Virus infecta que paginas Web

En días pasados si lo notaron esta página estuvo infectada por un virus, el mismo se propaga mediante Internet.

Modo de propagación

1.- Visitas una pagina infectada.
a) Tu antivirus esta actualizado, funciona correctamente y es capaz de detectar y bloquear el virus… no paso nada. Pero no podrás ver la página o la veras deforme, el antivirus te estará arrojando advertencias de riesgo.
b) Tu antivirus es pirata, esta crakeado, es chafa, viejo, o algún otro motivo hace que no trabaje correctamente o no detecte el virus…. el virus infecta tu PC.

2.- Toma las claves ftp de tus sitios, los infecta, así mismo envía tus claves a otros equipos infectados, el asunto es que si no cambias las claves y tan quitado de la pena limpias tu pagina, terminara infectándose nuevamente.

* En WordPress infecta principalmente los index.php de las carpetas wp-content, plugins y themes, además de los archivos .js de los themes y plugins, aunque la infección no se limita a estos archivos.

* La infección no se limita a paginas con wordpress o PHP, también infecta a paginas HTNL, ignoro de que otros alcances tenga.

3.- Una vez infectada tu pagina se convierte en semilleros propagadores del virus que infectara otras Pcs y así mismo otras paginas.

* El virus no deja una copia de si mismo o cuando menos no siempre en los sitios infectados, sino un iframe o un onload de modo que aunque tu sitio no este propiamente infectado si tendrá alguna parte del código que intente llamar al virus.

* La pagina infectada estará haciendo peticiones a varias paginas, lo que note es que tenían la terminación web.ru, como free-fr.rapidshare.com.hotlinkimage-com.thechocolateweb.ru, como veras tiene una dirección larga que simula llamar a paginas relativamente comunes como rapishare en este caso aunque también simula hacer peticiones a google.

El virus en cuestion es reciente, para mas info aca..

Método de desinfección

Si tienes wordpress este es el procedimiento para limpiar tu pagina.

1.- Limpia tu Pc (ordenador), augúrate de que este limpio y libre de virus.

2.- Consigue un antivirus legal y actualizado, no te fíes de los cracks ni de antivirus antiguos que siguen funcionando.

3.- Instala un firewall, el de Windows no me da confianza, recomiendo usar otro que te permita un mayor control de las conexiones entrantes y salientes.

Nota: Es buen momento de abandonar las ventanas y usar Linux.

4.- Ya que estés seguro de que tu Pc esta limpia y libre de virus, troyanos, malware, spyware y demás wares entra al panel de control de tu hosting, cambia el pasword general, así mismo cambia la clave de tu usuario FTP, si tu hosting te lo permite cambia tus cuentas FTP por SFTP, ya que el FTP envía las claves en texto plano.

5.- Ahora si con claves nuevas procedes a borrar de tu instalación de WordPress.

* Las carpetas wp-admin y wp-includes
* Todos los archivos del directorio raíz, exceptuando wp-config.php, robots.txt y .htaccess, te recomiendo que los descargues y revises que estén limpios de llamadas a la pagina infecciosa.
* De la carpeta wp-content borras las carpetas cache, lenguaje y upgrade.
* Te deben de quedar plugins, themes y uploads, las primeras dos las renombras, vas a desechar lo que hay dentro de ellas, pero tomaras de referencia estas para saber que plugins y themes buscar para dejar tu wordpress como antes de la infección.

6.- Bajar la versión de wordpress que estas usando, la descomprimes y la subes, asegurare de que cuando pregunte si rescribe algún archivo la respuesta sea un si.

7.- Bajas el theme que estas usando y lo subes nuevamente.

8.- Subes los plugins que estas usando y revisas que todo este correcto.

9.- No estaría de mas cambiar las claves de la base de datos, así como las de los usuarios aprovechando la vuelta.

Cualquier duda aquí mismo.