¿Cómo limpiar archivos con código malicioso?

Si tu sitio web ha sido infectado con código malicioso, deberás limpiar los archivos de tu siito lo antes posible para prevenir daños mayores en tu cuenta de hosting.

En primer lugar, se recomienda desactivar completamente el sitio y permitir el acceso sólo desde tus propias direcciones IP durante la limpieza. De esta manera pondrás en cuarentena tu sitio, para que los hackers no puedan acceder. Además, si no deshabilitas el sitio, las visitas accederán a contenido infectado. Aparte, los motores de búsqueda (Google, MSN, etc.) también pueden terminar bloqueando el sitio. La forma más fácil de poner en cuarentena el sitio es editar el archivo .htaccess y permitir el acceso sólo desde tu propia dirección IP. Utiliza las dos siguientes líneas (funcionan en servidores basados ​​en Apache):

deny from all 
allow from IP_ADDRESS

Reemplaza IP_Address con tu propia dirección de IP. Una vez lo hagas, el sitio aparecerá caído para tus visitantes. Poner tu sitio fuera de línea no afectará a tu futuro posicionamiento en los motores de búsqueda.

Para comenzar la limpieza, descarga todos los archivos de tu sitio web a tu ordenador local mediante FTP y escanéalos con tu programa antivirus. Una vez el escaneo se haya completado, deberías recibir una lista con los archivos sospechosos que tienes que revisar.

La mayoría de las veces el código infectado es fácil de detectar ya que está muy ofuscado (cifrado), a diferencia del código normal utilizado en aplicaciones de código abierto, que es mucho más ordenado y generalmente incluye comentarios que explican el propósito de los diferentes fragmentos de código. A continuación, se muestra un ejemplo de extracto de código malicioso:

|=|<?php $ei4a=$_POST['12345'];if($ieov!=''){$tyqx=base64_decode($_POST['z0']);@eval("$safedg=$tygx;");}

Asegúrate de revisar todos tus archivos, eliminar el código malicioso y subir tus archivos de nuevo al servidor.

Cuando el código malicioso haya sido eliminado, deberías actualizar todas tus aplicaciones en tu cuenta de hosting a las últimas versiones estables que haya disponibles.

Para asegurarte que eres el único con acceso a tu cuenta y, por lo tanto, evitar que los atacantes vuelvan a acceder a ella, también debes:

• Actualizar tu programa antivirus local a la última versión;
• Realizar un escaneo antivirus completo de tu PC local, incluidos los discos duros;
• Asegúrate de tener tu Sistema Operativo (Windows, Linux or MacOS) actualizado y con los parches de seguridad aplicados;
• Asegúrate de tener una conexión segura a Internet. Si utilizas conexión inalámbrica, la única conexión segura es WPA2. Para mayor información al respecto contacta a tu proveedor de Internet.
• Cambia las contraseñas relacionadas con tu cuenta de hosting (incluyendo cuentas FTP, cuentas de email, etc);
• Cambiar las contraseñas de acceso administrador a tus aplicaciones web.