Un nuevo virus informático ha infectado las plataformas Plesk de multitud de sistemas Hosting. Al parecer el virus utiliza un Bug del sistema de administración Plesk para entrar y conseguir las claves FTP de los servidores web que posteriormente son utilizadas para modificar ficheros javascripts y PHP para incrustar códigos, muy frecuentemente banners con enlaces a páginas externas, en dichas web.
Varios Webmaster han presentado sus quejas acerca de que sus web están siendo infectadas por un virus que inyecta código javascripts y php con enlaces a páginas externas. Se ha confirmado que este tipo de malware puede inyectar su código acompañado de una firma que empieza con; /*km0ae9gr6m*/ o /*gootkitstart*/ y termina con /*qhk6sa6g1c*/ o /*gootkitend*/.
Al parecer este malware lleva varias semanas burlando la seguridad de empresas Hosting que utilizan Plesk. Muchos Webmaster cuando detectan que han sido infectados optan por buscar una copia de seguridad de la web y restaurar los archivos defectuosos. Tras restaurar los ficheros se ha comprobado que el virus vuelve a infectarlos, lo que quiere decir que tiene acceso directo al ftp y para eso ha tenido que conseguir previamente las contraseñas.
Tras realizar diversos estudios de como actúa este tipo de troyano se ha llegado a la conclusión de que obtienen las contraseñas de FTP a través de un Bug encontrado en la herramienta administrador de archivos que incorpora Plesk. Utilizan este Bug para robar la contraseña FTP y tener permiso de lectura y escritura sobre todos los ficheros del Hosting.
Muchos comercios que dependen de su página web y han sido infectados, han comunicado que están empezando a tener perdidas y que este virus le genera cierta inseguridad de cara al cliente. Por suerte este virus sólo infecta ficheros y en ningún caso los borra o renombra.
Para la tranquilidad de muchos Webmaster que han visto afectadas sus web hay que decir que hay una nueva actualización para Plesk que corrige este Bug. Los pasos a seguir para prevenir que la web se vuelva a infectar son:
- Actualizar a la última versión el servidor de Hosting. Este paso es muy importante porque al actualizar el servidor eliminamos el agujero de seguridad.
- Cambiar las contraseñas de FTP de nuestro Hosting.
- Cambiar las contraseñas de todas las cuentas de correos.
- Cambiar las contraseñas del Plesk.
- Desinfectar todos los ficheros infectados. Esto lo podemos hacer eliminando de cada uno el código introducido o restaurando una copia de seguridad.
Saludos.
Por eso es importante tener copias de seguridad y que el proveedor de hosting te de el servicio en caso de infección e igual siempre va haber en el mundo gente que busca crear este tipo de malware.
Gracias por tus recomendaciones muy buen artículo.
Es muy importante tener copias de seguridad, pero por suerte o por desgracia no todo el mundo tiene conocimientos sobre este tipo de temas y ya son muchas las empresas que piensan en tener su propia web para buscar una salida en el mercado a sus productos. Debemos de actualizar los sistemas informáticos para evitar este tipo de acciones pero como bien dices siempre hay gente que continuamente se dedica a desarrollar este tipo de Malware. No quiero poner un punto negativo a todos los sistemas de almacenamientos (Hosting) que albergan miles y miles de páginas web sino más bien hay que reconocer que es un punto a favor de este tipo de troyanos y para combatirlo con mayor eficacia os dejo mis conocimientos adquiridos sobre este tema.
Un poco de información sobre cómo limpiar los ficheros “infectados”:
Como limpiar archivos con km0ae9gr6m
Gracias Nacho, nunca está demás la información que nos ofreces.