Afortunadament ho hem vist en comptades ocasions, però avui hem tingut la oportunitat de poder-ho veure i poder resoldre el problema.
Aquesta tarda ens ha trucat un senyor, que té una web amb uns 7 anys d’antiguitat a la qual no s’hi podia accedir amb cap navegador amb la barra de google instal·lada o amb un antivirus que analitzi l’activitat mentres es navega (segur que hi ha més gadgets que també avisen del problema).
Abans de res, no esborreu cap pàgina!
El primer que hem fet ha estat canviar totes les claus (en aquest cas ftp i penell de control del proveïdor de serveis) i contactar amb el proveïdor de serveis. És evident que el propietari del lloc no tenia cap intenció de difondre malware i que li havien entrat a l’ftp
ja que tenia una contrasenya molt dèbil.
Després els primers passos de neteja que hem seguit han estat:
- Analitzar la pàgina per cercar Malware, on hi hem vist un codi javascript maliciós (javascript amb unicode)
- Revisar que a l’arxiu .htaccess no hi hagués cap redirecció
- Cercar iframes
Posteriorment, hem donat d’alta la pàgina a google webmaster tools , hem verificat el lloc i a Diagnostics / Malware hem fet una petició de revisió (Request a review)
A google webmaster tools diuen que el procés dura unes 24 hores o menys i és veritat, en menys de dues hores ens ha trucat el nou client dient que ja podia accedir a la pàgina. Nosaltres encara no havíem tancat la sessió al navegador i encara ens sortia el missatge.
Hem revista a webmaster tools i ja no hi ha cap problema, sinó hauríem hagut de revisar totes les imatges, pdf…
Si no es realitzen aquests passos a google webmaster tools, tot i que haguem eliminat el contingut nociu, la pàgina continuarà apareixen com a perillosa fins que no torni a ser analitzada pel cercador (poden passar setmanes)
El que comentàvem de no esborrar cap pàgina, és perquè google pot considerar que han estat eliminades temporalment només per passar la revisió, més val arreglar-ho ni que sigui esborrant tot el codi i deixant-les en blanc.
Podeu trobar més informació a:
Reproduïm el missatge sencer per si algú cerca informació als cercadors:
S’ha informat que el lloc web és atacant!
S’ha informat que el lloc web a www.llocwebAmbMalware.com seria atacant, i s’ha blocat d’acord amb les vostres preferències de seguretat.
Els llocs atacants proven d’instaŀlar programari que roba informació privada, utilitzen el vostre ordinador per a atacar-ne d’altres, o fan malbé el vostre sistema.
Alguns llocs atacants distribueixen de forma intencionada programari maligne, tot i que molts estan compromesos sense el coneixement o permís dels propietaris.
