¿Cómo elimino el virus que infectó mi página web?

Por lo general, la alerta de llega desde Google al agregar el dominio a la lista de sitios “sospechosos” de alojar malware, y evita el acceso al sitio colocando una pantalla de alerta.

Es una medida de precaución para evitar que la infección que tiene el sitio web se expanda a las PCs o los navegadores de quienes visitan la web, sin saber que automáticamente estarán descargando un virus en su equipo.

¿Cómo entró el virus?

A diferencia de lo que indicaría el sentido común (“si mi sitio tiene un virus, está infectado el servidor web de mi proveedor de hosting”), el problema casi siempre se encuentra en la PC desde donde se actualiza el sitio web.

Quienes se dedican a subir este tipo de virus, con la intención de expandirlos a través de internet, apuntan a robar una información fundamental: tus claves FTP.

Con esas claves, suben archivos infectados o sus páginas modificadas, sin que te des cuenta. Si el ataque es lo suficientemente elaborado, hasta conseguirán al instante tu nueva clave de FTP en el momento que la modifiques.

Otra manera muy común de agregar un virus o código malicioso a un sitio es explotando la vulnerabilidad de una aplicación desactualizada (foro, blog, galería de fotos, carrito de compras, etc.). Por eso es fundamental tener siempre la aplicación actualizada y aplicar los parches de seguridad recomendados por sus desarrolladores.

¿Cómo encuentro el virus?

La forma más usada para esconder un virus en un sitio web se conoce como “iframe attack”.

El “iframe” se esconde en el código de tus páginas, y lo que hace es llamar a otra página de forma invisible, buscando posicionar mejor esa página escondida o bien infectar con virus o un código malicioso a los visitantes.

Lo más común es que lo agreguen al código de tu página index (index.html, index.php, etc.). También ocurre, con virus como Gumblar cn, que suban un archivo y lo ubiquen en una carpeta donde sea difícil detectarlo (Gumblar cn, por ejemplo, sube un archivo llamado “image.php” dentro de la carpeta “images”).

¿Cómo elimino el virus?

1) Ingresa por FTP y descarga todo el contenido del sitio a una carpeta dentro de tu equipo. Luego, cambiar la contraseña del FTP desde el Panel de Control Ferozo o el Área de Cliente.

2) Ahora, debes correr un buen antivirus y antispyware en la carpeta que contiene la web, y en el resto del equipo (incluyendo discos extraíbles).

3) Una vez que el antivirus haya eliminado archivos sospechosos, comienza el trabajo manual dentro de la carpeta donde está tu web.

Con un programa que permita buscar dentro de los archivos, habrá que identificar todos aquellos que incluyan un “iframe” con estilo escondido (“hidden”), que no correspondan a su página, y eliminar esa porción de código.

Por ejemplo:

<iframe src=”http://alguna_página.cat”
style=”visibility: hidden; display: none”>
</iframe>

Siguiendo el mismo procedimiento, busca también si en alguna página existe un archivo llamado “document.write”, seguido de una línea de código.

Por ejemplo:

<script language=”javascript”>
document.write( unescape( ‘%70%61%67%65%20%6F%6E%65' ) );
</script>

Si la encuentras, borra esa porción de código.

Asegúrate que todos los src= y http:// hagan referencia a archivos de tu sitio web o a sitios externos que conoces y son confiables.

Luego, sólo resta la revisión manual: buscar entre todos los archivos la existencia de cualquier .php, .js, .htm, .html, asp, .aspx, .inc, .cfm, etc., que no pertenezca a tu sitio web.

4) Una que hayas realizado esto, ya seguro de que tu sitio está limpio, conéctate por FTP en forma segura. Elimina todo el contenido de la carpeta public_html, y sube los archivos que acabas de limpiar.

5) Ahora, elimina el caché del navegador, abre la página index de tu web y todas aquellas que detectaste como infectadas en la primera revisión.

Luego, desde el menú del browser elije la opción para ver el código fuente de cada página. Si no aparece más el “iframe” que apunta a una web desconocida o el “document.write”, entonces significa que el sitio está limpio.

6) Si Google marcó tu web como sospechosa, será necesario que solicites una revisión para levantar la página de alerta. Deberás completar el formulario en Google Webmaster Central o StopBadware.

Por lo general, si Google no encuentra infecciones, en un día ya saca el sitio de su listado de webs sospechosas de alojar malware, aunque puede demorar algunos días.