Qué debes hacer si han hackeado tu sitio web

Han hackeado tu sitio. Esto le sucede a muchos webmasters, incluso a pesar de todo el trabajo dedicado a evitar que este tipo de cosas ocurra. Evitarlo incluye mantener tu sitio actualizado con los últimos parches y software; crear una cuenta de Herramientas para webmasters de Google para ver qué contenido se ha indexado y vigilar tus archivos de registro para asegurarse de que no sucede nada sospechoso, etc. Hay más información en un texto que publicamos el año pasado, "Quick Security Checklist" [inglés].

Recuerda que no estás solo: Los sitios hackeados son cada vez más comunes. Si tu sitio ha sido hackeado puede que se vea infectado con software malicioso. Echa un vistazo al informe que ha publicado la ONG StopBadware.org [inglés] sobre tendencias de badware en 2007 (Trends in Badware 2007, [inglés]) para obtener un análisis exhaustivo de las amenazas y las tendencias del año pasado. Lee este post [inglés] en el blog sobre seguridad en línea de Google que destaca el aumento del número de resultados de búsqueda que contienen alguna URL clasificada como maliciosa. Para informes técnicos más detallados sobre el análisis del malware en la web, consulta este informe técnico [inglés] acerca de descargas involuntarias. Léelo y tendrás una mejor idea del problema, además estos también incluyen algunos ejemplos reales de diferentes tipos de malware.

En cualquier caso, el primer paso debe ser contactar al proveedor de alojamiento web, si dispones de uno. A menudo ellos pueden hacerse cargo de los aspectos más técnicos. Muchos webmasters utilizan alojamiento compartido, que puede dificultar algunas de las cosas enumeradas a continuación. Los consejos marcados con un asterisco (*) son casos en los que los webmasters que utilizan alojamiento compartido probablemente necesitarán ayuda de su proveedor de alojamiento. En caso de que tengas control absoluto del servidor, recomendamos cubrir estos cuatro puntos básicos:

Sitio temporalmente fuera de servicio

*Pon el sitio fuera de servicio temporalmente, al menos hasta que sepas que has arreglado las cosas.
*Si no puedes ponerlo fuera de servicio temporalmente, haz que devuelva un código de estado 503 para evitar que se indexe.
*En las Herramientas para webmasters, utiliza la herramienta de solicitud de eliminación de URL para eliminar cualquier página hackeada o URL de los resultados de búsqueda que se hayan podido añadir. Esto evitará que se muestren páginas hackeadas a los usuarios.

Evaluación de los daños

* Es una buena idea saber qué buscaba el hacker.
o ¿Buscaba información delicada?
o ¿Quería hacerse con el control del sitio con otros propósitos?
* Busca cualquier archivo que se haya cargado o modificado en tu servidor web.
* Busca cualquier actividad sospechosa en los registros de tu servidor, como por ejemplo, intentos fallidos de inicio de sesión, historial de comandos (especialmente como raíz), cuentas de usuario desconocidas, etc.
* Determina el alcance del problema. ¿Tienes otros sitios que también puedan verse afectados?

Recuperación

* Lo mejor que puedes hacer aquí es una reinstalación completa del sistema operativo, realizada desde una fuente de confianza. Es la única manera de estar totalmente seguros de que se ha eliminado todo lo que el hacker haya podido hacer.
* Tras la reinstalación, utiliza la última copia de seguridad para recuperar tu sitio. Asegúrate de que la copia de seguridad esté limpia y libre de contenido hackeado.
* Instala las últimas versiones de parches de software. Esto incluye cosas como por ejemplo plataformas de weblogs, sistemas de gestión de contenido o cualquier otro tipo de software de terceros instalado.
* Cambia las contraseñas.

Recuperación de la presencia en línea

* Vuelve a poner tu sitio en línea.
* Si eres un usuario de las Herramientas para webmasters, inicia sesión en tu cuenta.
o Si tu sitio se ha marcado como malware, solicita una revisión para determinar si está limpio.
o Si has utilizado la herramienta de solicitud de eliminación de URL para URL que deseas tener indexadas, solicita que se reincluya tu contenido revocando la solicitud de eliminación.

Vigílalo todo, ya que el hacker podría querer volver.

Respuestas a otras preguntas que puede que te hagas:

P: ¿Es mejor tener mi sitio temporalmente fuera de servicio o usar robots.txt para evitar que se indexe?
R: Ponerlo temporalmente fuera de servicio es la mejor manera de hacerlo. Esto evita que se muestre malware o badware a los usuarios y evita que los hackers sigan abusando del sistema.

P: Una vez que haya solucionado esto, ¿cuál es la manera más rápida de volver a ser indexado?
R: La mejor manera, independientemente de si el sitio fue hackeado o no, es seguir las Directrices para webmasters, disponibles en el Centro de asistencia para webmasters.

P: He limpiado mi sitio pero, ¿a pesar de esto me penalizará Google si el hacker enlazó a malos vecindarios?
R: Intentaremos que esto no suceda. Hacemos todo lo posible para que los sitios buenos no se vean penalizados por acciones de hackers y spammers. Para estar seguros, elimina completamente cualquier enlace que los hackers hayan podido añadido.

P: ¿Qué pasa si esto ocurrió en mi computadora personal?
R: Todo lo de arriba sigue siendo aplicable. Pon especial atención a limpiarlo todo. De lo contrario, es probable que vuelva a ocurrir lo mismo. Lo ideal es una reinstalación completa del sistema operativo.

Recursos adicionales que puedes encontrar útiles:

* Si Google ha marcado tu sitio como malware, te avisaremos [inglés] cuando visites las Herramientas para webmasters.
* No te olvides del Grupo de asistencia para webmasters de Google. Está lleno de usuarios expertos, y también de Googlers. Para ver un buen ejemplo sobre el tema, lee este mensaje [inglés]. También está el grupo de Stop Badware [inglés].
* Matt Cutts escribió en su blog consejos para proteger tu instalación de Wordpress ("Three tips to protect your WordPress installation", [inglés]), y también tiene comentarios muy buenos.

No dudes en dejarnos cualquier otra recomendación que tengas en los comentarios del grupo de asistencia.

miércoles, 28 de enero de 2009

8 comments:

Facundo dijo...

Es irónico que hayan posteado esto y unos días después ocurra lo que está pasando en Google..

A muchísimas personas todas las búsquedas nos devuelven un "este sitio podría dañar tu equipo"... en absolutamente todos los resultados.


Quisiera saber si ha sido un error al actualizar alguno de sus algoritmos, o si aquel "a muchos le ocurre" se aplica también a Google...

Y me preocupa sobre todo el saber si el error está en la función que evalúa los sitios (o sea, si nuestros sitios realmente están siendo marcados como malware) o en la que comprueba dicha marca...

Alvar López, Equipo de Calidad de Búsqueda dijo...

Hola Facundo,

Se trató de un error humano, aquí explicamos lo que pasó en más detalle:

http://googlewebmaster-es.blogspot.com/2009/02/este-sitio-puede-danar-su-equipo-para.html

Sentimos las molestias causadas a todos los webmasters y usuarios.

Alvar

WebChile dijo...

la verdad que es preocupante... no tengo idea que sucede con mi sitio web... eh contactado al servidor para ver posibles infecciones de hakers y archivos espia... pero el problema solo se ocasiona cuando busco en google mi sitio web.. estoy en las primeras posiciones y esto afecta mucho mi portal... ya que al escribir su nombre en el buscador me aparece en la busqueda.. pero al pinchar para entrar a la pagina me lanza un tipo de virus que se intenta cargar automaticamente en mi pc... Esto no ocurre si escribo directamente la URL... Que Sucede entonces?

eduardo dijo...

HOLA GENTE A MI ME SUSCEDE LO MISMO
YO REALIZO LA GUIA COMERCIAL DE LA CIUDAD DE LANUS WWW.LANUSGUIACOMERCIAL.COM.AR ,ES MI FUENTE DE INGRESO Y ME APARECE EN EL GOOGLE ( SI LO ABRO DESDE EL NAVEGADOR NO DESCARGA NADA NI DAÑA NINGUN EQUIPO !!!!) ) CARTEL "este sitio podría dañar tu equipo"... YA HABLE CON LA GENTE QUE ME BRINDA EL HOSTING Y ELLOS NO DETECTARON NADA , ME FIJE EN OTROS BUSCADORES , COMO YAHOO Y MSN NO APARECE EL CARTEL DE ADVERTENCIA , ESTO ME PERJUDICA TOTALMENTE COMO REVIERTO LA SITUACION EN GOOGLE SI YA PEDI UNA REVISION Y NO E RESIVIDO RESPUESTA NI CAMBIOS.
DESDE YA MUCHAS GRACIAS SI ALGUIEN ME RESPONDE O ME ORIENTA.
EDUARDO VELEZ

http://www.google.com.ar/search?hl=es&source=hp&q=GUIA+DE+LANUS&meta=&rlz=1W1GGLL_es&aq=f&aqi=g1&aql=&oq=&gs_rfai=

Cristina, Equipo de Calidad de Búsqueda dijo...

¡Hola, eduardo!

Te recomiendo que te pases por nuestro Foro de ayuda para webmasters:

http://www.google.com/support/forum/p/webmasters?hl=es

Allí puedes consultar otros casos similares en nuestra categoría de malware. Aquí te dejo la URL:

http://www.google.com/support/forum/p/webmasters/label?lid=332be03e1d2cd85d&hl=es

Saludos,
Cristina

WebChile dijo...

EDUARDO:

Despues de mucho investigando y luchanod con mi hosting para solucionar esos problemas llegue a la siguiente solucion... Primero el problema es un script alojado en algun archivo de tu sitio web, una vez detectado debes eliminarlo.. y posteriormente debes cambiar los permisos CHMOD que seguramente los tienes en 755.. por ello es facil incrustarle un script al sistema y hacer redireccionar tu sitio o volverlo peligroso segun las politicas de google... entonces una vez eliminado el script, cambias los permisos CHMOD a 644 y no volveras a tener problemas... Espero te ayude esto. a mi me funciono muy bien hasta ahora.

César dijo...

Hola una consulta, donde cambio los permisos CHMOD a 644??

OdaNobunaga dijo...

He resubido mi blog 3 veces a causa de hackeo, lo hicebcon cuentas, correos, equipos y SO diferentes, pero ahora desde q abri mi nuevo blog me han llegado visitas de paginas rarras y solo de 3 paises en particular (rusia 18, EUA 15 y alemania 6) el problema es q estan visitas llegan en un solo momento (13 visitas de rusia al mismo tiempo) para despues no tener trafico en todo el dia, estos ataques son diarios y de paginas q nada q ver con mi blog; me gustaria saber si otra ves e sido hackeado o solo son ataques e intentos de intrusion.