Joomla - GNU - Linux - Programación

Escrito por Julio Verne : Navegante en Otras Secciones, Internet y su mundo

Hace unos meses atrás, un colega tuvo la mala suerte de que su sitio web se infestara con un virus del tipo iframe. Luchamos mucho para quitarlo pero volvía. El primer lugar donde apareció el virus fue en el index. php de la página Joomla, pero luego vimos que además estaba "metido" dentro de la plantilla y vaya a saber dónde más.
 

El problema fue que se demoró la faena y la web fue tachada de "sitio atacante" y cuando el navegante accedía le aparecía una pantalla roja radiante que decía:  "¡Este sitio es una web atacante! Este sitio web en www.dominio.com ha sido reportado como una web atacante y ha sido bloqueado basándose en sus preferencias de seguridad. Los sitios atacantes intentan instalar programas que pueden robar información privada, usar su ordenador para atacar otros o dañar su sistema. Algunos sitios atacantes distribuyen intencionalmente software dañino, pero muchos son comprometidos sin el conocimiento o permiso de sus propietarios."

Igualmente se podía saltar la pantalla roja espeluznante con una clara advertencia que los riesgos corrían por tu cuenta.

Vista de la pantalla de web atacante

La pantalla aparece solamente en Chrome y en Firefox, que son los dos navegadores que utilizan el servicio de StopBadWare.Org, una web que almacena en una base de datos los sitios reportados como maliciosos. StopBadware.org está dirigido por varias organizaciones sin ánimo de lucro y Departamentos de Universidades, y cuenta con el patrocinio de Google y de Sun Microsystems.

¿Qué activa la aparición de la fatídica pantalla?

La protección de seguridad activada en ambos navegadores.

En Firefox la configuración se encuentra en el menú Herramientas --> Opciones --> Seguridad y es el item pintado de violeta con recuadro rojo en la siguiente captura:

Vista de las Opciones de Seguridad en Firefox

En Google Chrome, la configuración se encuentra en Opciones (cliqueando en el ícono de la llave de boca) --> Avanzadas, que se ve así (en recuadro rojo y pintado de violeta):

Vista de las Opciones Avanzadas de Google Chrome

Los virus del tipo iframe ingresan a la web por inyección de código malicioso o bien porque el webmaster ha agregado un html o un script php infestado (generalmente sin malas intenciones -léase bien, "generalmente"-, y mucho cuidado al navegar en sitios under!!!). También mucho cuidado cuando instalamos extensiones Joomla de procedencia dudosa.

La utilización que tienen es básicamente facilitar la descarga de troyanos e infestar la PC del  navegante, por eso se recomienda abandonar las webs denunciadas como tal.

¿Cómo quitar el virus iframe?

Este fue el primer escollo y hay varias formas de salvarlo. La primera y más rápida es escanear toda la web desde Cpanel con ClamAV que la mayoría de los hosting lo proveen ya instalado.

Vista de ClamV en Cpanel

Otra forma de quitarlo y más complicada es "bajarse el sitio" al disco y escanearlo con algún antivirus que tengamos instalado.

Existe también la posibilidad de pedir gratuitamente un informe desde el sitio desde SiteAdvisor de McAfee, click aquí.

¿Cómo quitar el mote de "web atacante"?

Este fue el segundo escollo. La solución más sencilla es entrar a la web Google a esta dirección y completar el formulario que se nos presenta y esperar que la web sea revisada.

Otra forma es, si tienes cuenta en Google Email, ingresar a Herramientas Google para Webmaster y proceder a la verificación del sitio siguiendo las instrucciones allí especificadas (colocación de la meta key, etc.). Luego solicitar la reconsideración del sitio desde https://www.google.com/webmasters/tools/reconsideration, completando el formulario que allí se nos presenta.

Conclusión

Si bien no aplicamos la solución más sencilla, la primera, por otros motivos (inclusión de sitemap y demás) lo segundo nos dio resultados bastante rápidos y en menos de 24 horas nuestra web estaba ya sin el mote, claro eso si, habiendo quitado primero el virus.