El ataque de los virus en el servidor

Que los ordenadores pueden tener virus es algo totalmente asumido por todos. Lo que no está tan extendido es que un servidor dónde tienes tu página web o tu tienda online también puede ser atacado por los molestos y peligrosos virus.

Hace unos meses nuestros servidores fueron atacados y estuvimos dando vueltas durante bastante tiempo hasta descubir de dónde venían y cómo acabar con ellos.

Os resumo lo que pasó y cómo se consiguió solucionar por si os pasa a vosotros también.

Tras indagar sobre lo que hace el “supuesto” virus hemos descubierto lo siguiente, esto es lo que hace el virus, tras haber conseguido copiar un fragmento de código en alguno de los archivos de la web:

1-Chequea si existe una cookie con el nombre “SGeoCookie”

2-Si no existe, escribe esa cookie. Lo único que hace es escribir la cookie con el dato del país de la IP con la que el cliente está navegando

3-Tras esto ejecuta un script que reside en la página http://statsgeo.com/geoip, sorprendentemente en esta página no hay ningún código

Esto es el motivo por el cual la gran mayoría de antivirus no lo consideran como amenaza, puesto que es completamente inofensivo al cliente que está navegando por la página. Sin embargo otros antivirus (Kaspersky o NOD32), sí que lo detectan como amenaza potencial (del tipo Troyano), puesto que tal y como está configurado es inofensivo su comportamiento responde al de otros virus o troyanos, y, si en esta página (http://statsgeo.com/geoip) residiera código Javascript, éste sí que se ejecutaría en la máquina cliente y podría ser potencialmente dañino.

En cualquier caso, y pese a la inofensividad del código, en logocomunica hemos procedido a eliminarlo de todos los archivos donde lo hemos encontrado para que no suponga una molestia para los usuarios que navegan por nuestras páginas.

20120401-115532.jpg

Javier Echaleku

Si te ha gustado este post, te invito a que lo compartas en las redes sociales y que hagas tus comentarios. Si no te ha gustado me encantará conocer tu punto de vista. No pretendo tener la razón en nada de lo que escribo y por ello tus comentarios serán perfectos para generar debate y contraponer ideas.

2 comentarios

Deja tu comentario

  1. rastreador

    es probable que si llegas a esa página con una ip de una zona “objetivo” si que habrá algún código.

  2. Por eso digo que “creemos” que es inofensivo, porque aparentemente la página de destino está vacía, pero podría no estarlo.
    En cualquier caso es fácil eliminarlo y detectarlo.

Deja tu comentario