Tu sitio web ha sido comprometido y sospecha que los atacantes han inyectado malware en tu código. ¿Qué puedes hacer al respecto? Hay muchas formas de abordar una infección de malware, y veremos algunas en un momento, pero tu último recurso puede ser arremangarse, buscar en los archivos del sitio y eliminar el malware manualmente.
Este artículo te mostrará cómo encontrar código de malware en los archivos de tu sitio y eliminarlo, usando un sitio de WordPress como ejemplo. No es necesario que sea un desarrollador para seguirlo, pero podrás identificar mejor el malware si está familiarizado con la codificación y el idioma en el que está escrito el sitio; PHP en el caso de WordPress.
Cómo evitar la eliminación manual de malware de sitios web
En un mundo ideal, no tendrías que eliminar el malware manualmente. Puede ser un proceso tedioso, especialmente si no se puede distinguir entre malware y código inocente en el que se basa su sitio. También es fácil pasar por alto el código malware: los delincuentes en línea son astutos y hacen todo lo posible para ocultarlo. Desafortunadamente, puedes pasar horas buscando y eliminando rastros de malware, solo para que una puerta trasera oculta reinfecte el sitio de inmediato.
La mejor opción es evitar la infección de malware en primer lugar. Asegúrate de que tu sitio esté actualizado y activa las actualizaciones automáticas si es posible. Ten cuidado al instalar complementos y temas, y evite el software pirateado o anulado a toda costa; invariablemente se carga con código malicioso.
La detección y eliminación automática de malware también es menos exigente que la eliminación manual de malware. cPanel & WHM admite el excelente escáner ImmunifyAV gratuito, que puede instalar a través del Centro de seguridad de WHM. Le avisa cuando encuentra una sospecha de infección de malware y le indica dónde está. Si actualiza a ImunifyAV +, también podrá eliminar el malware con solo hacer clic en un botón.
Por último, si sospecha de una infección, debe intentar restaurar una copia de seguridad limpia reciente. La restauración de una copia de seguridad no infectada sobrescribe los archivos maliciosos con originales limpios. El kit de herramientas de WordPress de cPanel facilita la copia de seguridad de los sitios de WordPress en segundos, o puede usar uno de los muchos complementos de WordPress que ofrecen la funcionalidad de copia de seguridad.
Si no tienes una copia de seguridad reciente, tendrás que buscar y reemplazar los archivos infectados manualmente.
Eliminación manual de malware de un sitio de WordPress
Usamos WordPress en nuestro tutorial porque es el CMS más popular, pero un proceso similar funciona igual de bien en otros sistemas de administración de contenido y tiendas de comercio electrónico.
Cabe mencionar que estamos haciendo una gran suposición en este artículo. Esperamos que el código malicioso se limite a tu sitio web y que el atacante no haya obtenido acceso a tu servidor de alojamiento web. Sin embargo, si el servidor está comprometido, el atacante puede haber reemplazado los archivos binarios del sistema con rootkits y otro malware. Si eso sucedió, no puedes confiar en ningún software en el servidor, incluido el software que estamos a punto de usar para limpiar el código malicioso del sitio.
Antes de abordar la eliminación de malware en WordPress, debe:
- Desconectar el sitio. Si es posible, utilice el modo de mantenimiento de WordPress Toolkit para evitar exponer a los usuarios a mayores riesgos.
- Hacer una copia de seguridad. Haz una copia de seguridad de su sitio cada vez que realice cambios en su código o base de datos.
- Activa la configuración de depuración. La configuración de depuración permite que WordPress imprima mensajes de error en la pantalla. Lo ayudarán a descubrir qué salió mal si realiza cambios que rompan el sitio. Puede leer más sobre la configuración de depuración y el modo de mantenimiento en WordPress® Debugging with cPanel and WordPress Toolkit.
Primero, verificaremos si se ha modificado algún archivo en los últimos días. La mayoría de los archivos de WordPress no se modifican con frecuencia, excepto los activos estáticos como las imágenes, por lo que los cambios recientes son una pista útil.
Inicie sesión en su servidor a través de SSH o abra la Terminal cPanel y navegue hasta el directorio del sitio infectado. Encontrará la Terminal en Avanzado en el menú de la página principal de cPanel. Es muy probable que su sitio de WordPress esté en public_html o en un directorio dentro de public_html.
Ejecute el siguiente comando:
encontrar . -nombre ‘* .ph *’ -mtime -7
Esto muestra una lista de todos los archivos PHP modificados en los últimos siete días. WordPress tiene cientos de archivos que pueden ocultar malware, pero supongamos que wp-config.php está en la parte superior de su lista. A continuación, debemos mirar adentro para ver si hay algún signo de código malicioso.
Abre el archivo en tu editor de texto. Si prefiere no trabajar con editores de texto de línea de comandos, busque el archivo en el Administrador de archivos de cPanel y haga clic en Editar en la barra de menú. Estás buscando cualquier cosa que parezca fuera de lugar.
Esté atento a estas banderas rojas:
- Estilos de codificación no coincidentes: las líneas de código pueden ser más largas, tener una sangría incorrecta o ser excesivamente complejas.
- Código ofuscado: código que se ha disfrazado deliberadamente. Parecen cadenas largas de letras y números sin sentido. No todo el código que tiene este aspecto es malicioso; puede encontrar hash legítimos que coincidan con esta descripción, especialmente en archivos de configuración.
- URL extrañas: la mayoría de las URL de los archivos de su sitio están relacionadas con el sitio en sí. Si ve una dirección web con un formato inusual o excesivamente larga, es posible que se vincule a un servidor bajo el control del atacante.
Por ejemplo, si ve algo como esto mezclado con el código PHP familiar, es casi seguro que sea malware.
La mayoría de los códigos maliciosos no son tan obvios. Sin embargo, puede comparar archivos con el original para ver si algo parece fuera de lugar. Descargue una copia nueva de la misma versión de WordPress desde WordPress.org. Si sospecha de un plugin o archivo de tema, descargue una nueva versión del sitio del desarrollador o del repositorio de WordPress.
Abre la versión que acabas de descargar y compárela con el archivo de tu sitio. Puede que no sean idénticos, pero debería ver cualquier diferencia significativa con sospecha.
En muchos casos, simplemente puede reemplazar un archivo infectado. La eliminación manual de malware es un proceso cuidadoso de intercambio de archivos infectados por originales no infectados. Sin embargo, debe tener cuidado de no reemplazar simplemente archivos que contienen datos de configuración esenciales. Por ejemplo, si cambia wp-config.php por un archivo recién descargado, su sitio dejará de funcionar porque ese archivo contiene configuraciones de sitios y bases de datos.
Si no estás seguro de lo que hace un archivo, consulta la documentación de WordPress para asegurarse de que sea seguro intercambiarlo. Es posible que debas copiar la información del archivo infectado en su reemplazo, asegurándose de que no se abra ningún código malicioso.
Para reemplazar archivos, usa el Administrador de archivos de cPanel para eliminar el original infectado y cargar el reemplazo. Luego, verifica que el sitio siga funcionando cada vez que realice un cambio. Si no revisa con regularidad y sólo nota el problema más tarde, es posible que no tenga idea de qué edición causó el daño.
Como mencionamos al principio de este artículo, la eliminación manual de malware es un proceso largo y tedioso. Y no hay garantía de que encuentre todo el código malicioso. Sin embargo, es una técnica valiosa para tener en su haber cuando la eliminación automática de malware y las copias de seguridad lo decepcionan.
Neothek ofrece servicios de web hosting, registro de dominios, correo electrónico, certificados SSL, diseño de páginas web y diseño gráfico.
