El ataque de los virus en el servidor

Que los ordenadores pueden tener virus es algo totalmente asumido por todos. Lo que no está tan extendido es que un servidor dónde tienes tu página web o tu tienda online también puede ser atacado por los molestos y peligrosos virus.

Hace unos meses nuestros servidores fueron atacados y estuvimos dando vueltas durante bastante tiempo hasta descubir de dónde venían y cómo acabar con ellos.

Os resumo lo que pasó y cómo se consiguió solucionar por si os pasa a vosotros también.

Tras indagar sobre lo que hace el “supuesto” virus hemos descubierto lo siguiente, esto es lo que hace el virus, tras haber conseguido copiar un fragmento de código en alguno de los archivos de la web:

1-Chequea si existe una cookie con el nombre “SGeoCookie”

2-Si no existe, escribe esa cookie. Lo único que hace es escribir la cookie con el dato del país de la IP con la que el cliente está navegando

3-Tras esto ejecuta un script que reside en la página http://statsgeo.com/geoip, sorprendentemente en esta página no hay ningún código

Esto es el motivo por el cual la gran mayoría de antivirus no lo consideran como amenaza, puesto que es completamente inofensivo al cliente que está navegando por la página. Sin embargo otros antivirus (Kaspersky o NOD32), sí que lo detectan como amenaza potencial (del tipo Troyano), puesto que tal y como está configurado es inofensivo su comportamiento responde al de otros virus o troyanos, y, si en esta página (http://statsgeo.com/geoip) residiera código Javascript, éste sí que se ejecutaría en la máquina cliente y podría ser potencialmente dañino.

En cualquier caso, y pese a la inofensividad del código, en logocomunica hemos procedido a eliminarlo de todos los archivos donde lo hemos encontrado para que no suponga una molestia para los usuarios que navegan por nuestras páginas.

2 comentarios en “El ataque de los virus en el servidor”

  1. es probable que si llegas a esa página con una ip de una zona “objetivo” si que habrá algún código.

  2. Por eso digo que “creemos” que es inofensivo, porque aparentemente la página de destino está vacía, pero podría no estarlo.
    En cualquier caso es fácil eliminarlo y detectarlo.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

98 − = 89