Que es el malware en el contexto del hosting web
El malware (software malicioso) en hosting web es codigo no autorizado que fue insertado en los archivos del sitio web o en la base de datos por un atacante. Una vez instalado, el malware puede realizar una amplia variedad de acciones daninas sin el conocimiento del propietario del sitio: redirigir a los visitantes a sitios fraudulentos, mostrar anuncios no autorizados, robar credenciales de usuarios, usar el servidor para enviar spam, atacar otros sitios web, o minar criptomonedas utilizando los recursos del servidor.
El malware generalmente llega al servidor a traves de vulnerabilidades en plugins o temas desactualizados, contrasenas debiles, acceso FTP comprometido, o vulnerabilidades en el codigo de la aplicacion web.
Tipos comunes de malware en sitios web
| Tipo | Que hace | Como se detecta |
|---|---|---|
| Backdoor | Crea un acceso oculto permanente al servidor | Archivos PHP desconocidos en carpetas de uploads |
| Redirect malicioso | Redirige a los visitantes a sitios de phishing o spam | El sitio redirige a URLs desconocidas |
| SEO spam | Inserta enlaces y paginas ocultas de spam para mejorar el ranking de otros sitios | Google indexa paginas de spam en el dominio |
| Phishing | Crea paginas falsas que imitan bancos u otras entidades | Google marca el sitio como sitio de phishing |
| Cryptominer | Usa los recursos del servidor para minar criptomonedas | Uso extremadamente alto de CPU sin razon aparente |
| Mailer | Usa el servidor para enviar spam masivamente | El proveedor suspende la cuenta por spam |
Como detectar malware en el servidor
Desde cPanel con ImunifyAV
- Acceder a cPanel y localizar ImunifyAV en la seccion de seguridad.
- Hacer clic en Scan para iniciar un escaneo completo de todos los archivos de la cuenta.
- Esperar a que el escaneo termine. El tiempo depende del numero de archivos.
- Revisar los archivos marcados como maliciosos en el reporte.
Revision manual de archivos sospechosos
Los archivos maliciosos frecuentemente contienen codigo ofuscado con funciones PHP como eval(), base64_decode() o gzinflate() encadenadas. Buscar patrones sospechosos desde SSH:
grep -r "eval(base64_decode" /home/usuario/public_html/ find /home/usuario/public_html/wp-content/uploads/ -name "*.php"
Como eliminar el malware
- Respaldar primero: Aunque el sitio este infectado, hacer un respaldo para tener una referencia.
- Usar ImunifyAV: Si la version Pro esta disponible, usar la opcion de limpieza automatica.
- Restaurar archivos del nucleo: Reemplazar los archivos del CMS (WordPress, Joomla, etc.) con una copia limpia oficial.
- Eliminar archivos PHP en uploads: La carpeta de subidas nunca debe contener archivos PHP ejecutables.
- Cambiar todas las contrasenas: cPanel, FTP, base de datos, usuarios del CMS.
- Revisar usuarios administradores: Eliminar cualquier usuario desconocido con privilegios elevados.
- Solicitar revision a Google: Si el dominio esta en lista negra, solicitarlo desde Google Search Console.
