Es recomendable revisar el sitio web minuciosamente, ya que pudo haber sido atacado y el código malicioso insertado sin conocimiento del webmaster.
La forma más usada para esconder un virus en un sitio web se conoce como “iframe attack”. El “iframe” se esconde en el código de las páginas y llama a otra página de forma invisible para posicionar mejor esa página escondida o infectar a los visitantes del sitio web. Por lo general este “iframe” es agregado al código de la página "index" (index.html, index.php…).
De igual manera se presentan infecciones con virus como “Gumblar cn”, caso en el que se sube un archivo y se ubica en una carpeta donde es poco probable que sea detectado. “Gumblar cn” sube un archivo llamado “image.php” dentro de la carpeta “images”.
Pasos a seguir para verificar que el sitio web esté limpio:
-
Analizar con un antivirus y antispyware actualizados el computador y la red del webmaster (incluyendo discos extraíbles), ya que si el equipo desde donde se carga la página se encuentra infectado, aunque limpie el sitio, cada vez que realice cargas desde el mismo la web se infectara nuevamente.
-
Analizar con un antivirus y antispyware actualizados la carpeta que contiene el sitio web.
-
Una vez que el antivirus y el antispyware hayan finalizado el proceso de escaneo y de eliminación de archivos sospechosos se debe iniciar el trabajo de revisión manual dentro de la carpeta del sitio:
3.1. Identificar todos los archivos que incluyan un “iframe escondido (hidden)" que no correspondan a la página web y eliminar esa porción de código.
Ejemplo:
<iframe src=”http://pagina-web.cat”
style=”visibility: hidden; display: none”>
</iframe>
3.2. Verificar si hay alguna página en la que exista un “document.write” seguido de una línea encodeada. Si lo hay, borrarlo del código.
Ejemplo:
<script language=”javascript”>
document.write( unescape( ‘%70%61%67%65%20%6F%6E%65′ ) );
</script>
3.3. Confirme que todos los src= y http:// hacen referencia a archivos del sitio web o en su defecto a sitios externos confiables.
3.4. Verificar que todos los archivos .php, .js, .htm, .html, asp, .aspx, .inc, .cfm, entre otros, pertenecen al sitio web.
-
Una vez seguro de que no hay ningún tipo de infección, cambiar la contraseña FTP desde el panel de control y conectarse por FTP en forma segura.
-
Eliminar por completo TODOS los archivos del sitio web en el servidor.
-
Volver a cargar TODOS los archivos (previamente limpiados) al sitio web desde el computador desinfectado.
-
Borrar el caché del navegador, abrir la página index de la web y todas las paginas infectadas. Revisar el código fuente de cada página, sí ya no aparece el “iframe” o el “document.write” el sitio está libre de contenido malicioso.
-
Cuando se este 100% seguro de que el sitio ha sido desinfectado, solicitar a Google una revisión de la pagina web, a través del Centro Para Webmasters de Googleo de Stop Badware. Google vuelve a indexarlo bastante rápido sí lo encuentra libre de código malintencionado, en poco tiempo los avisos de software malicioso asociados a la web desaparecerán de los resultados en el buscador.
