“Este sitio puede dañar tu equipo”. Cómo reconocer y evitar sitios web infectados

Índice

• Síntomas de la infección
• Vectores y técnicas de ataque
• Las metas de los ciberdelincuentes
• Métodos de desinfección
• Fundamentos de seguridad de sitios web

Las infecciones masivas originadas en sitios web son uno de los mayores problemas que enfrenta la seguridad informática actual. La dimensión del problema se refleja, por ejemplo, en la cantidad de solicitudes que recibe nuestro servicio de soporte técnico sobre las alertas sobre sitios web maliciosos. Algunos propietarios de sitios web suelen quejarse de que nuestro producto bloquea erróneamente el acceso a su portal y que debe tratarse de una falsa alarma ya que no alojan contenidos maliciosos de ningún tipo. Por desgracia, en la mayoría de los casos, se equivocan porque sí que se pueden encontrar en sus sitios web scripts maliciosos que se inyectaron en el código original PHP, JS o HTML. Estos scripts suelen desviar a los visitantes hacia URLs maliciosas desde las que se descargan y se ejecutan programas maliciosos en el ordenador del usuario. En la mayor parte de los casos, estos scripts se ejecutan furtivamente, por lo que al usuario le parece que el sitio funciona con toda normalidad. Los códigos maliciosos explotan vulnerabilidades en los programas instalados en el ordenador del usuario (como Java, Flash, lectores PDF, plugins para el navegador, etc.) para instalarse en secreto en el ordenador atacado.  Este método se llama descarga ‘drive-by’, o descarga al paso, y está ampliamente descrito en el artículo: Las descargas ocultas: asedio a la red.

Este artículo contiene información que puede ayudar a los administradores de sitios web a identificar y eliminar programas maliciosos de sus sitios web.

• ?Qué está pasando? Síntomas de la infección.
• ?Qué hay que buscar? Ejemplos de códigos maliciosos.
• ?Cómo sucedió? Vectores y técnicas de ataque.
• ?Cuál es su propósito? Las metas de los ciberdelincuentes.
• ?Cómo desinfectar un sitio web? Métodos de desinfección.
• ?Cómo prevenir que un sitio web se infecte? Fundamentos de la seguridad de sitios web.

Síntomas de la infección

?Cómo puedes saber si tu sitio web está infectado? Los mejores síntomas son los más obvios:

• los usuarios se quejan de que el navegador o la solución de seguridad han bloqueado el sitio;
• el sitio web está en la lista de sitios prohibidos de Google o aparece en otra base de datos de URLs maliciosas;
• hay un notable cambio en el tráfico y/o una caída en las clasificaciones de los motores de búsqueda;
• el sitio web no se abre apropiadamente, muestra errores y advertencias;
• tras visitar el sitio web, el ordenador muestra un extraño comportamiento.

Sucede a menudo que la infección pasa inadvertida por mucho tiempo, especialmente si se trata de un programa malicioso sofisticado. Estos programas maliciosos suelen estar bien camuflados para engañar al administrador del sitio web y a las soluciones de seguridad, y constantemente se cambian los nombres de los dominios a los que desvía, a fin de burlar la detección mediante listas de rechazados. Si no has notado ninguno de estos síntomas, es un buen indicio de que tu servidor está limpio, pero tienes que permanecer alerta ante cualquier actividad sospechosa.

La señal más inequívoca de cualquier infección es la presencia de códigos maliciosos sospechosos en uno o más archivos en el servidor, especialmente archivos HTML, PHP o JS, y últimamente también archivos ASP/ASPX. No es fácil encontrar el código y se necesita por lo menos conocimientos básicos de programación y de diseño de sitios web. Entonces, para ayudarte a ver cómo es un código malicioso, te damos a continuación algunos ejemplos de las inyecciones web más comunes.

Ejemplo 1: Desvío simple

El método más antiguo y menos complicado consiste en adjuntar un sencillo HTML IFRAME al código de los archivos HTML en el servidor. La dirección que se usa para cargar el sitio web malicioso en el IFRAME está especificada como el atributo SRC y el atributo de VISIBILIDAD en el parámetro ‘oculto’ es responsable de que el IFRAME sea invisible para el usuario que navega en el sitio web.

Figura 1: IFRAME malicioso dentro del código HTML del sitio web

Otra técnica para ejecutar scripts maliciosos en el navegador del usuario consiste en inyectar un enlace a este script en el archivo HTML como el atributo src en la etiqueta script o img:

Figura 2: Ejemplos de enlaces maliciosos

Últimamente se han presentado más casos de códigos maliciosos que se generan dinámicamente y se inyectan en los archivos HTML mediante un script malicioso JS o PHP. En tales casos, los códigos son invisibles si se ve la fuente desde el interior del navegador, pero no son invisibles en los archivos físicos en el servidor. Los ciberdelincuentes pueden también definir condiciones para que se genere el código, por ejemplo, sólo cuando el usuario llegue al sitio web desde ciertos motores de búsqueda o haya abierto el sitio web mediante un determinado navegador.

Para poder engañar al propietario del sitio y al programa de seguridad, y para impedir el análisis del código malicioso, los ciberdelincuentes usan una variedad de técnicas para ofuscar el código.

Ejemplo 2: ‘404 Not Found’

En este ejemplo, el código malicioso se inyecta en la plantilla del mensaje que se muestra cuando no se ha encontrado en el servidor el objeto especificado (la famosa respuesta HTTP 404). También se inyecta en los archivos index.html / index.php un enlace a un elemento que no existe, a fin de activar silenciosamente este error cada vez que el usuario visita el sitio web infectado. Este método puede causar algunas confusiones: al administrador del sitio web se le informa que una solución antivirus ha señalado el sitio web como infectado, pero tras una investigación superficial, resulta que el código malicioso se encontró en un objeto que al parecer no existe, y asume (incorrectamente) que se trata de una falsa alarma.

Figura 3: Trojan.JS.Iframe.zs – script malicioso en la plantilla de un mensaje de error 404

En este caso en particular, se ha ofuscado el código malicioso.  Una vez desofuscado, podemos ver que el propósito de este script es inyectar una etiqueta IFRAME que después se usará para desviar a los usuarios hacia una URL maliciosa.

Figura 4: Trojan.JS.Iframe.zs – código malicioso desofuscado

Ejemplo 3: Infecciones por perfil

Se pueden generar y adjuntar dinámicamente códigos similares (dependiendo de ciertas circunstancias) a todos los archivos HTML localizados en un servidor mediante un script PHP malicioso cargado al mismo servidor. El script que se muestra en el siguiente ejemplo verifica la etiqueta UserAgent (que envía el navegador del usuario y también los bots de búsqueda) y no adjunta el código malicioso si los visitantes del sitio son bots o usuarios de Opera, Chrome o Safari.  Por tanto, a los usuarios de los navegadores que no son vulnerables al exploit usado en este ataque no se los desviará hacia el exploit. También es importante observar los comentarios engañosos que sugieren que este script está de alguna manera relacionado con estadísticas de bots.

Figura 5: Trojan.PHP.Iframer.e – PHP infeccioso

Este método también puede usarse a la inversa, puesto que los ciberdelincuentes pueden inyectar enlaces en algunos contenidos ilegales, oscuros o maliciosos (como spam, spyware, software pirateado y phishing) sólo cuando un bot de búsqueda visita el sitio. El propósito de este ataque se conoce como Black Hat SEO, que es un mecanismo para optimizar los resultados de búsqueda de recursos de los ciberdelincuentes. Este programa malicioso, que suele atacar a portales de alto perfil que cuentan con una muy elevada PageRank, resulta muy difícil de detectar, ya que el usuario común nunca ve el código malicioso. Como resultado, los motores de búsqueda otorgan una alta clasificación a los sitios maliciosos y empiezan a aparecer entre los primeros resultados de búsqueda.

Ejemplo 4: Astuto enmarañamiento

Los infecciosos PHP pueden asumir otras formas. A continuación damos dos ejemplos que se descubrieron y se describieron en nuestra bitácora hace algunos meses: Colores peligrosos y Los peligrosos espacios en blanco.

Figura 6: Trojan-Downloader.PHP.JScript.a – PHP infeccioso

Figura 7: Trojan.PHP.Injecter.c – PHP infeccioso

El primero (Trojan-Downloader.PHP.JScript.a) inyecta un JavaScript malicioso en el código de archivos HTML justo después de una de las etiquetas definidas de cierre (script, div, table, form, p, body). El contenido del script inyectado es complejo, pues es numérico y se guarda en dos matrices: $tr y $tc. El desenmarañamiento se realiza sobre la marcha: El código generado de esta manera también está ofuscado, pero de otra forma:

A primera vista, se podría pensar que este script tiene relación con los colores que aparecen en la página web, pero peroesta impresión es completamente errónea; el script convierte los valores que guarda en la matriz div_colors en símbolos ASCII y después construye la URL maliciosa que posteriormente se adjunta al archivo HTML mediante las funciones document.write() o document.createElement().

El segundo script PHP (Trojan.PHP.Injecter.c) es mucho más astuto: la URL maliciosa se escribe con símbolos ‘invisibles’: espaciador y tabulador. Si asumimos que espaciador == ‘0’ y tabulador == ‘1’, obtenemos un código binario; cada trozo de 8-bit de este código es una representación decimal de un símbolo ASCII.

Ejemplo 5: JavaScripts infectados

Los elementos infecciosos descritos arriba se colocan en archivos PHP que se suben al servidor aprovechando las vulnerabilidades en el software CMS o mediante información FTP robada. Otro método consiste en infectar los archivos JS legítimos que ya se encuentran en el servidor. De la gran variedad de ejemplos con que contamos, es importante mencionar al menos tres casos distintos que se han tenido resonancia en los últimos meses.

En el primero, se inyecta dinámicamente el siguiente código en archivos HTML:

Figura 9: Trojan.JS.Iframe.zs –  IFRAME malicioso inyectado dinámicamente en un archivo HTML

El script responsable de adjuntar este código se coloca en uno o más archivos JS en el servidor:

Figura 10: Trojan.JS.Iframe.zs – script desofuscado que infecta un IFRAME

En el siguiente caso, se usó la forma hexadecimal de símbolos ACII como enmarañamiento. Todos los archivos JS en el servidor se infectan con un código similar:

Figura 11: Trojan-Downloader.JS.Agent.gnm – código malicioso inyectado en un archivo JS

En otro caso muy conocido, además de los métodos comunes de enmarañamiento, también aparecen comentarios en latín, que quizás se insertaron para que el administrador crea que es un script legítimo y confiable, aunque se trata de secuencias aleatorias de la famosa fórmula ‘Lorem ipsum

Figura 12: Trojan-Downloader.JS.Twetti.t – código malicioso inyectado en un archivo JS

Por último, tenemos una enorme cantidad de programas maliciosos en la web que usan nombres aleatorios de dominios. El código puede estar en tu sitio web, y si está infectado con estos programas maliciosos, se verá así:

Figura 13: Versión camuflada del código que desvía hacia un dominio generado aleatoriamente

Ejemplo 6: ‘Gootkit’ y enmarañamiento de todo el archivo

Es fácil detectar el código malicioso ofuscado dentro del archivo limpio, de modo que los ciberdelincuentes RunForestRun’, ‘gootkit’ y nombres de dominios generados al azar  han tenido la idea de enmarañar todo el contenido del archivo, para que tanto el script inyectado como el código legítimo sean ilegibles. No es posible diferenciar los códigos buenos de los maliciosos, por lo que no hay forma de desinfectar el archivo sin previamente decodificarlo.

Figura 14: Archivo camuflado por el programa malicioso ‘gootkit’

No es muy difícil deshacerse de la primera capa de enmarañamiento; sólo hay que cambiar la función eval() por la función alert() (o a la función print() en el caso de la consola) y ejecutarla. La segunda capa es un poco más peliaguda: usa el nombre de dominio como llave para codificar el código.

Figura 15: “gootkit” – segunda capa de ofuscamiento

Una vez decodificado, podemos ver el código malicioso, seguido del contenido original del archivo:

Figura 16: “gootkit” – código desofuscado

Sucede que la parte maliciosa es la segunda versión del programa malicioso mencionado en el anterior ejemplo y se usa para generar pseudo-aleatoriamente el nombre de dominio para el desvío.

Ejemplo 7: .htaccess

En lugar de infectar scripts y códigos HTML, los ciberdelincuentes también pueden recurrir a las posibilidades que les brindan algunos archivos de configuración, como los .htaccess. En estos archivos, el administrador puede definir permisos de acceso a determinadas carpetas en el servidor y también puede desviar a los usuarios hacia otras URLs en ciertas circunstancias (por ejemplo, si el usuario-agente viene de un navegador móvil, se desviará al usuario hacia la versión móvil del sitio web). No resulta difícil adivinar cómo aprovechan los ciberdelincuentes esta función…

Figura 17: programa malicioso .htaccess

En el ejemplo de arriba, a todos los usuarios que visitaron este sitio web pulsando un enlace desde la mayoría de los más importantes motores de búsqueda (HTTP_REFERER parameter) se los desvió hacia la URL maliciosa. Además, hay una lista bastante extensa de navegadores y bots que no activan el desvío (HTTP_USER_AGENT parameter). El desvío no tendrá lugar si la página web se lee desde el caché (referer == cache), o si se vuelve a cargar desde el mismo ordenador (el parámetro cookie).

Este programa malicioso puede usarse para infecciones más perfiladas (por ejemplo, se pueden excluir direcciones IP determinadas, de manera que la navegación hacia el sitio web desde un rango específico de IPs, digamos uno que pertenezca a una compañía de seguridad, no produzca resultados maliciosos).

Vectores y técnicas de ataque

Cualquiera que sea la técnica que usen, los ciberdelincuentes necesitan encontrar una vía para descargar sus archivos maliciosos o para modificar los archivos que ya se encuentran en el servidor. El método más antiguo para acceder al servidor consiste en crackear la contraseña de acceso. Para ello, los ciberdelincuentes pueden recurrir a ataques de fuerza bruta o a su versión limitada, un ataque diccionario. Esta técnica suele consumir mucho tiempo y recursos, por lo que no se usa mucho para causar infecciones masivas a través de la web. Entre las técnicas más populares están la explotación de vulnerabilidades y los programas maliciosos diseñados para robar contraseñas.

Explotación de vulnerabilidades en sistemas de gestión de contenidos/sistemas e-commerce

Las más modernas plataformas de administración de la web (como los sistemas de gestión de contenidos, e-commerce, paneles de control, etc.) no son perfectas y contienen vulnerabilidades que permiten cargar archivos en el servidor sin necesidad de autenticación. Estas vulnerabilidades se descubren con frecuencia, mientras que los parches se publican con mucho retraso; además, muchos usuarios siguen usando antiguas versiones de software, por lo general infectadas de virus. Las plataformas más atacadas suelen ser las más populares: WordPress, Joomla y osCommerce. Un famoso ejemplo de estas vulnerabilidades es la conocida como TimThumb, que los ciberdelincuentes explotaron ampliamente en varios casos de descargas al paso. TimThumb es el módulo PHP para el redimensionamiento de imágenes y para crear los conocidos thumbnails, y está incorporado en la mayoría de las plantillas de sistemas públicos de gestión de contenidos. Esta vulnerabilidad permite escribir archivos, desde un lugar remoto, en el directorio caché del servidor. Otro ejemplo es la inyección de SQL en Plesk Panel (versiones 10 y anteriores, descubierta en febrero de 2012, cuya función es posibilitar el acceso a bases de datos y el robo de contraseñas que, hasta hace poco, se guardaban en texto llano. Es probable que la información que se obtiene de esta manera se haya utilizado en un reciente estallido viral en la web.

??Quién me ataca!?

RunForestRun’, ‘gootkit’ y nombres de dominio generados al azar

Uso de spyware diseñado para robar información FTP

En la mayoría de las infecciones más extendidas en la web, como Gumblar y Pegel, se usa con mucho éxito un método diferente. En la primera etapa, los ciberdelincuentes propagan programas maliciosos especialmente diseñados para buscar y robar nombres de usuario y contraseñas de cuentas FTP, ya sea accediendo a los parámetros de cliente de FTP o espiando el tráfico de red. Una vez que los detecta, se conecta con el servidor FTP y carga sus scripts maliciosos, o rescribe los archivos originales con versiones infectadas. Huelga decir que hasta que no se desinfecte el ordenador del dueño de la cuenta, los archivos en el servidor se volverán a infectar una y otra vez, incluso si se modifican los datos de ingreso a la cuenta y se restauran todos los contenidos desde una copia de resguardo limpia.

Las metas de los ciberdelincuentes

?Cuál es el propósito de propagar programas maliciosos?

•  desviar a los usuarios hacia exploits para instalar en secreto programas maliciosos en sus ordenadores;
•  desviar a los usuarios hacia contenidos indeseables, ilegales, maliciosos o spam;
•  secuestrar el tráfico del sitio o de búsqueda;
•  promocionar sitios web maliciosos/ilegales/spam (BlackHat SEO);
•  usar recursos del servidor en actividades ilícitas.

En general, esto no es ninguna novedad: es el afán de lucro que motiva a los ciberdelincuentes a infectar sitios web.

Métodos de desinfección

?Qué puedes hacer si han hackeado tu sitio?

En primer lugar, si notas cualquier síntoma de una posible infección, debes desactivar enseguida tu sitio web hasta que el problema se haya resuelto. Esto es muy importante, ya que cada segundo que pasa favorece a los ciberdelincuentes, más víctimas potenciales quedan expuestas al problema y la infección se propaga en Internet. También debes revisar los registros del servidor en busca de cualquier indicio sospechoso, como peticiones extrañas desde direcciones IP localizadas en países inusuales, etc. Esto podría ser muy útil para detectar los archivos infectados y para determinar cómo penetraron los ciberdelincuentes en el servidor.

Entonces, ?cómo se combaten los códigos maliciosos?

Copias de resguardo

La solución más rápida y confiable es restaurar todo el contenido del servidor desde una copia de resguardo limpia. Para que esto funcione, también será necesaria la reinstalación completa del software que se ejecuta en el servidor, como CMS, CMF, e-commerce, etc., y por supuesto, utilizar sus versiones más recientes y actualizadas. Después, ya no quedará ningún archivo infectado en el servidor si has borrado todo el contenido antes de la restauración y si tu copia de resguardo se creó antes de la infección.

Escaneado automático

Si no cuentas con una copia de resguardo limpia, no te queda más remedio que enfrentarte a los programas maliciosos tú solo. Por suerte, existen varias soluciones automáticas, como soluciones antivirus y escaneados online de sitios web, como http://sucuri.net/, que te ayudarán a detectar los códigos maliciosos. Ninguno es perfecto, pero en el caso de programas maliciosos conocidos o comunes, pueden ser de mucha ayuda. Para comenzar, puedes revisar tu sitio web recurriendo a los servicios de escaneado online. Algunos de estos no sólo confirmarán si tu sitio está infectado, sino que te señalarán el código malicioso en tus archivos. A continuación puedes realizar un escaneado antivirus completo de los archivos del servidor. Si el servidor es tuyo, o si el servidor tiene instalada una solución de seguridad que puedes usar, debes escanear el servidor. Asegúrate de hacer una copia de resguardo de tus archivos, ya que algunos escaneados antivirus eliminan los archivos infectados en vez de desinfectarlos. También puedes descargar los contenidos de tu servidor en tu ordenador local, y escanearlos con tu solución desktop de seguridad en Internet. La segunda opción es mejor, ya que la mayoría de los antivirus desktop poseen un módulo heurístico bien desarrollado. Los programas maliciosos para sitios web son altamente polimórficos;  como el método de signaturas estáticas no sirve en este caso, es necesario recurrir al método heurístico.

Eliminación manual

Si el escaneado automático no da resultado y tu sitio sigue infectado, la única forma de desinfectarlo será mediante una búsqueda y eliminación manual de los códigos maliciosos. No es una tarea fácil y puede requerir mucho tiempo, ya que hay que analizar cada uno de los archivos HTML, JS, PHP o de configuración. Los ejemplos anteriores son sólo algunas de todas las posibles formas de penetración de los programas maliciosos, por lo que hay muchas probabilidades de que el código en tu sitio sea un poco o completamente diferente. Sin embargo, la mayoría de las modernas infecciones de sitios web tienen elementos en común que pueden ayudar a diagnosticar el problema.

En todo caso, debes prestar atención a cada código oscuro e ilegible. El enmarañamiento del código es una técnica muy común entre los autores de programas maliciosos y es poco común en otros programas para sitios web. Si no has logrado encontrar el código ofuscado, entonces tienes mayores razones para sospechar. Pero tienes que ser cuidadoso, pues no todos los códigos ofuscados son maliciosos.

De igual manera, no todos los scripts maliciosos están ofuscados, de modo que necesitas buscar en todos los archivos IFRAMES con texto llano, además de otros enlaces a recursos externos.  Algunos pueden estar relacionados con avisos y estadísticas, pero no te dejes engañar por las URLs, ya que pueden parecerse a las direcciones de portales conocidos y seguros. No olvides buscar mensajes de error de código en las plantillas y en todos los archivos .htaccess.

 Unas herramientas muy útiles para detectar códigos maliciosos en el servidor son las utilidades de la línea de comandos grep y find, que están incluidas por defecto en casi todos los sistemas Unix. A continuación ofrecemos algunos ejemplos de cómo usarlas para diagnosticar las infecciones más comunes:

grep -iRs ‘iframe’ *
grep -iRs ‘eval’ *
grep -iRs ‘unescape’ *
grep -iRs ‘base64_decode’ *
grep -iRs ‘var div_colors’ *
grep -iRs ‘var _0x’ *
grep -iRs ‘CoreLibrariesHandler’ *
grep -iRs ‘pingnow’ *
grep -iRs ‘serchbot’ *
grep -iRs ‘km0ae9gr6m’ *
grep -iRs ‘c3284d’ *
find . -iname ‘upd.php’
find . -iname ‘*timthumb*’

 Esta es la descripción de grep según el manual de Linux: líneas de impresión que coinciden con un patrón; la opción -i significa ignorar minúscula/mayúscula; -R significa recursivo y -s evitará que se escriban mensajes de error en la salida. El primero de los comandos en la lista buscará etiquetas IFRAME en los archivos; el siguiente buscará los indicios más obvios de enmarañamiento; los últimos buscarán cadenas específicas que están relacionadas con las principales infecciones conocidas de sitios web.

Esta es la descripción de find, según el manual de Linux: búsqueda de archivos en una jerarquía de directorios; el punto indica el directorio actual (de manera que deberías ejecutar estos comandos desde el interior del directorio raíz o tu directorio de inicio en el servidor) y el parámetro -iname especifica el nombre de archivo que se busca. Puedes usar expresiones corrientes para encontrar los archivos que satisfagan los criterios dados.

Por supuesto, siempre debes saber qué buscar pues no todos los resultados indican una infección. Quizás quieras escanear códigos sospechosos con un escáner antivirus o buscarlo con Google; es muy probable que encuentres algunas respuestas tanto en el caso de un código malicioso y de uno limpio. Si aún no estás seguro si el archivo está infectado o no, es mejor que desactives tu sitio web (sólo por si acaso) y que recurras a un especialista antes de tomar otras medidas.

?Nota importantísima!

Además de limpiar los archivos en el servidor, no olvides realizar un escaneado antivirus completo de todos los ordenadores que se usan para cargar y manejar el contenido en el servidor y cambiar la información de acceso a todas las cuentas del servidor que mantienes (FTP, SSH, paneles de administración, etc.).

Fundamentos de seguridad de sitios web

Por desgracia, en la mayoría de los casos, la limpieza del código malicioso no es suficiente para terminar con la infección de una vez por todas. Una vez que tu sitio web ha quedado comprometido, quizás significa que contiene algunas vulnerabilidades que han permitido que los ciberdelincuentes descarguen o inyecten scripts maliciosos en el servidor, y si no les prestas atención, es posible que en el futuro vuelva a infectarse. Para evitar que esto suceda, tienes que tomar las medidas apropiadas para proteger tu servidor y el ordenador (u ordenadores) que se usa para conectarse con la cuenta del servidor.

• Usar contraseñas sólidas – por muy trivial que esto pueda parecer, es en realidad el fundamento de la seguridad del servidor. Las contraseñas no sólo deben cambiarse tras cualquier incidente con programas maliciosos y/o ataques contra el servidor; hay que cambiarlas de forma regular, como una vez al mes. Una buena contraseña debe satisfacer determinados criterios. Puedes leer al respecto en nuestro sitio web: contraseñas.
• Estar actualizado. Es vital realizar actualizaciones de forma regular. Los ciberdelincuentes tienden a explotar vulnerabilidades en el software, tanto contra usuarios de PCs, o contra sitios y servidores web. Todo el software que manejas desde tu cuenta del servidor debe ser la última versión y aplicar todos los parches de seguridad tan pronto como se publican. Si mantienes todo tu software debidamente parchado y actualizado, disminuirá el riesgo de un ataque de explotación de vulnerabilidades. En este sitio web puedes encontrar una lista actualizada de las vulnerabilidades conocidas.
• Crear frecuentes copias de resguardo. Tener una copia limpia del contenido del servidor puede ahorrarte mucho tiempo y esfuerzos, no solo en el caso de una infección.
• Escaneados regulares de los archivos. Incluso si no hay síntomas visibles de infecciones, es una buena práctica escanear todos los archivos del servidor de forma regular.
• Cuidar la seguridad del PC.  Dada la proliferación de programas maliciosos para sitios web a través de PCs infectados, la seguridad del ordenador desktop que usas para manejar tu sitio web es uno de los aspectos más importantes de la seguridad de un sitio web. Mantener tu ordenador limpio y seguro en todo momento aumentará considerablemente las probabilidades de que tu sitio web también se mantenga seguro y limpio.
• Protección del servidor.  Si el servidor es tuyo, debes velar porque su configuración sea la más segura posible. Esto implica, pero no se limita a:

• eliminar todo el software que no se usa;
• desactivar todos los servicios y módulos innecesarios;
• fijar políticas apropiadas para usuarios y grupos;
• fijar permisos seguros / restringir el acceso a ciertos archivos y directorios;
• desactivar la navegación en el directorio;
• recopilar archivos de registros que se analizarán regularmente en busca de actividades sospechosas;
• usar protocolos de codificación y seguridad.

Los programas maliciosos para sitios web son una verdadera pesadilla para los administradores de la web y para los usuarios de Internet. Los ciberdelincuentes mejoran constantemente sus técnicas y descubren nuevos exploits. Las infecciones se propagan con suma rapidez a través de Internet, afectando a servidores y estaciones de trabajo. Es cierto que no hay una forma confiable de eliminar esta amenaza por completo. Sin embargo, cada uno de los dueños de sitios web y cada uno de los usuarios de Internet pueden hacer de la Red un lugar más seguro siguiendo normas básicas de seguridad y manteniendo sus sitios web y sus ordenadores seguros y limpios en todo momento.