Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
17/10/2012
Expliquen a administradors web com evitar el fatídic 'Este lloc pot danyar el teu equip'
Marta Janus, experta en seguretat informàtica en Kaspersky Lab, explica als administradors web a saber com reconéixer i evitar que el seu lloc web estiga infectat.
Les infeccions massives originades en llocs web són un dels majors problemes a què s'enfronta la seguretat informàtica actual. Alguns propietaris de llocs web solen queixar-se que el programari de seguretat bloqueja erròniament l’accés al seu portal i que ha de tractar-se d’una falsa alarma ja que no allotgen continguts maliciosos de cap tipus. Per desgràcia, en la majoria dels casos, s’equivoquen perquè sí que es poden trobar en els seus llocs web fitxers script maliciosos que es van injectar en el codi original PHP, JS o HTML.
Estos fitxers script solen desviar els visitants cap a URL malicioses des de les quals es descarreguen i s’executen programes maliciosos en l’ordinador de l’usuari. En la major part dels casos, estos fitxers script s’executen furtivament, per la qual cosa a l’usuari li pareix que el lloc funciona amb tota normalitat. Els codis maliciosos exploten vulnerabilitats en els programes instal·lats en l’ordinador de l’usuari (com Java, Flash, lectors PDF, connectors per al navegador, etc.) per a instal·lar-se en secret en l’ordinador atacat. Este mètode s’anomena descàrrega drive-by.
Per a Kaspersky Lab, els administradors de llocs web han de saber com identificar i eliminar programes maliciosos dels seus webs, ser conscients en tot moment de què està passant, què cal buscar, com va succeir, quin és el seu propòsit, com desinfectar, i com previndre que un lloc web s’infecte.
Símptomes de la infecció
- Els usuaris es queixen que el navegador o la solució de seguretat han bloquejat el lloc;
- El lloc web està en la llista de llocs prohibits de Google o apareix en una altra base de dades d’URL malicioses;
- Hi ha un notable canvi en el trànsit i/o una caiguda en les classificacions dels motors de busca
- El lloc web no s’obri de forma correcta, mostra errors i advertències
- Després de visitar el lloc web, l’ordinador mostra un estrany comportament.
Sovint la infecció passa inadvertida durant molt de temps, especialment si es tracta d’un programa maliciós sofisticat. Estos programes maliciosos solen estar ben camuflats per a enganyar l’administrador del lloc web i les solucions de seguretat, i constantment es canvien els noms dels dominis a què es desvia, a fi d'eludir la detecció per mitjà de llistes negres. Si no han notat cap d’estos símptomes és un bon indici que el servidor està net, però cal estar alerta davant de qualsevol activitat sospitosa.
El senyal més inequívoc de qualsevol infecció és la presència de codis maliciosos sospitosos en un o més arxius en el servidor, especialment arxius HTML, PHP o JS, i últimament també arxius ASP/ASPX. No és fàcil trobar el codi i es necessita almenys coneixements bàsics de programació i de disseny de llocs web.
Més informació en DiarioTI.
L’articlecomplet de Marta Janus, en anglés, està disponible en SecureList