Corregir el ataque de texto autogenerado

Esta guía se ha elaborado para hacer frente a un tipo de ataque concreto que genera páginas de texto autogenerado con muchas palabras clave en tu sitio web y al que nos referiremos como ataque de texto autogenerado. Se ha diseñado pensando en los usuarios de los sistemas de gestión de contenido (CMS) más populares; no obstante, te resultará útil aunque no utilices dichos sistemas.

Nota: Si no estás seguro de si te han pirateado el sitio web, lee nuestra guía sobre cómo comprobarlo.

Índice

Identificar este tipo de ataque

El ataque de texto autogenerado crea automáticamente muchas páginas con frases sin sentido llenas de palabras clave en tu sitio web. Estas páginas no las has creado tú, pero contienen URLs que los usuarios pueden encontrar atractivas y en las que pueden hacer clic. Los hackers, de esta forma, intentan que las páginas pirateadas aparezcan entre los resultados de la Búsqueda de Google. Después, si los usuarios intentan visitar estas páginas, se les redirige a una página no relacionada, como un sitio web con contenido pornográfico. Los hackers ganan dinero cuando estas páginas no relacionadas reciben visitas. A continuación te mostramos algunos ejemplos del tipo de archivos que puedes ver en un sitio web afectado por el ataque de texto autogenerado:

  • www.example.com/cheap-hair-styles-cool.html
  • www.example.com/free-pictures-fun.html
  • www.example.com/nice-song-download-file.php

A veces, aparecen en una carpeta cuyo nombre son caracteres aleatorios y están en diferentes idiomas:

  • www.example.com/jfwoea/cheap-hair-styles-cool.html
  • www.example.com/jfwoea/free-pictures-fun.html
  • www.example.com/jfwoea/www-ki-motn-dudh-photo.php
  • www.example.com/jfwoea/foto-cewe-zaman-sekarang.php

En primer lugar, consulta la herramienta Problemas de seguridad de Search Console para comprobar si Google ha descubierto alguna de estas páginas pirateadas en tu sitio web. También se pueden descubrir si escribes site:your site url con la URL de nivel raíz de tu sitio web en la Búsqueda de Google. Al usarla, te mostrará las páginas de tu sitio web que ha indexado, incluidas las pirateadas. Consulta algunas páginas de resultados de búsqueda para comprobar que no aparezca ninguna URL inusual. Si la Búsqueda de Google no devuelve contenido pirateado, utiliza los mismos términos de búsqueda en otros motores de búsqueda. A continuación te mostramos un ejemplo del aspecto que tendría una búsqueda de este tipo:

En la imagen se puede ver que los resultados de búsqueda contienen muchas páginas web que el propietario del sitio web no ha creado. Si observas atentamente las descripciones, verás un ejemplo del texto autogenerado que se crea con este ataque.

Normalmente, al hacer clic en un enlace a una página pirateada, se te redirige a otro sitio web o ves una página llena de texto autogenerado. Sin embargo, también es posible que aparezca un mensaje que indique que la página no existe (por ejemplo, un error 404). Se trata de un engaño: los hackers tratarán de convencerte de que la página ha desaparecido o de que ya se ha corregido, cuando no es el caso. Para ello, realizan un encubrimiento del contenido. Para comprobar que no haya encubrimiento, introduce las URL de tu sitio web en la herramienta Explorar como Google de Search Console, que te permite ver el contenido oculto subyacente.

Si observas estos problemas, es muy probable que tu sitio web se haya visto afectado por un ataque de este tipo.

Corregir el ataque

En primer lugar, haz una copia en local de los archivos antes de eliminarlos, para poder restaurarlos más adelante. De hecho, te recomendamos que realices una copia de seguridad de todo el sitio web antes de iniciar el proceso de limpieza. Para ello, copia todos los archivos de tu servidor en local o busca la mejor opción para hacer copias de seguridad de tu CMS concreto.

Comprueba el archivo .htaccess (2 pasos)

El ataque de texto autogenerado redirige a los visitantes de tu sitio web usando el archivo .htaccess.

Paso 1

Busca el archivo .htaccess en tu sitio web. Si no estás seguro de dónde encontrarlo y utilizas un sistema de gestión de contenido, como WordPress, Joomla! o Drupal, busca "ubicación de archivo .htaccess" y el nombre del sistema que uses en un motor de búsqueda. Dependiendo de tu sitio web, es posible que tengas varios archivos .htaccess, por lo que te recomendamos que elabores una lista de todas sus ubicaciones.

Nota: El archivo .htaccess suele ser un "archivo oculto". Asegúrate de habilitar la visualización de archivos ocultos cuando lo busques.

Paso 2

Sustituye todos los archivos .htaccess por una versión limpia o predeterminada del archivo. Para encontrar una versión predeterminada, busca "archivo .htaccess predeterminado" y el nombre de tu sistema de gestión de contenido. En el caso de los sitios web con varios archivos de este tipo, busca una versión limpia de cada uno de ellos y sustitúyelos.

Si no hay ningún .htaccess predeterminado y nunca has configurado uno en tu sitio web, es probable que el que encuentres sea malicioso. Guarda una copia sin conexión de los archivos .htaccess por si acaso y elimínalos de tu sitio web.

Encontrar otros archivos maliciosos y eliminarlos (5 pasos)

Identificar los archivos maliciosos puede ser complicado y llevar varias horas, así que tómate tu tiempo. Haz una copia de seguridad de los archivos de tu sitio web, si aún no lo has hecho; para obtener instrucciones, busca "hacer una copia de seguridad de un sitio web" y el nombre de tu CMS en Google.

Paso 1

Si utilizas un sistema de gestión de contenido, vuelve a instalar todos los archivos principales de la distribución predeterminada de tu CMS; de este modo, te aseguras de que estos archivos no tengan contenido pirateado. Para consultar cómo volver a instalar tu CMS, busca "volver a instalar" y el nombre del CMS en Google. Si tienes algún complemento, módulo, extensión o tema, asegúrate de volver a instalarlos.

Si vuelves a instalar los archivos principales, es posible que pierdas las funciones que hayas personalizado, por lo que te recomendamos que hagas una copia de seguridad de tu base de datos y de todos los archivos antes de empezar.

Paso 2

Ahora debes buscar los archivos que queden que sean maliciosos o que se hayan vulnerado. Esta es la parte más complicada del proceso y lleva mucho tiempo; sin embargo, al terminarla, prácticamente habrás acabado.

Este ataque normalmente deja dos tipos de archivos: .txt y .php. Los archivos .txt son plantillas, mientras que los archivos .php determinan el tipo de contenido sin sentido que se cargará en tu sitio web. En primer lugar, busca los archivos .txt; debería haber algún tipo de funcionalidad de búsqueda de archivos, en función del modo en que te conectes a tu sitio web. Busca ".txt" para extraer todos los archivos con esta extensión; la mayoría serán archivos de texto auténticos, como acuerdos de licencia y archivos léeme, entre otros. En los resultados, busca archivos .txt concretos que contengan código HTML que utilicen para crear plantillas con contenido fraudulento. Más adelante te mostramos diferentes fragmentos de código que se pueden encontrar en estos archivos .txt maliciosos.

Los hackers sustituyen palabras clave para crear páginas con contenido fraudulento. Lo más probable es que veas alguna palabra genérica que se puede reemplazar en todo el archivo pirateado.

  <title>{keyword}</title>
  <meta name="description" content="{keyword}" />
  <meta name="keywords" content="{keyword}" />
  <meta property="og:title" content="{keyword}" />

Además, la mayoría de estos archivos contienen algún tipo de código que coloca enlaces y texto con contenido fraudulento en las partes no visibles de la página.

  <div style="position: absolute; top: -1000px; left: -1000px;">
  Cheap prescription drugs
  </div>

Elimina estos archivos .txt. Si se encuentran todos en la misma carpeta, puedes eliminarla entera.

Paso 3

Los archivos PHP maliciosos son más difíciles de localizar. Podría haber varios archivos PHP maliciosos en tu sitio web; todos en el mismo subdirectorio o en diferentes lugares.

No te preocupes pensando que debes abrir y mirar todos los archivos PHP: primero, crea una lista con los archivos PHP sospechosos que quieras investigar. Puedes determinar qué archivos PHP resultan sospechosos de las siguientes maneras:

  • Ya has vuelto a cargar los archivos del CMS, por lo que solo debes comprobar los archivos que no formen parte de sus carpetas o archivos predeterminados. De este modo, se eliminan muchos archivos PHP y solo tendrás que revisar un número reducido.
  • Ordena los archivos de tu sitio web por la fecha de la última modificación. Busca archivos que se hayan modificado durante los meses previos a haber descubierto que te habían pirateado el sitio web.
  • Ordena los archivos de tu sitio web por tamaño. Busca archivos que sean más grandes de lo habitual.

Paso 4

Ahora que tienes una lista de archivos PHP sospechosos, tienes que comprobar si son normales o maliciosos. Si no estás familiarizado con PHP, este proceso durará más tiempo, por lo que te recomendamos que repases la documentación de PHP. Aunque no sepas nada de programación, hay algunos patrones básicos que puedes buscar para identificar archivos maliciosos.

En primer lugar, examina los archivos sospechosos que ya hayas identificado para buscar bloques de texto de letras y números sin orden aparente. Estos bloques suelen ir precedidos de una combinación de funciones PHP, como base64_decode, rot13, eval, strrev y gzinflate. A continuación, te mostramos un ejemplo del aspecto que podría tener el bloque de código. A veces, todo este código se incluye en una larga línea de texto, por lo que puede parecer más pequeño de lo que realmente es:

<!--Hackers try to confuse webmasters by encoding malicious code into blocks
of texts. Be wary of unfamiliar code blocks like this.-->

base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0VnZgk
nbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2chVmcnBydv
JGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2blRGI5xWZ0Fmb
1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah1GIvRHIzlGa0B
SZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch1GIlR2bjBCZlRXY
jNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));

En algunas ocasiones, el código no es confuso y tiene el aspecto de una secuencia de comandos normal. Si no estás seguro de si el código es malicioso, visita nuestros foros de ayuda para webmasters, en los que un grupo de webmasters con experiencia puede ayudarte a examinarlos.

Paso 5

Una vez que hayas identificado los archivos sospechosos, haz una copia de seguridad o una copia local en tu ordenador para poder recuperarlos si no son maliciosos y elimínalos.

Comprueba que el sitio web esté limpio

Una vez que hayas terminado de deshacerte de los archivos pirateados, comprueba si el esfuerzo ha valido la pena. Vuelve a utilizar la herramienta Explorar como Google en las páginas de texto autogenerado para verificar que ya no existan. Si la herramienta devuelve el resultado "No se encuentra", lo más probable es que se haya solucionado el problema.

También puedes seguir los pasos que se describen en la Herramienta de recuperación de sitios web atacados para comprobar si todavía hay contenido pirateado en tu sitio web.

¿Cómo puedo evitar que vuelvan a piratear mi sitio web?

Corregir las vulnerabilidades de tu sitio web es un último paso fundamental para solucionar el problema. Un estudio reciente ha descubierto que el 20% de los sitios web pirateados vuelven a recibir un ataque al cabo de menos de un día. Resulta muy útil saber exactamente cómo se pirateó el sitio web, por lo que te recomendamos que leas nuestra guía sobre las formas más habituales en que los spammers piratean los sitios web para empezar a investigar. No obstante, si no consigues averiguar cómo se ha pirateado tu sitio web, a continuación encontrarás una lista de comprobación con cosas que puedes hacer para reducir su vulnerabilidad:

  • Examina periódicamente el ordenador: usa cualquier antivirus popular para comprobar que no haya virus o vulnerabilidades.
  • Cambia las contraseñas con frecuencia: cambiar regularmente las contraseñas de todas las cuentas de tu sitio web, como las de tu proveedor de alojamiento, FTP y CMS, puede evitar que se acceda sin permiso a él. Es fundamental que cada cuenta disponga de una contraseña única y segura.
  • Utiliza la autenticación de doble factor (A2F): te recomendamos que habilites la A2F en todos los servicios en los que sea necesario iniciar sesión, ya que este método dificulta que los hackers puedan acceder aunque roben tu contraseña.
  • Actualiza tu CMS, complementos, extensiones y módulos con frecuencia: esperamos que ya hayas seguido este paso. Se piratean muchos sitios web porque su software está obsoleto. Algunos CMS admiten actualizaciones automáticas.
  • Te recomendamos que te suscribas a un servicio de seguridad para controlar tu sitio web: existen muchos servicios de calidad y económicos que puedes usar para controlar tu sitio web. Regístrate en alguno de ellos para mantener tu sitio web seguro.

Recursos adicionales

Si todavía tienes problemas para arreglar tu sitio web, hay más recursos que podrían ayudarte.

Las herramientas que aparecen a continuación analizan sitios web y pueden encontrar contenido problemático; sin embargo, Google no es compatible con ninguna de ellas ni puede ejecutarlas, con la excepción de VirusTotal.

VirusTotal, Aw-snap.info, Sucuri Site Check, Quttera: son solo algunas herramientas que pueden analizar tu sitio web en busca de contenido que pueda suponer un problema; no obstante, no se garantiza que puedan identificar todos los tipos de contenido problemático.

A continuación te mostramos más recursos de Google que pueden resultarte útiles:

Si crees que falta alguna herramienta que podría ser útil, envíanos un comentario.