Infección por software malicioso: inyección de SQL

¿Qué significa tener URL infectadas por software malicioso del tipo "inyección de código" en Search Console?

Significa que es probable que la base de datos del sitio se encuentre comprometida. Por ejemplo, el hacker puede haber insertado de forma programática código malicioso en cada registro de la tabla de la base de datos. Luego, cuando el servidor carga una página que requiere información de la base de datos, el código malicioso se inserta en el contenido de la página, lo que pone en riesgo a los visitantes del sitio.

Para obtener más información general sobre el software malicioso, consulta Evaluar los daños (comprometido por software malicioso).

¿Cómo se investiga el software malicioso del tipo "inyección de SQL"?

En primer lugar, evita usar un navegador para ver páginas infectadas en tu sitio. El software malicioso suele propagarse mediante la explotación de las vulnerabilidades del navegador. Si abres una página infectada por software malicioso con un navegador, el ordenador puede sufrir daños.

Te recomendamos confirmar este comportamiento usando cURL o Wget para realizar solicitudes HTTP (por ejemplo, para obtener una página). Estas herramientas gratuitas son útiles para diagnosticar los redireccionamientos y tienen la flexibilidad necesaria para incluir información sobre URLs de referencia o de agente de usuario. Al mostrar contenido malicioso únicamente a los usuarios con agentes de usuario o URLs de referencia específicos, el hacker puede dirigirse a más personas "reales" y evitar mejor la detección de los propietarios de sitio y de las herramientas de análisis de software malicioso. Tu sitio debe estar disponible online para usar estas herramientas.

Por ejemplo:
$curl -v --referer <campo-de-url-de-referencia> --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" <tu-url>
como:
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/pagina.html

En los resultados de Wget y de cURL, comprueba si hay palabras como "iframe" o "eval" que pueda haber incluido el ciberdelincuente.

A continuación, inicia sesión en el servidor de tu base de datos o consulta tu base de datos a través de una herramienta como phpMyAdmin. Si has usado Wget o cURL, procura correlacionar los daños detectados en el código fuente de la página a través de Wget o de cURL con las entradas de la base de datos. Por ejemplo, si ves que tus páginas incluyen un marco flotante peligroso, puedes realizar una consulta SQL buscando el código de dicho marco Por ejemplo:

SELECT * FROM blog_posts WHERE post_text LIKE '%>iframe%'; 

También te recomendamos comprobar si hay actividad inusual en el registro de la base de datos y en los archivos de error del servidor, tal como errores o comandos SQL inesperados que parezcan atípicos para usuarios habituales.

¿Cómo puedo limpiar un sitio web con software malicioso del tipo "inyección de SQL"?

Cuando todo esté listo para limpiar tu sitio web, puedes actualizar cada registro infectado de la base de datos o restaurar la última copia de seguridad conocida de la base de datos.

Ten en cuenta que, al eliminar el código malicioso, no solucionarás la vulnerabilidad subyacente que permitió al hacker comprometer tu sitio web. Si no corriges la causa de este ataque, tu sitio podría verse comprometido de nuevo más adelante. Para obtener más información sobre cómo limpiar un sitio web pirateado, consulta la página Ayuda para sitios web pirateados.

¿Te ha sido útil este artículo?
¿Cómo podemos mejorar esta página?