Infección por software malicioso: configuración del servidor

¿Qué significa tener URL infectadas por software malicioso del tipo "configuración del servidor" en Search Console?

Significa que un hacker ha comprometido tu sitio y redirecciona a los visitantes de tu sitio en buen estado a su sitio atacante con software malicioso, probablemente modificando los archivos de configuración de tu servidor. Los archivos de configuración de los servidores normalmente permiten que el administrador del sitio web especifique redireccionamientos de URL para páginas o directorios específicos en un sitio. Por ejemplo, en los servidores de Apache, los archivos son .htaccess y httpd.conf.

Para obtener más información general sobre los sitios comprometidos que propagan software malicioso, consulta Evaluar los daños (comprometido por software malicioso).

¿Cómo puedo confirmar el redireccionamiento por software malicioso del tipo "configuración del servidor"?

En primer lugar, evita usar un navegador para ver páginas infectadas en tu sitio. El software malicioso suele propagarse mediante la explotación de las vulnerabilidades del navegador. Si abres una página infectada por software malicioso con un navegador, el ordenador puede sufrir daños.

Te recomendamos confirmar este comportamiento usando cURL o Wget para realizar solicitudes HTTP (por ejemplo, para obtener una página). Estas herramientas gratuitas son útiles para diagnosticar los redireccionamientos y tienen la flexibilidad necesaria para incluir información sobre URLs de referencia o de agente de usuario. Al mostrar contenido malicioso únicamente a los usuarios con agentes de usuario o URLs de referencia específicos, el hacker puede dirigirse a más personas "reales" y evitar mejor la detección de los propietarios de sitio y de las herramientas de análisis de software malicioso. Tu sitio debe estar disponible online para usar estas herramientas. Por ejemplo:

$curl -v --referer <referer-field> --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" </your-infected-url>
como
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/pagina.html
Por lo tanto, obtener una página con el tipo de infección "configuración del servidor" puede devolver las siguientes cabeceras:
…
< HTTP/1.1 301 Moved Permanently
< Date: Sun, 24 Feb 2013 21:06:45 GMT
< Server: Apache
< Location: http://<malware-attack-site>/index.html
< Content-Length: 253
...

 

¿Cómo puedo limpiar un sitio con software malicioso del tipo "configuración del servidor"?

Inicia sesión en tu servidor a través de un acceso de shell o terminal (el sitio puede estar sin conexión) y revisa los archivos de configuración del servidor que correspondan. Es posible que haya más de un archivo de configuración de servidor en tu sitio modificado por el hacker. Comprueba si hay directivas no deseadas en estos archivos, como redireccionamientos, en las que el hacker haya configurado tu sitio para que redireccione a sitios atacantes desconocidos con software malicioso. Por ejemplo, en .htaccess:

RewriteEngine On 
RewriteCond %{HTTP_REFERER} .*google.* 
RewriteRule ^third-page.html($|/) http://<malware-site>/index.html [R=301]
Además:
  • Asegúrate de comprobar todo el archivo en caso de que el hacker haya añadido su código al final del documento, donde es más fácil que pase desapercibido.
  • Investiga las posibles tareas Cron que haya creado el hacker con el fin de seguir actualizando el archivo .htaccess. Las tareas Cron pueden aparecer en varias ubicaciones, como /etc/crontab (en muchos directorios /etc/cron*) y /var/spool/cron.

Cuando todo esté listo para limpiar tu sitio web, puedes sustituir los archivos de configuración del servidor con tus copias de seguridad en buen estado o eliminar el código no deseado del archivo. Reinicia tu servidor web si fuera necesario para activar los nuevos archivos de configuración.

La limpieza del software malicioso de tipo "configuración del servidor" es útil para recuperar un sitio comprometido, pero no soluciona la vulnerabilidad subyacente que permitió que el hacker modificara tu sitio web (y que pueda volver a hacerlo). Para obtener más información sobre la limpieza de todo el sitio, consulta el tema Sitio web pirateado con software malicioso en la documentación sobre cómo recuperar estos sitios.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?