Menú
Está libre
registrarse
el principal  /  Educación / ¿Qué es el código malicioso? ¿Qué es el ejemplo malicioso del ejemplo del script de ejemplo?

¿Qué es el código malicioso? ¿Qué es el ejemplo malicioso del ejemplo del script de ejemplo?

El sitio comenzó un virus, y, como cualquier objeto infectado, su recurso web se convirtió en una gran fuente de problemas: ahora no solo hace ganancias, sino que también sale de su reputación en Internet, compradores, motores de búsqueda e incluso un Los toster se apartan de ti.

Te quedas uno a uno con tu problema e intenta resolverlo. fuerzas propiasSin contactar a los profesionales, sino seguir el consejo de "especialistas" de los foros. O ordenar el tratamiento del sitio donde "más barato". Qué hacer, porque siempre quiere resolver el problema lo más rápido posible y con los costos más pequeños. ¿Pero es un enfoque que siempre está justificado?

Presentamos su atención los 7 errores principales del año pasado que han cometido un maestro web, tratando de restaurar el rendimiento del sitio después de la piratería y la infección.

Error número 1. Restauración del sitio desde la copia de seguridad como una forma de deshacerse del código malicioso

Muy a menudo, el problema de la infección con un código malicioso de un maestro web está tratando de resolver el retroceso del sitio a la última versión limpia. Y continúe restaurando el proyecto web cada vez que el virus en el sitio nuevamente lo hace sentir. Ay, es una opción incómoda y muy arriesgada.

Solución correcta: El sitio debe ser tratado y coloque la protección contra la piratería para evitar la reinfección. Primero, el contenido del sitio se puede actualizar, se pueden instalar nuevos complementos en el sitio, se pueden realizar cambios a los scripts del sitio. Cada retroceso hacia atrás significa que pierde los resultados de las obras de todos los días recientes. Pero hay una razón más importante para la lucha cardinal con el pirateo: ¿Qué pasa si un hacker algún día decide destruir completamente su sitio, ya que tiene acceso a su recurso web?

Número de error 2. Engañando el engaño para concluir el sitio de las sanciones

El sitio entra en la lista de "Seguridad informática amenazadora o dispositivo móvil... "Debido al virus en el sitio o redirigir a los visitantes al recurso infectado. En el panel Wizard WEB, se muestran ejemplos de páginas infectadas, pero un webmaster más difícil o ignorante en lugar de resolver un problema (buscar y eliminar una fuente maliciosa) elimina algunas páginas que muestran motores de búsqueda en ejemplos de infección. O, como opción, el acceso enteramente bloquee al sitio utilizando las reglas en Robots.txt, creyendo ingenuamente que bloquea y accede al BOT antivirus al sitio.

Solución correcta: Debe encontrar un código viral en el sitio y retírelo. Prohibir la indeseación no solo es inútil, sino también peligrosa. Primero, las páginas del sitio pueden caerse del índice de búsqueda. Bueno, y en segundo lugar, el robot del servicio antivirus funciona de acuerdo con las reglas distintas de las reglas del motor de búsqueda, y la prohibición de indexación no lo afecta.

Error número 3. Usando un escáner de código malicioso con expertos incompetentes

Para ahorrar o por otras razones, el tratamiento del sitio comienza a participar en un especialista suficientemente preparado que no puede determinar el 100% si el fragmento asignado al escáner de código malicioso es realmente peligroso. Como resultado, se pueden observar dos extremos: Absolutamente todas las sospechas del virus se eliminan, lo que conduce al desglose del sitio, o el código malicioso se elimina no completamente, lo que provoca la recurrencia.

Solución correcta: Obviamente, los profesionales deben participar en el tratamiento de un recurso web. El informe de los escáneres de malware son respuestas falsas, ya que el mismo fragmento se puede usar tanto en código legítimo como en hacker. Debe analizar cada archivo, de lo contrario, puede eliminar los elementos críticos, lo que puede provocar fallas en el sitio o en su descomposición completa. O, por el contrario, existe el riesgo de no reconocer la cáscara de hackers, lo que conducirá a una reinfección del recurso web.

Número de error 4. Ignorando los mensajes (en el panel del webmaster) en presencia de código malicioso en el sitio

La notificación de la presencia de un código malicioso en el sitio en el panel del asistente web puede ser no permanente. Hoy el sistema escribe que el virus en su sitio, y mañana está en silencio. El propietario del sitio es más agradable de pensar que ha habido algún tipo de falla en el sistema, y \u200b\u200bsu sitio web está de baja sospecha. Sin embargo, en la práctica todo está mal. Hay diferentes tipos de infecciones. El código malicioso puede aparecer en el sitio solo durante algún tiempo, y luego desaparecer. Esto significa que al verificar el sitio, la botella de antivirus del motor de búsqueda, se puede detectar malware y, en el otro, no. Como resultado, el webmaster está "relajante" y comienza a ignorar el mensaje peligroso: "Por qué perder el tiempo para el tratamiento, porque el sitio no se bloqueó".

Solución correcta: Si el sitio no tiene actividad maliciosa, lo más probable es que sea el suyo, el recurso web se piratea e infectado. Los virus en el sitio no aparecen por sí mismos. El hecho de que el motor de búsqueda haya descubierto un código sospechoso en el sitio, y luego "silencioso", no solo no debe ser ignorado por un webmaster, sino que, por el contrario, debe servir como señal de alarma. ¿Quién sabe cómo se operará su recurso mañana? - Spam, phishing o redirecciones. Debe realizar inmediatamente un escaneo de un sitio para los portadores de hackers, conchas, para tratar y proteger contra la piratería.

Error número 5. Tratamiento de los sitios de Freelancerames-no-profesional.

En principio, trabajar con freelancers en este número no es diferente de otras esferas. Barato, no siempre cualitativamente, pero casi siempre sin garantías y relaciones contractuales. La mayoría de los freelancers que no se especializan en problemas de seguridad del sitio trabajan con las consecuencias de un ataque de piratas informáticos, pero no con la causa: las vulnerabilidades del sitio web. Esto significa que el sitio puede hackear reutilización. Peor aún, también hay intérpretes sin escrúpulos que pueden chupar otro código malicioso en el sitio, robar la base de datos, etc.

Solución correcta: Póngase en contacto con una empresa especializada que se ocupe del tratamiento y protección de los sitios de piratería. Los empleados de tales empresas todos los días eliminan el código malicioso, consulte la mutación de virus y sigue la evolución de los ataques de hackers. El mercado de robo oscuro no está en un solo lugar, se desarrolla y requiere un monitoreo constante y una respuesta relevante al tratamiento y la protección del sitio de las intrusiones no autorizadas.

Error número 6. Extracción diaria / semanal del mismo virus del sitio.

Este problema se refiere a "entusiastas" especiales, que están listos para eliminar los efectos de la piratería de forma regular. Dichos webmasters ya saben cuáles específicamente se colocarán el código en el sitio, específicamente dónde y cuando suceda. Para que pueda luchar infinitamente luchando con una redirección móvil, que se introduce diariamente a las 09-30 por un atacante a File.htAccess y redirige su tráfico móvil al sitio para la venta de Viagra o porno. Solo aquí no es suficiente: el Bot Hacker lo hace en modo automaticoY usted tiene que realizar una operación de eliminación manual. No honesto después de todo, ¿verdad?

Solución correcta: Puede eliminar infinitamente las consecuencias (virus, redirecciones, etc.), pero verifique más eficientemente el sitio para los scripts maliciosos y de hacker, elimínelos e instale protección contra la piratería para que no aparezca más código de virus. Y el tiempo liberado para gastar más efectivamente. Lo principal, recuerde que el hacker ya tiene acceso a su sitio, lo que significa que la próxima vez puede limitarle el código perjudicial, pero use su sitio por crímenes cibernéticos más graves.

Número de error 7. Tratamiento de un sitio involucrado por antivirus para una computadora

El concepto de "antivirus" para algunos webmasters es universalmente, y están tratando de curar un sitio hackeado e infectado utilizando un antivirus destinado a una computadora. La copia de seguridad del sitio está hecha y verificada por una versión de escritorio del software antivirus. Ay, este tratamiento no puede dar los resultados deseados.

Solución correcta: Virus en el sitio y en la computadora, no es lo mismo. Para verificar el sitio, debe usar software especializado o especialistas en acceso. Antivirus de escritorio, sin importar lo bueno que sean, no pretenden tratar los sitios web de virus, ya que su base de datos se centra en virus y troyanos en la computadora.

Eso es todo. ¡No pises el mismo rastrillo!

Distribución de software malicioso a través de sitios web.

Kostin Paradise, Kaspersky Lab

Introducción. Ciberdelema: tendencias y desarrollo.

En los últimos años, Internet se ha convertido en un lugar peligroso. Inicialmente creado para un número relativamente pequeño de usuarios, superó significativamente las expectativas de sus creadores. Hoy en día, hay más de 1.500 millones de usuarios de Internet en el mundo y su número está creciendo constantemente a medida que la tecnología se está volviendo cada vez más asequible.

Los delincuentes también notaron esta tendencia y entendieron muy rápidamente que cometen delitos utilizando Internet (ahora se llamó Cybercrime) tiene una serie de ventajas significativas.

Primero, el ciberdelincuencia no está relacionado con el mayor riesgo: ya que no tiene barreras geopolíticas, las agencias policiales son difíciles de atrapar a los delincuentes. Además, realizando investigaciones internacionales y negocios judiciales. mayor dineroPor lo tanto, tales acciones generalmente se realizan solo en casos especiales. En segundo lugar, el ciberdelincuencia es simple: en Internet se ofrece. gran cantidad "Instrucciones" sobre las computadoras de piratería y en los virus de la escritura, aunque no se requiere ningún conocimiento y experiencia especial. Aquí hay dos factores principales que han convertido el ciberdelincuencia en la industria cuyas revisiones se calculan por muchos miles de millones de dólares y que es un ecosistema verdaderamente cerrado.

Y las empresas dedicadas a la protección de la información y los fabricantes de software lideran una lucha permanente contra el ciberdel. Su objetivo es proporcionar a los usuarios en línea con protección confiable y crear software seguro. Los atacantes a su vez cambian constantemente las tácticas para contrarrestar las contramedidas adoptadas, lo que, como resultado, llevó a la aparición de dos tendencias pronunciadas.

Primero, la colocación de programas maliciosos ocurre utilizando vulnerabilidades de día cero, es decir. Vulnerabilidades para qué parches aún no se han creado. Con tales vulnerabilidades, incluso tales vulnerabilidades pueden ser infectadas sistemas informáticosque están instalados todos Últimas actualizacionesPero no hay soluciones protectoras especiales. La vulnerabilidad de los días cero es un producto valioso (su uso puede conducir a consecuencias graves), se vende en el mercado negro para decenas de miles de dólares.

En segundo lugar, vemos un fuerte aumento en la cantidad de malware creado específicamente para el robo de información confidencial para venderlo adicionalmente en el mercado negro: números de tarjetas de crédito, detalles bancarios, contraseñas para acceder a sitios como eBay o PayPal, e incluso Contraseñas a online -igra, por ejemplo, a World of Warcraft.

Una de las causas obvias de tal alcance del ciberdelincuencia es su rentabilidad, que siempre será un motor en la creación de nuevas tecnologías de cibercripe.

Además de los desarrollos, que se sostienen para las necesidades de los ciberdelincuentes, notamos otra tendencia, la propagación de programas maliciosos a través de la World Wide Web. Después de las epidemias del comienzo de la década actual causada por los gusanos postales como Melissa, muchas compañías: los fabricantes de sistemas de protección de la información centraron sus esfuerzos en el desarrollo de soluciones que podrían neutralizar las inversiones maliciosas. A veces, llevó al hecho de que todos los accesorios ejecutables se eliminaron en los mensajes.

Sin embargo, la principal fuente de difusión de malware se ha convertido en la principal fuente de malware. Los programas maliciosos se colocan en sitios web, y luego, ya sea que los usuarios lo hacen de manera fraudulenta, ejecútelos manualmente, o estos programas que utilizan explotaciones se ejecutan automáticamente en computadoras infectadas.

Estamos en el "Laboratorio de Kaspersky" con una alarma en crecimiento está observando lo que está sucediendo.

Estadísticas

Durante los últimos tres años, observamos los llamados sitios web limpios (de 100,000 a 300,000) para determinar en qué punto se convirtieron en los puntos de difusión de los programas maliciosos. El número de sitios rastreados ha aumentado constantemente a medida que se registran nuevos dominios.

La tabla muestra la tasa de infección máxima registrada de las páginas web rastreadas durante el año. Obviamente, un fuerte aumento en la proporción de sitios infectados: si en 2006 se infectó con aproximadamente todos los sitios de veinte mil, en 2009 resultó infectarse con cada sitio de ciento cincuenta. El porcentaje de sitios infectados varía en el área de este último dígito, que puede significar el logro del punto de saturación: todos los sitios web que podrían ser infectados se infectaron. Sin embargo, su número aumenta o disminuye a medida que las nuevas vulnerabilidades o la aparición de nuevas herramientas que permiten a los atacantes infectar nuevos sitios web.

Las siguientes dos tablas contienen datos sobre programas maliciosos que más a menudo se reunieron en sitios en 2008 y 2009.

10 malware líder - 2008

10 programas maliciosos líderes - 2009

En 2008, el programa Trojan Trojan-Clicker.js.agent.h fue encontrado en una gran cantidad de casos. Detrás de él con un margen de menos del 1% sigue a Trojan-Downloader.js.IFrame.ej.

Página, Trojan-clicker.js.agent.h

Fodded troyan-clicker.js.agent.h

Trojan-Clicker.js.agent.h es un ejemplo típico de un mecanismo que se utilizó en 2008 y aún se utiliza (en 2009) para introducir un código malicioso. Se agrega un pequeño fragmento de JavaScript a la página, que generalmente se somete a las ofuscaciones para dificultar. En el código que se muestra en la figura anterior, la ofuscación simplemente consiste en la sustitución de caracteres ASCII que conforman el código malicioso, sus códigos hexagonales. Después de descifrar el código, como regla general, es un marco flotante (iframe) que conduce al sitio en el que se encuentran las hazañas. La dirección IP en la que se realiza el enlace puede variar, ya que las hazañas se colocan en una variedad de diversos sitios. Sobre el pagina principal El sitio web malicioso suele ser explotados para IE, Firefox y Opera. Trojan-Downloader.js.IFRame.ej es similar a la segunda frecuencia de uso de un programa malicioso.

En 2009, hubo dos casos interesantes cuando se distribuyeron programas maliciosos a través de páginas web. En el primer caso, estamos hablando de net-worm.js.aspxor.a, se descubrió por primera vez en julio de 2008 y ampliamente difundido en 2009. Este malware con la ayuda de una utilidad especial encuentra vulnerabilidad SQL en los sitios web a través de los cuales se introduce los marcos flotantes maliciosos.

Otro caso interesante es un programa de GumBlar malicioso. Ella fue nombrada llamada del dominio chino que solía difundir explotaciones. La cadena "GumBlar" en la ofuscación del código JavaScript, "desnudado" al sitio web, es una señal fiel de que el sitio está infectado.

Un ejemplo de la introducción del código GUBLAR a la página del sitio web.

Después de Devalling, el código malicioso GumBlar se ve así:

Código Decodificado GumBlar

El dominio "GumBlar.cn" se cerró, lo que, sin embargo, no impidió que los ciberdelincuentes continúen los ataques maliciosos de los nuevos dominios.

Métodos de infección y métodos de distribución.

Actualmente, hay tres formas principales de infectar sitios de malware.

El primer método popular es utilizar las vulnerabilidades del propio sitio web. Por ejemplo, la implementación del código SQL, que le permite agregar un código malicioso en la página del sitio. Las herramientas de ataque, como Trojan Aspxor, demuestran claramente el mecanismo de funcionamiento de este método: se pueden usar para el escaneo masivo e implementar un código malicioso para miles de direcciones IP simultáneamente. Las huellas de tales ataques a menudo se pueden ver en los registros de acceso al servidor web.

El segundo método implica la infección de la computadora del desarrollador del sitio web, que monitorea la creación y la carga de los archivos HTML, y luego implementa el código malicioso de estos archivos.

Finalmente, otro método es una infección del troyano, contraseñas de dirección (como ransom.win32.agent.ey) de una computadora de desarrollador de sitios web u otra persona con acceso a la cuenta de alojamiento. Dicho troyano generalmente se dirige al servidor HTTP para transferir contraseñas a las cuentas FTP, que recopila a partir de clientes FTP populares, como FileZilla y Linchp. Un componente de un programa malicioso ubicado en el servidor registra la información recibida a la base de datos SQL. Luego programa especialTambién se encuentra en el servidor, ejecuta el procedimiento de inicio de sesión a todas las cuentas FTP, extrae la página de índice, agrega un código infectado con el troyano y carga la página de vuelta.

Dado que en este último caso, los datos de la cuenta del proveedor de alojamiento se conocen a los atacantes, luego se repite la infección de sitios a menudo: los desarrolladores de la página web notan la infección por sí mismos o lo entienden desde los visitantes del sitio, limpie la página del código malicioso, Y al día siguiente, la página se vuelve infectada.

Un ejemplo de una infección por página web (*. *. 148.240)

Otra situación común es cuando la información sobre la misma vulnerabilidad o datos de la cuenta en el alojamiento cae simultáneamente en manos de diferentes cibergroups, entre los cuales comienza la lucha: cada grupo busca infectar el sitio web con su programa malicioso. Aquí hay un ejemplo de tal situación:

Un ejemplo de una infección múltiple del sitio web (*. *. 176.6) con diferentes programas maliciosos

06/11/2009 El sitio web que observamos estaba limpio. 07/05/2009 Hay un programa malicioso Trojan-Clicker.js.gent.gk. 15/07/2009 El sitio web resulta infectarse con otro malicia, Trojan-Downloader.js.IFRame.bin. Diez días después, el sitio está infectado con otro programa.

Esta situación se encuentra con bastante frecuencia: los sitios web pueden infectarse simultáneamente por diferentes malware, cuyo código se coloca uno por uno. Esto sucede cuando los datos de acceso caen en manos de diferentes cibergroups.

La siguiente es una secuencia de acciones que deben realizarse si el sitio web está infectado con código malicioso:

  • Instale quién tiene acceso al servidor de alojamiento. Comience a revisar sus computadoras con seguridad de Internet con una base de datos relevante. Eliminar todo Malware detectado
  • Instale una nueva contraseña de alojamiento confiable. Contraseña confiable Debe consistir en personajes, números y hipspetsimeters para complicar su selección.
  • Reemplace todos los archivos infectados con copias limpias
  • Encuentre todas las copias de seguridad que puedan contener archivos infectados y curarlos.

Nuestra experiencia muestra que los sitios web infectados después del tratamiento a menudo se someten a una reinfección. Por otro lado, esto suele suceder solo una vez: si, después de la primera infección, el webmaster puede limitar las acciones relativamente superficiales, en caso de una reinfección, generalmente toma medidas más graves para garantizar la seguridad del sitio.

Evolución: colocando programas de malware en sitios web "limpios"

Hace un par de años, cuando los ciberdelincuentes comenzaron a usar activamente la web para colocar programas maliciosos, generalmente actuaron a través del llamado alojamiento abusivo o a través del alojamiento, donde fueron pagados por tarjetas de crédito codificadas. Notando esta tendencia, las empresas que trabajan en el campo de la seguridad de Internet, combinaron sus esfuerzos en la lucha contra proveedores de alojamiento sin escrúpulos que permiten la colocación de recursos maliciosos (como el proveedor de alojamiento estadounidense McColo y el proveedor estonio de Estomans. Y aunque hoy en día hay casos. Cuando hay casos, los programas maliciosos se colocan precisamente en sitios maliciosos ubicados, por ejemplo, en China, donde aún es difícil cerrar el sitio, un giro importante hacia la colocación de programas maliciosos en "limpio" y una merecida confianza en el dominio.

Accion y reaccion

Como ya hemos hablado, uno de los aspectos más importantes de una lucha constante entre los ciberdelincuentes y los fabricantes de soluciones antivirus es la capacidad de responder rápidamente a lo que hace el oponente. Ambas partes cambian constantemente las tácticas de la lucha y las nuevas tecnologías se ponen en funcionamiento, tratando de contrarrestar al enemigo.

La mayoría de los navegadores web (Firefox 3.5, Chrome 2.0 e Internet Explorer 8.0) ahora están incrustados en forma de un filtro de URL. Este filtro no permite al usuario ingresar a los sitios maliciosos que contienen explotaciones para vulnerabilidades conocidas o desconocidas, así como el uso de métodos de ingeniería social para el robo de datos personales.

Por ejemplo, Firefox y Chrome usan la API de navegación segura de Google, servicio gratuito De Google para filtrar las URL. En el momento de la escritura, la lista API de navegación segura de Google contenía aproximadamente 300,000 direcciones de sitios web maliciosos famosos y más de 20,000 direcciones de sitios web de phishing.

La API de navegación segura de Google tiene un enfoque racional para filtrar las URL: en lugar de enviar cada URL a un recurso externo para verificar, cómo se realiza un filtro de phishing en Internet Explorer 8, la navegación segura de Google revisa las URL de acuerdo con sus sumas de comprobación, calculadas de acuerdo con el Algoritmo MD5. Para que dicho método de filtrado sea efectivo, la lista de sumas de control de las direcciones maliciosas debe actualizarse regularmente; Se recomiendan actualizaciones para realizar cada 30 minutos. La desventaja de este método es la siguiente: el número de sitios web maliciosos es mayor que el número de entradas en la lista. Para optimizar el tamaño de la lista (ahora es de aproximadamente 12 MB), solo los sitios maliciosos más comunes vienen allí. Esto significa que incluso si usa aplicaciones que admiten tecnologías similares, su computadora todavía está en riesgo de infección cuando visite sitios maliciosos que no ingresaron en la lista. En general, el amplio uso de las tecnologías para la navegación segura muestra que los desarrolladores del navegador web prestaron atención a una nueva tendencia a difundir programas maliciosos a través de sitios web y tomar respuesta. De hecho, los navegadores web con protección incorporada ya se están convirtiendo en la norma.

Conclusión

En los últimos tres años, la cantidad de sitios web legítimos infectados con programas maliciosos ha aumentado dramáticamente. Hoy en día, el número de sitios web infectados en Internet es cien veces más de tres años. Los sitios frecuentemente visitados son atractivos para los ciberdelincuentes, porque con su ayuda en poco tiempo puede infectar una gran cantidad de computadoras.

Los webmasters pueden ofrecer varios consejos simples sobre cómo proteger los sitios web:

  • Proteger las cuentas de alojamiento con contraseñas confiables
  • Para descargar archivos a servidores, use los protocolos SCP / SSH / SFTP en lugar de FTP, por lo que se protege de enviar contraseñas en Internet en el texto abierto.
  • Instale el producto antivirus y ejecute una comprobación de computadora.
  • Tenga muchas copias de seguridad múltiples del sitio en stock para poder restaurarlo en caso de infección.

Al navegar en Internet, hay varios factores que aumentan el riesgo de infección con un código malicioso de un sitio web: el uso del software pirata, ignorando las actualizaciones de las vulnerabilidades de cierre utilizadas por el software, la falta de soluciones antivirus y la ignorancia general o la comprensión incompleta De amenazas en internet.

Los programas piratas desempeñan un papel importante en la difusión de programas maliciosos. Copias piratas Microsoft Windows.por lo general no soporta actualizaciones automáticasMacrosoft fabricado por Microsoft, que le da a los ciberdelincuentes la oportunidad de operar vulnerabilidades no excluidas en estos productos.

Además, viejo versión de internet Explorador, todavía el navegador más popular, tiene una gran cantidad de vulnerabilidades. En la mayoría de los casos, Internet Explorer 6.0 sin actualizaciones instaladas sin protección de los efectos maliciosos de ningún sitio web malicioso. Debido a esto, es extremadamente importante evitar el uso del software pirata, especialmente las copias piratas de las ventanas.

Otro factor de riesgo es una computadora sin un programa antivirus instalado. Incluso si las últimas actualizaciones se instalan en el propio sistema, puede penetrar en un código malicioso a través de vulnerabilidades de día cero en un software de terceros. Actualizaciones software antivirus generalmente producido mucho más a menudo que los parches para productos de softwarey garantizar la seguridad del sistema en el período en que las correcciones aún no se han liberado a las vulnerabilidades a un lado.

Y aunque para mantener el nivel necesario de seguridad, la instalación de actualizaciones para los programas es importante, el factor humano desempeña un papel importante. Por ejemplo, el usuario puede querer ver el "video interesante", descargado de la red, sin sospechar que en lugar del video fue lanzado por un programa malicioso. Tal truco se usa a menudo en sitios maliciosos si las hazañas no entran en entrar en sistema operativo. Este ejemplo muestra por qué los usuarios necesitan saber qué peligro representan las amenazas de Internet, especialmente las relacionadas con redes sociales (Web 2.0), recientemente atacó activamente los ciberdelincuentes.

  • No descargues programas de piratas.
  • Actualice todo el tiempo: sistema operativo, navegadores web, programas para ver archivos PDF, jugadores, etc.
  • Instale y utilice siempre un producto antivirus, como Kaspersky Internet Security 2010
  • Tome la regla para que sus empleados todos los empleados hayan dado varias horas para estudiar sitios web de seguridad, como www.viruslist.com, donde pueden aprender sobre amenazas de Internet y métodos de protección.

Finalmente, recuerde: Warn Infection sea más fácil que curado. ¡Tomar medidas de seguridad!

Actualmente, la mayoría de los ataques informáticos ocurren al visitar páginas web maliciosas. El usuario puede ser engañoso brindando datos confidenciales de sitio de phishing o se convierte en víctima del ataque de descarga de la unidad utilizando vulnerabilidades del navegador. Por lo tanto, el antivirus moderno debe proporcionar protección no solo directamente del software malicioso, sino también de recursos web peligrosos.

Las soluciones antivirus utilizan varios métodos para identificar sitios con software malicioso: comparación de la base de datos de firmas y análisis heurístico. Se utilizan firmas para definición precisa Amenazas famosas, mientras que el análisis heurístico determina la probabilidad de comportamiento peligroso. El uso de la base de virus es un método más confiable que proporciona un número mínimo de falsos positivos. pero este método No permite detectar amenazas más nuevas desconocidas.

La amenaza que apareció al principio debe ser detectada y analizada por el personal del laboratorio del proveedor antivirus. Sobre la base del análisis, se crea una firma apropiada, que se puede usar para encontrar software malicioso. Por el contrario, el método heurístico se utiliza para identificar amenazas desconocidas sobre la base de factores de comportamiento sospechosos. Este método Evalúa la probabilidad de peligro, por lo que son posibles respuestas falsas.

Cuando se detectan referencias maliciosas, ambos métodos pueden funcionar simultáneamente. Para agregar un recurso peligroso a la lista de sitios prohibidos (lista negra), es necesario analizar descargando los contenidos y escanearlo utilizando un sistema de detección de antivirus o intrusos (sistema de destrucción).

A continuación se muestra el registro del registro de eventos del sistema Suricata IDS al bloquear las explotaciones:

Un ejemplo de un informe del sistema de IDS que indica amenazas definidas por las firmas:

Un ejemplo de alerta antivirus de AD-Aware al visitar un sitio malicioso:

El análisis heurístico se realiza en el lado del cliente para verificar los sitios visitados. Algoritmos especialmente diseñados advierten al usuario si el recurso visitado está en características peligrosas o sospechosas. Estos algoritmos se pueden construir sobre un análisis léxico del contenido o en la evaluación de la ubicación del recurso. El modelo léxico de definición se utiliza para advertir al usuario durante los ataques de phishing. Por ejemplo, la dirección URL de la especie " http://paaypall.5gbfree.com/index.php." o " http://paypal-intern.de/secure/"Fácilmente definido como copias de phishing de conocidas sistema de pago "PayPal".

El análisis del alojamiento de recursos recopila información sobre el alojamiento y un nombre de dominio. Sobre la base de los datos obtenidos, el algoritmo especializado determina el grado de peligro del sitio. Estos datos generalmente incluyen datos geográficos, información sobre la grabadora y la persona que registró el dominio.

A continuación se muestra un ejemplo de colocación de varios sitios de phishing en una dirección IP:

En última instancia, a pesar de las muchas formas de evaluar los sitios, ni la técnica de TI puede dar una protección de garantía del 100% de su sistema. Solo el uso conjunto de varias tecnologías de seguridad informática le permite dar cierta confianza en la protección de datos personales.

  • los usuarios se quejan de que el sitio web está bloqueado por un navegador y / o programas
  • el sitio web está incluido en la lista de Google Black o en otra base de datos de URL maliciosas.
  • ha habido cambios serios en el volumen de tráfico y / o en las clasificaciones de los motores de búsqueda
  • el sitio web no funciona como debería, da errores y advertencias.
  • después de visitar el sitio web, la computadora se comporta extraña.

A menudo, el código malicioso permanece desapercibido durante mucho tiempo, especialmente en el caso de infectado por un malware muy complejo. Dicho software malicioso generalmente se describe fuertemente para engañar y administradores de sitios web y programas antivirus; Cambia los nombres de dominio todo el tiempo al que se redirigen los usuarios, por lo que las listas negras. Si no hay uno de los síntomas anteriores, esta es una buena figura de la limpieza del servidor, aunque, sino, no al 100%; Por lo tanto, mantente vigilante a cualquier actividad sospechosa.

El signo más obvio de la infección con cualquier software malicioso es la presencia de un código malicioso / sospechoso en uno o más archivos, principalmente en formato HTML, PHP o JS, y durante algún tiempo, ASP / ASPX. Este código no es fácil encontrar la posesión de al menos los conceptos básicos de la programación y el desarrollo del sitio web. Para que el lector sea mejor, parece un código malicioso, damos algunos ejemplos de la infección más común de las páginas web.

Ejemplo 1: Redirección simple

El método más antiguo y más simple utilizado por los cibercriminales es agregar una etiqueta simple de IFRAME HTML al código de archivo HTML en el servidor. La dirección utilizada para cargar el sitio web malicioso en Iframe se especifica como el atributo SRC; El atributo de visibilidad con el valor "oculto" hace que el marco sea invisible para el usuario que asiste al sitio web.

Figura 1: Iframe malicioso dentro del sitio web HTML del sitio web

Otro método para hacer un script malicioso en el navegador de usuario es la introducción de enlaces a este script en el archivo HTML como el atributo SRC en las etiquetas de script o IMG:

Figura 2: Ejemplos de enlaces maliciosos.

Recientemente, hay cada vez más casos cuando el código malicioso se genera e implementa dinámicamente en el código HTML de los scripts Maliciosos JS o PHP. En tales casos, el código es visible solo en la representación del código fuente de la página del navegador, pero no en los archivos físicos en el servidor. Además, los ciberdelincuentes también pueden determinar las condiciones cuando se debe generar el código malicioso: por ejemplo, solo cuando el usuario se mudó a un sitio de ciertos motores de búsqueda o abrió un sitio web en un navegador en particular.

Para engañar y al propietario del sitio web, y el software antivirus, así como para hacer un código malicioso, los ciberdelincuentes usan una variedad de métodos de obusión de código.

Ejemplo 2: "Error 404: Página no encontrada"

En este ejemplo, el código malicioso está incrustado en la plantilla de mensaje, que se muestra cuando el objeto especificado no se encontró en el servidor (el conocido "Error 404"). Además, los archivos index.html / index.php se implementan mediante un enlace a cualquier elemento inexistente para llamar imperceptiblemente este error cada vez que un usuario ha sido visitado por la página web infectada del usuario. Este método puede provocar cierta confusión: una persona responsable del sitio web recibe un mensaje de que una determinada solución antivirus marcó el sitio web como infectado; Después de la verificación de la superficie, resulta que el código malicioso se encontró en el objeto, lo que aparentemente no existe; Esto lleva a una tentación de asumir (erróneamente) que fue una falsa alarma.

Figura 3. TROJAN.JS.IFRAME.ZS - Script malicioso en la plantilla de mensaje de error 404

En este caso en particular, el código malicioso estaba obfocado. Después de deobfuscation, podemos ver que el propósito del script es la introducción de la etiqueta iframe, que se utilizará para redirigir a los usuarios a una URL maliciosa.

Figura 4. TROJAN.JS.IFRAME.ZS - Código malicioso después de Deobfuscation

Ejemplo 3: Implementación Selectiva de Código Mal

Se puede generar un código similar y unirse dinámicamente (es decir, dependiendo de las condiciones específicas) a todos los archivos HTML ubicados en el servidor utilizando un script de PHP malicioso descargado en el mismo servidor. El script que se muestra en el siguiente ejemplo verifica el parámetro de usuario (que se envía al navegador de usuario, así como los bots de búsqueda) y no agrega un código malicioso si el BOT está escaneado por el BOT o si los visitantes del sitio disfrutan navegadores de ópera, o safari. Por lo tanto, los usuarios de los navegadores invulnerables a una explotación específica utilizada para el ataque no se redirigen a esta explotación. También vale la pena señalar que los comentarios en el Código son deliberadamente engañosos, lo que lleva a la idea de que este script tiene algo que ver con las estadísticas de bot.

Figura 5. TROJAN.PHP.IPRAMER.E - Código Infectando el script PHP

Este método también se puede utilizar en la dirección opuesta: los ciberdelincuentes pueden implementar referencias que conducen a contenido ilegal, dudoso o malicioso (spam, spyware, software, recursos de phishing) solo si el BOT BOT ingresó en el sitio web. El propósito de tal ataque es la llamada optimización negra: el mecanismo de elevar la posición del recurso cibernético-delito en la búsqueda de extradición. Dicho software malicioso generalmente se dirige a portales web populares con una alta calificación, y es bastante difícil de detectar, ya que el código malicioso nunca se muestra al usuario habitual. Como resultado, los sitios web maliciosos reciben una alta calificación en los motores de búsqueda y resultan en las etapas superiores de los resultados de búsqueda.

Ejemplo 4: OBUCIR DE SUPERFICIE

Infectar los scripts PHP también puede tomar otras formas. Los siguientes son dos ejemplos descubiertos hace varios meses.


Figura 6. Trojan-Downloader.php.kscript.a-Presión Script PHP


Figura 12. TROJAN-DAILDER.JS.TWETTI.T - Código malicioso implementado en archivos JS

Finalmente, hay un caso conocido de infección masiva por malware, que utiliza nombres de dominio al azar. En el caso de la infección con este malware, puede detectar el siguiente código en su sitio web:

Figura 13. Una versión componente del código que redirige un dominio para generado aleatoriamente

Ejemplo 6: "Gootkit" y conjuntamente el archivo completo

El código malicioso obfocado es fácil de detectar entre el resto del código limpio, y por lo tanto, recientemente, los ciberdelincuentes vinieron a la mente la idea de cumplir con los contenidos del archivo en su totalidad, por lo que, por lo tanto, increíblemente incrustado y el código legítimo. Es imposible separar el código legítimo de malicioso, y puede curar el archivo solo después de que sea descifrado.

Higo. 14. Archivo, descrito por Malware "Gootkit"

Es fácil deshacerse del primer nivel de ofuscación, ya que solo necesita cambiar la función EVAL () a alertar (), o imprimir () en el caso de la consola, y ejecútelo en la ejecución. El segundo nivel es algo más complicado: en este caso, el nombre de dominio se utiliza como una clave para cifrar el código.

Higo. 15: "Gootkit" - un segundo nivel de ofuscación

Después de descifrar, puede ver un código malicioso que va para los contenidos originales del archivo:

Higo. 16: "Gootkit" - Código DEOBFUSADO

A veces, una parte maliciosa resulta ser la segunda versión del malware, que se discutió en el ejemplo anterior, y se usa para generar un nombre de dominio pseudo-aleatorio para la redirección.

Ejemplo 7: .htaccess

En lugar de la infección de los scripts y los códigos HTML, los ciberdelincuentes pueden usar las capacidades de algunos archivos, por ejemplo.htaccess. En tales archivos, el administrador puede identificar los derechos de acceso a carpetas específicas en el servidor, así como en ciertas circunstancias, redirigen a los usuarios a otras URL (por ejemplo, si el usuario proviene de un navegador de dispositivos móviles, se redirige a version móvil Sitio web). No es difícil adivinar cómo los ciberdelincuentes usan tal funcionalidad ...

Higo. 17: malicioso.htaccess.

En el ejemplo anterior, todos los usuarios que se encuentran en este sitio web después del enlace en la mayoría de los principales motores de búsqueda (parámetro http_referer) se redirigen a una URL maliciosa. Además, en este archivo.htaccess tiene una cantidad suficientemente grande de navegadores y bots, para los cuales no se realiza la redirección (el parámetro http_user_agent). La redirección no se produce también si la página web se lee desde la memoria caché (referencia \u003d 1 caché) o se carga desde la misma computadora (parámetro Cookie).

Dicho malware hace posible realizar infecciones más selectivas, por ejemplo, las direcciones IP específicas se pueden excluir, y al ver los sitios web de una gama específica de direcciones IP, por ejemplo, propiedad de la empresa seguridad de información - La emisión de resultados maliciosos está ausente.

Vectores de ataques y tecnología de infección.

Independientemente de las tecnologías utilizadas, los ciberdelincuentes deben encontrar un método para entregar archivos maliciosos a un servidor o modificar archivos ya existentes en el servidor. El método más primitivo para obtener acceso al servidor es una contraseña de acceso de piratería. Para hacer esto, los ciberdelincuentes pueden usar el llamado ataque mediante el método de intoxicante o su versión limitada, la encarnación del moretón (ataque de vocabulario). Dichas tácticas generalmente requieren una gran cantidad de tiempo y recursos, por lo tanto, rara vez se usa con una infección masiva de sitios web. Entre los escenarios más populares se encuentran la operación de vulnerabilidades y malware para el robo de contraseñas.

Usando la vulnerabilidad del sistema de gestión de contenido / sistema de comercio electrónico

La mayoría de las plataformas modernas de gestión de contenido web (como el sistema de gestión de contenido (CMS), el comercio electrónico, el panel de control, etc.) son imperfectos y tienen vulnerabilidades que permiten a otras personas sin autenticación cargar archivos al servidor. Y aunque la búsqueda de tales vulnerabilidades que los desarrolladores lideran constantemente, la liberación de parches toma una gran cantidad de tiempo; Además, muchos usuarios continúan usando versiones antiguas de programas con gran cantidad Errores. La mayoría de las veces, las vulnerabilidades son naturalmente en las plataformas más populares, como WordPress, Joomla y OsCommerce.

Un ejemplo bien conocido de dicha vulnerabilidad es Timthumb, que es ampliamente utilizada por los ciberdelincuentes en una variedad de escenarios de conducción. TORTTHUM - MÓDULO PHP para cambiar el tamaño de las imágenes y crear las llamadas miniaturas gráficas incluidas en la mayoría de las plantillas de CMS en caso. La vulnerabilidad le permite grabar archivos ubicados en una máquina remota al servidor, al directorio de caché. Otro ejemplo es una vulnerabilidad. Inyección SQL En Plesk Panel (versión 10 y más antiguo), que se encuentra en febrero de 2012, lo que le permite leer bases de datos y robar contraseñas, que, hasta hace poco, se almacenaron explícitamente. Los datos de registro obtenidos de tal manera se usó probablemente con una epidemia web masiva reciente http://www.securelist.com/en/blog/208193624/who_is_attacking_me; https://www.securelist.com/ru/blog/208193713/runformun_gootkit_i_generirovanie_sluchasyynykh_domnykh_imen.

Usando Spyware para robar credenciales para acceder al servidor FTP

En las infesis web más comunes (por ejemplo, GumBlar y Pegel), otro método fue exitoso. En la primera etapa, los ciberdelincuentes distribuyen programas maliciosos diseñados específicamente para buscar y robar nombres de usuario y contraseñas a las cuentas FTP marcando la configuración del cliente FTP o el tráfico de red de escaneo. Después de encontrar un malware de estos datos de registro en un sitio de administrador del sitio infectado, el programa establece una conexión al servidor FTP y carga scripts maliciosos o escribe su versión infectada en lugar de los archivos originales. No hace falta decir que siempre y cuando la computadora de la cuenta de la cuenta esté infectada, los archivos almacenados en el servidor se inflarán una y otra vez incluso después de cambiar los datos de registro y restaurar el contenido completo de la copia de seguridad neta.

Objetivos del ciberdelincuencia

¿Cuál es el propósito de la infección de los sitios web?

  • reenvío de usuarios para explotaciones para una instalación invisible de programas maliciosos en sus computadoras;
  • reenvío de usuarios en el spam, el phishing y otros contenidos maliciosos, ilegales o no deseados;
  • intercepción / robo de visitas al sitio / consultas de búsqueda.
  • promoción de sitios web y sitios web maliciosos / ilegales que contienen spam (optimización negra);
  • uso de los recursos del servidor para la actividad ilegal.

En esencia, no hay nada nuevo aquí: al usar sitios web, los ciberdelincuentes mueven el deseo de obtener ganancias indirectas.

Métodos de eliminación del código malicioso.

¿Qué pasa si su sitio atacó a los hackers?

Primero, si observa los síntomas que hablan sobre una posible infección, es necesario desactivar inmediatamente el sitio web hasta que se elimine el problema. Esto es realmente extremadamente importante porque cada momento de demora juega en la mano de los ciberdelincuentes, lo que le permite infectar incluso más computadoras y distribuir infecciones en todo momento. Debe revisar los registros del servidor para una actividad sospechosa, por ejemplo, las solicitudes extrañas de las direcciones IP en países no característicos para los visitantes del sitio, etc. - Puede ser útil para detectar archivos y definiciones infectados, exactamente cómo los ciberdelincuentes tengan acceso al servidor.

¿Pero cómo lidiar con el código malicioso?

Copia de respaldo

El i más rápido manera confiable Restaure todo el contenido del servidor, utilizando una copia de seguridad pura. Para hacerlo de manera efectiva, también es necesario hacer un software de reinstalación completo que se ejecuta en el servidor (Sistemas de administración de contenido / CMF, sistema de comercio electrónico, etc.). Por supuesto, para esto necesitas usar las últimas versiones actualizadas. Después de estas acciones, no debe haber archivos infectados en el servidor, siempre que haya borrado todos los contenidos antes de la recuperación, y la copia de seguridad se haya creado antes de que comience el ataque.

Cheque automático

Si no hay una copia de seguridad neta, no tiene nada que comenzar a combatir con software malicioso. Afortunadamente, hay una serie de soluciones automatizadas que ayudarán a encontrar un código malicioso, incluidos los productos antivirus y los escáneres web en línea, como http://sucuri.net/. Ninguno de ellos es ideal, pero en el caso de un software malicioso conocido / ordinario, todos pueden ser muy útiles. Comencemos con el hecho de que puede consultar el sitio web utilizando varios escáneres en línea. Algunos de ellos no solo determinarán si su sitio está realmente infectado, sino que también indica un código malicioso en sus archivos. Luego, puede hacer una verificación completa antivirus de todos los archivos en el servidor.

Si usted es el propietario del servidor o si está en el servidor funciona. solución de seguridadEl uso de los cuales tiene derechos, puede verificar el lado del servidor. ¡Asegúrese de haber creado una copia de sus archivos, ya que algunos escáneres antivirus no tratan los archivos infectados, ¡pero elimínelos! También puede descargar los contenidos de su servidor a una computadora local y verificarlo con una solución antivirus para una computadora estacionaria. La segunda opción es preferible, ya que la mayoría de los programas antivirus modernos para computadoras estacionarias tienen un módulo heurístico bien desarrollado. Programas malintencionados que afectan a los sitios web, altamente polimórficos: y si, al combatirlo, el análisis de la firma es prácticamente inútil, las heurísticas les permite detectarse fácilmente.

Eliminación manual

Si un cheque automático No proporcionó resultados y el informe de la infección de su sitio todavía está llegando, la única forma de deshacerse del malware es encontrarlo manualmente y eliminar todo el código malicioso. Esta tarea difícil puede tomar una cantidad de tiempo significativa, ya que es necesario verificar cada archivo, ya sea HTML, JS, PHP o archivo de configuración, para guiones maliciosos. Los ejemplos anteriores son solo una pequeña parte de una variedad de malware para sitios web, por lo que la probabilidad de que el código malicioso en su sitio sea parcial o completamente diferente de estas muestras. Sin embargo, la mayoría del malware moderno para sitios web tienen algunas características comunes, y estas características ayudarán a determinar el problema.

Sobre todo, es necesario prestar atención a las partes del código que parecen poco claras o ilegibles. Obfusión de código: la tecnología, a menudo utilizada, es bastante inusual para cualquier otro software relacionado con los sitios web. Si no cumplió con el código usted mismo, tiene alguna razón para tener sospecha al respecto. Pero tenga cuidado, ¡el malicioso no será todo el código ofuscado!

De manera similar, no se está obfechado ningún script malicioso, por lo que tiene sentido buscar si iframe etiqueta explícitamente y otros enlaces a recursos externos en todos sus archivos. Algunos de ellos pueden estar relacionados con anuncios publicitarios y las estadísticas, pero no ingresan a la caña de pescar de las URL formadas especialmente, lo que puede confundir, con un tipo de direcciones de portales conocidos y confiables. No se olvide de revisar el código de los mensajes de error de la plantilla, así como todos los archivos.htaccess.

Las herramientas útiles para encontrar un código malicioso en el servidor son, sin duda, grep y encontrar: utilidades que operan en el modo de línea de comandos, de forma predeterminada, habilitadas en casi todos los sistemas en base basada en unix. A continuación se muestran ejemplos de su uso en el diagnóstico de las infecciones más comunes:

grep -irs "iframe" *
grep -irs "eval" *
gREP -IS "UNESESPAPE" *
gREP -RS "BASE64_DECODE" *
grep -irs "var div_colors" *
grep -irs "var _0x" *
gREP -RS "CorelibraresHandler" *
grep -rs "pingnow" *
gREP -RS "SERCHBOT" *
grep -irs "km0ae9gr6m" *
gREP -RS "C3284D" *
encontrar. -Iname "upd.php"
encontrar. -Iname "* Timthumb *"

Descripción de GREP (desde Linux Manual): Líneas de impresión correspondientes a la plantilla; opción -i significa ignorar el registro; -R significa la búsqueda recursiva, y -s evita la visualización de los mensajes de error. El primero de los comandos listados está buscando archivos de etiqueta IFRAME; Otros tres están buscando los signos más obvios de la ofuscación; El resto está buscando líneas especiales asociadas con la infección más grande conocida de sitios web.

En cuanto a Buscar, el Manual de Linux indica: Buscar archivos en la estructura jerárquica de la carpeta; "". (PUNTO) indica el directorio actual (así que ejecute los datos de comandos a continuación desde el directorio directorio o el directorio doméstico (inicio) en el servidor), el parámetro -iname determina que se firma el archivo. Puede ser usado expresiones regulares Para buscar todos los archivos correspondientes a algunos criterios.

Por supuesto, siempre necesita saber qué buscar, no todos los resultados indicarán la infección. No está mal para verificar partes sospechosas del código por un escáner antivirus o tratar de buscarlas en Google. Es muy probable que encuentre algunas respuestas, tanto para el código malicioso como para el código limpio. Si aún no está seguro de si el archivo está infectado, es mejor desactivar el sitio web (por si acaso) antes de realizar cualquier acción para buscar asesoramiento a un especialista.

¡Muy importante!

Además de limpiar archivos en el servidor, es necesario realizar una verificación completa antivirus de todas las computadoras utilizadas para descargar y administrar el contenido en el servidor y cambiar todos los datos para acceder a todas las cuentas en el servidor (FTP, SSH, Panel de control , etc.) que usted apoya.

Conceptos básicos de seguridad para sitios web.

Desafortunadamente, en la mayoría de los casos, la eliminación del código malicioso no es suficiente para deshacerse de la infección de una vez y para siempre. Si su sitio web está infectado, puede ser sobre la existencia de vulnerabilidades que permitió a los ciberdelincuentes implementar los scripts maliciosos al servidor; Y si dejas este problema sin atención, la nueva infección te está esperando en un futuro próximo. Para evitar esto, debe tomar las medidas adecuadas para proteger el servidor y la computadora / computadoras que se utilizan para administrar el servidor.

  • Utilizando contraseñas persistentes. A pesar de la trivialidad de este Consejo, es realmente la base de la seguridad del servidor. Es necesario no solo cambiar las contraseñas después de cada incidente y / o atacar en el servidor, deben variar de manera regular, por ejemplo, mensualmente. Buena contraseña debe cumplir con los criterios especiales que se pueden encontrar en www.kaspersky.com/passwords;
  • Actualización regular. Tampoco debe olvidarse de las actualizaciones periódicas. Los ciberdelincuentes a menudo explotan vulnerabilidades en el propósito de un programa malicioso, ya sea dirigido a usuarios de PC o sitios web. Todos los programas con los que administra su contenido de servidor / sitio debe ser el más versiones recientesY cada actualización de seguridad debe instalarse inmediatamente en su salida. Utilizando versiones reales El software y la instalación oportuna de todos los parches necesarios ayudarán a reducir el riesgo de ataque utilizando explotaciones. Se puede encontrar una lista actualizada regularmente de vulnerabilidades famosas en el sitio http://cve.mitre.org/;
  • Creación de copia de seguridad regular. Tener una copia neta del contenido del servidor en stock, ahorrará mucho tiempo y esfuerzo, sin mencionar que las copias de respaldo frescas pueden, además del tratamiento de la infección, es muy útil para resolver otros problemas;
  • Cheques regulares de archivos. Incluso en ausencia de síntomas explícitos de la infección, se recomienda escanear periódicamente todos los archivos en el servidor para la identificación del código malicioso;
  • Asegurando la seguridad de la PC. Dado que se distribuye una cantidad significativa de malware para sitios web a través de las PC infectadas, la seguridad de una computadora estacionaria utilizada para administrar su sitio web es uno de los aspectos prioritarios de la seguridad del sitio web. El apoyo continuo para la limpieza y la seguridad de su computadora aumenta significativamente la probabilidad de que su sitio web también sea seguro y protegido de los virus.
  • Obligatorio (pero no suficiente) deben ser las siguientes acciones:
    • eliminar programas no utilizados;
    • desactivación de servicios y módulos innecesarios;
    • establecer las políticas apropiadas para usuarios individuales y grupos de usuarios;
    • instalación de derechos de acceso adecuados a archivos y directorios específicos;
    • deshabilitar archivos y directorio del servidor web;
    • mantener los registros de eventos, verificados regularmente para la actividad sospechosa;
    • utilice el cifrado y los protocolos seguros.

El software malicioso, diseñado para infectar sitios web, puede ser una pesadilla real para administradores web y usuarios de Internet. Los ciberdelincuentes desarrollan continuamente su tecnología, abriendo nuevas explotaciones. El malware se distribuye rápidamente a través de Internet, golpeando los servidores y estaciones de trabajo. Dígale correctamente que una forma confiable de eliminar por completo. esta amenaza no existe. Sin embargo, el propietario de cada sitio web y cada usuario de Internet pueden hacer que Internet sea más seguro, observando las reglas básicas de seguridad y apoyando constantemente la seguridad y la limpieza de sus sitios web y computadoras.

¡Deje su comentario!

Es corto para "software malicioso". Es un término que se usa generalmente para el software instalado en su computadora que está diseñado para infiltrarse o dañar un sistema informático sin el consentimiento informado del propietario. A veces, un problema con Firefox puede ser un resultado de malware instalado en su computadora, que no puede Tenga en cuenta. Este artículo describe qué síntomas comunes son y cómo evitar que se instalen malware y deshacerse de ellos.

Tabla de contenido.

¿Cómo puedo saber que el problema de mi Firefox es el resultado del malware?

Los síntomas son varios y dependen del malware, pero si tiene uno o varios de estos comportamientos, puede tener un malware instalado en su computadora.

  • Algunas ventanas emergentes publicitan todo el tiempo., Aunque has bloqueado las ventanas emergentes. Para la mejora de bloquear las ventanas emergentes, vea.
  • Sus búsquedas son redirigidas a otro sitio. Para poder alimentar su contenido de ese sitio web y usted está siendo rechazado de bloquearlos. Para obtener más información, consulte Qué hacer las búsquedas incorrectas Llévase al sitio web de búsqueda incorrecta.
  • Tu página de inicio ha sido secuestrada. Para obtener más información sobre la configuración de su página de inicio.
  • Firefox nunca termina de carga o no puede cargar ciertos sitios web. Para obtener más información, consulte los sitios web muestran una rueda giratoria y nunca finalice la carga y Firefox no puede cargar ciertos sitios web.
  • Firefox se bloquea o cuelga mucho. Para obtener más información, consulte Firefox bloqueos: solucionar problemas, prevenir y obtener ayuda para fijar bloques y Firefox cuelga o no está respondiendo, cómo solucionar.
  • Firefox no comienza. Para obtener más información, consulte Firefox Won "T START - Buscar soluciones.
  • Problemas con la conexión a Facebook.. Para obtener más información sobre los problemas con Facebook, consulte Solucionar problemas con los juegos de Facebook, el chat y más.
  • Firefox sigue abriendo muchas pestañas o Windows. Para obtener más información, consulte Firefox se abre repetidamente las pestañas o Windows vacíos después de hacer clic en un enlace.
  • Se han instalado las barras de herramientas no deseadas. Para obtener más información sobre la personalización de Firefox, consulte Eliminar una barra de herramientas que haya tomado su página de búsqueda o página de inicio de Firefox y cómo eliminar la barra de herramientas de Babilonia, la página de inicio y el motor de búsqueda.

¿Cómo impide que se instale Malware?

Hay reglas simples a seguir para evitar que se instalen Malware en su computadora:

  • Mantener su. sistema operativo Y otro software actualizado: La instalación del software malicioso generalmente aprovecha las vulnerabilidades de seguridad conocidas en otros programas, que pueden haber sido parcheados en versiones posteriores. Asegúrese de que está utilizando la última versión de todo el software que usa, lo que permite la función de actualización automática del software, si está disponible, o al verificar las actualizaciones del proveedor de software Y utilizando la función de actualización de Windows.
  • No instale el software no confiable: Algunos sitios web le ofrecen software para acelerar su navegador, para ayudarlo a buscar en la web, agregar barras de herramientas que hacen que las cosas ya lo haga Firefox. Algunos programas no deseados también vienen agrupados en paquetes de software. Por lo general, estos programas recopilan información sobre su comportamiento de navegación que solo sirven a las personas que las diseñaron e interfieren con Firefox. Asegúrese de instalar complementos del sitio web adicional de Mozilla y usted desmarque programas no deseados en los asistentes de software. Verifique si tiene complementos no deseados y deshabilite o elimínelos.
  • No haz clic en el interior de las ventanas emergentes engañadas: Muchos sitios web maliciosos intentan instalar malware en su sistema haciendo que las imágenes se vean como ventanas emergentes, o muestre una animación del sitio web que escanea su computadora. Para obtener más información sobre la detección de una ventana emergente engañosa, consulte la configuración de bloqueadores emergentes, las excepciones y la solución de problemas.
  • No ejecutar un Firefox Fake Firefox: Descarga Firefox de mozilla.org/firefox.
  • Ejecute la protección antivirus y el anti-spyware y escanee la protección de su sistema periódicamente. Haz que Suee su protección antivirus y anti-spyware está habilitada. Escanee su computadora al menos cada mes.

¿Cómo me deshago del malware?

El artículo de Wikipedia Linux Malware tiene información y recomendaciones. para Linux Usuarios.

¿Cómo me deshago del malware?

Microsoft tiene básico. aNTIVIRUS GRATIS Y software de seguridad antispyware incorporado en Windows 8 y Windows 10para Windows 7 (¿Qué es lo que es lo esencial de Microsoft Security?). Si su software de seguridad no ha detectado malware, escanee su sistema con los programas de escaneo de malware gratuitos que se enumeran a continuación. Debe escanear con todos los programas porque cada programa detecta diferentes malware y asegúrese de actualizar cada programa para obtener la última versión de sus bases de datos Antes de hacer un escaneo.

Advertencia: El software antivirus y anti-spyware a veces puede generar falsos positivos. Considere la cuarentena de los archivos sospechosos en lugar de eliminarlos.