Español | English
rss facebook linkedin Twitter

Visitar este sitio puede dañar tu equipo

Es común el desconcierto de muchos usuarios cuando al entrar en una página web les aparece un aviso similar a este:



pero el desconcierto se convierte en pánico cuando esto ocurre en tu dominio y no puedes acceder a él. Primero aclarar que estos avisos pueden aparecer en tu navegador Google chrome a través del mensaje: "Advertencia: Visitar este sitio puede dañar tu equipo" o en firefox con: "¡Este sitio es una web atacante!". Ambos navegadores usan la misma fuente de datos a través de la organización sin ánimo de lucro StopBadware, originada en la Universidad de Harvard.

¿Qué hacer en estos casos?. Lo primero que no cunda el pánico, bueno sí, pero de manera controlada, algo de estrés siempre es bueno para trabajar. Vayamos por pasos:

  1. Comprobar con otros servicios; aunque estos avisos de google son muy fiables, nunca está de más comprobar el presunto sitio malicioso con cualquiera de estas herramientas de análisis de urls maliciosas, algunas podrán mostrar datos con más detalle para analizar posteriormente.

  2. Interpretar los datos: con todo lo que tenemos ahora ya debiéramos poder realizar un primer diagnóstico, en el caso de la imagen, vemos que el dominio legítimo contenía a otro que no lo era tanto, este último contaba en su historial con: Malicious software includes 46 exploit(s), 10 scripting exploit(s) entre otras acciones similares.

  3. Saber cuando ocurrio: En este caso concreto la información que Google nos proporciona es: "The last time Google visited this site was on 2010-08-10, and the last time suspicious content was found on this site was on 2010-08-10." Con este dato podremos correlar los logs para buscar el patrón del ataque. Hay que tener en cuenta que Google no escanea los sitios a diario, y puede que ya no quede rastro del código malicioso que hizo saltar este aviso pero todavía siga apareciendo como sitio dañino. [ver punto 8]

  4. ¿Por qué ocurrio?: Si todavía no sabes porque Google cree que tu sitio es malicioso, es hora de revisar detalles de los servicios comentados en el punto 1, cruzar los dedos y tener suerte de encontrar algún rastro. Si te gusta la marcha siempre podrás revisar el código a pelo. Es posible el caso de que todo se haya limpiado ya (en caso de dominios no gestionados por nosotros) y no seamos capaces de saber exactamente que contenía ni porque saltó el aviso.

  5. Limpiar nuestro sitio: Una vez que sepamos cual era la fuente del problema tendremos que eliminar el código malicioso; generalmente iframes ocultos o javascript ofuscado formando parte de lo que se denomina ataques drive-by download. Ejemplo de uno de ellos. Para ello tendremos que tener conocimiento de cuales son las partes legítimas del sitio web y cuales no, de nuevo aquí, nos ayudaran herramientas del punto 1.

  6. Investigar las causas del origen: A parte del punto anterior, es posible que no lleguemos a saber a ciencia cierta todo lo que hicieron en nuestro sitio web, por lo que lo más recomendable, es realizar una revisión en nuestro servidor web en busca de archivos sospechosos, ocultos y registros extraños en BBDD, y como no, revisar los logs. Las causas más comunes de este tipo de casos según nuestra experiencia son SQL injections, redirecciones en el archivo .htaccess o aprovechamiento de vulnerabilidades conocidas en diferentes CMSs. Puede darse en ocasiones qué no seamos capaces de conocer las verdaderas causas, en algunos casos ni los propios servicios de alojamiento pueden descubrir que ocurrió.

  7. Prevenir la reinfección: Una vez que hemos limpiado el código malicioso de nuestro sitio y hayamos encontrado o no las causas de ello, será hora de cambiar todas las contraseñas y realizar actualizaciones en el software para que este libre de bugs conocidos que pudieran haberse aprovechado para modificar nuestro sitio. Si el origen fue a través de SQL injections, enseña la guía de desarrollo seguro owasp a quién implementó el sitio web. Otra medida muy aconsejable es revisar todos los scripts de terceras partes que tengamos como banners, anuncios y cualquier cosa similar que no dependa directamente de nosotros. Otro punto aconsejable y completamente independiente de tu sitio web es, cerciorarte de que tu equipo con el que accedes a la web está libre de virus. Aunque los troyanos bancarios tienen como principal objetivo recopilar datos bancarios, también lo hacen de múltiples sitios sociales y aplicaciones de todo tipo.

  8. Solicitar a Google una nueva revisión: Si después de haber seguido todos estos pasos, nuestro sitio sigue siendo reportado como dañino, deberemos solicitar una nueva revisión del sitio a través de las herramientas de webmaster de google. Si no lo hacemos así, puede que pasen hasta semanas con nuestro sitio en las listas negras de google. Pero si confirmamos que somos los dueños del dominio y todo está limpio, nos podrán sacar de la lista negra en 24H.
Casos como este ocurren a diario sin que los propietarios de los sitios web sean conscientes de ello hasta que ya es demasiado tarde. El resultado es que el sitio web comprometido se incluye en listas negras y el usuario lo percibe a través de su navegador con avisos como el de este caso siendo las principales repercusiones:
  • Incapacidad de acceder al sitio web.
  • Pérdida de confianza de los usuarios/visitantes del sitio web y mala imagen de marca.
  • Penalización de los buscadores y consiguiente descenso del sitio en los SERPs.
Esperemos que la próxima vez que te encuentres con un caso de estos sepas como actuar para frenar el badware.

2 comentarios:

Rafael Alfaro March dijo...

Hola,

Hay un error en el Feed RSS. Está enlazando con otro blog.

Por cierto, el post es muy interesante.

Un saludo.

Ion dijo...

Arreglado
Muchas gracias!


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login