventivas futuras

1) Hacer back ups siempre de los sitios web
2) Mantener en lugar seguro las contraseñas de acceso a cpanel o ftp
3) Mantener las computadoras libres de virus, y el antivirus con la base de datos actualizada

Ver más información en:

http://support.google.com/webmasters/bin/answer.py?hl=es&answer=168328

http://www.stopbadware.org/home/security#preventing

Responsabilidad por la integridad y funcionamiento de los sitios web

A fin de evitar malos entendidos por la responsabilidad ante cualquier inconveniente en un sitio web vinculado a servicios de hosting y/o dominios brindados por DDW (como así también en cualquier sitio web donde se nos encargue trabajos específicos) siempre informamos a todos nuestros clientes que:

DDW no se hace responsable ni garantiza la integridad ni el normal funcionamiento de ningún sitio web si se presentan estas situaciones:

1) el sitio web no lo ha desarrollado DDW
2) el sitio web no está alojado en los servidores de DDW (no proveemos el servicio de hosting)
3) DDW ha entregado al cliente las contraseñas de acceso a la administración de sus servicios de hosting (FTP, Cpanel, etc)
4) la administración de contenidos del sitio web no la realiza DDW y está a cargo del cliente o de terceros contratados (que poseen el acceso al administrador de contenidos, si fuese el caso)