Hemos tenido que eliminar recientemente este mallware con un comportamiento semejante a un virus de la página web de un cliente (realmente de una tienda virtual en Prestashop sin actualizar desde la versión 1.4.8.2) y compartimos con vosotros la manera más rápida y efectiva de eliminarlo. Si tu página web está infectada por otro virus o no sabes que ha infectado tu sitio web, en breve publicaremos otra guía más completa para eliminar la mayor parte del mallware que haya podido afectar a tu página web y/o tienda virtual, normalmente infectada a través de los equipos de los propios administradores o de inyecciones SQL.
Guía para eliminar el virus inyectado por "Ads by Coupon Drop Down"
Se trata de un virus que añade publicidad a tu contenido en diferentes zonas de tu página web o tienda virtual, como en títulos, productos, footer y texto, además añade banners publicitarios, en algunos casos con contenido sexual. Es importante limpiarlo debido no solo a la pérdida de usabilidad y confianza que produce en nuestros clientes, sino por la pérdida de posicionamiento orgánico que puede producirnos la no eliminación del script durante un tiempo prolongado.
LOCALIZACIÓN DEL SCRIPT
Normalmente deberías localizar el script que está produciendo el contenido o comportamiento no deseado en tu página web, no hace falta para este caso puest o que es:
<script src="http://cdncache3-a.akamaihd.net/loaders/1032/l.js?aoi=1311798366&pid=1032&zoneid=10368"></script>
ELIMINACIÓN DEL SCRIPT
Este script está alojado en varias tablas de la base de datos de tu sitio web, para eliminarlo existen 2 vías distintas, la segunda manera de hacerlo es la más rápida.
1.- A través de phpmyadmin
Es muy sencillo, se puede hacer manualmente (no aconsejable puesto que podría ser muy tedioso al tener que eliminar miles de líneas) o bien de manera automatizada.
UPDATE (nombre de la tabla afectada) SET (campo afectado) = REPLACE(campo afectado,'<script src="http://cdncache3-a.akamaihd.net/loaders/1032/l.js?aoi=1311798366&pid=1032&zoneid=10368"></script>,' ')
*Tendrás que hacer una consulta por cada una de las tablas y campos o columnas afectadas en tu base de datos, en este caso serían los campos description y description_short y las tablas creo recordar que eran ps_lang y ps_product_lang, no obstante las conocerás en la búsqueda que hiciste anteriormente.
1.- A través de código php (FTP)
Mediante php puedes acceder y modificar fácilmente bases de datos mysql, pero la mayoría de vosotros no tenéis ni idea, sino no estaríais leyendo este tutorial, por lo que vamos a usar un programa para eliminar todos los scripts en tan solo 2 minutos, existen varios pero con el programa "DATABASE SEARCH AND REPLACE SCRIPT IN PHP" que interconnect/it pone gratuitamente a nuestra disposición es muy sencillo:
LOCALIZACIÓN DEL SCRIPT
Normalmente deberías localizar el script que está produciendo el contenido o comportamiento no deseado en tu página web, no hace falta para este caso puest o que es:
<script src="http://cdncache3-a.akamaihd.net/loaders/1032/l.js?aoi=1311798366&pid=1032&zoneid=10368"></script>
ELIMINACIÓN DEL SCRIPT
Este script está alojado en varias tablas de la base de datos de tu sitio web, para eliminarlo existen 2 vías distintas, la segunda manera de hacerlo es la más rápida.
1.- A través de phpmyadmin
Es muy sencillo, se puede hacer manualmente (no aconsejable puesto que podría ser muy tedioso al tener que eliminar miles de líneas) o bien de manera automatizada.
- Entramos en phpmyadmin a través de nuestro servidor.
- Hacemos una búsqueda global del script para encontrar las tablas afectadas.
- Puedes eliminar los cientos o miles de entradas que has encontrado manualmente uno por uno o bien seguir los siguientes pasos.
- Hacemos una búsqueda y reemplazo en cada una de las tablas reemplazando el script por un espacio (no se puede dejar vacío el campo de reemplazar por).
- Sino funciona o no encuentras la manera de hacer lo propuesto en el punto anterior, deberás hacerlo a través de consultas sql:
UPDATE (nombre de la tabla afectada) SET (campo afectado) = REPLACE(campo afectado,'<script src="http://cdncache3-a.akamaihd.net/loaders/1032/l.js?aoi=1311798366&pid=1032&zoneid=10368"></script>,' ')
*Tendrás que hacer una consulta por cada una de las tablas y campos o columnas afectadas en tu base de datos, en este caso serían los campos description y description_short y las tablas creo recordar que eran ps_lang y ps_product_lang, no obstante las conocerás en la búsqueda que hiciste anteriormente.
1.- A través de código php (FTP)
Mediante php puedes acceder y modificar fácilmente bases de datos mysql, pero la mayoría de vosotros no tenéis ni idea, sino no estaríais leyendo este tutorial, por lo que vamos a usar un programa para eliminar todos los scripts en tan solo 2 minutos, existen varios pero con el programa "DATABASE SEARCH AND REPLACE SCRIPT IN PHP" que interconnect/it pone gratuitamente a nuestra disposición es muy sencillo:
PASOS A SEGUIR PARA ELIMINAR EL SCRIPT: 1.- Descarga el programa (version beta): 2.- Descomprime el archivo y cambia el nombre de la carpeta (search-replace-db-master) con el nombre que quieras, por ejemplo, /adiosvirus. 3.- Sube la carpeta al directorio raíz de tu sitio web a través del ftp o del gestor de archivos de tu hosting. 3.- Ejecuta el script, para ello deberás entrar en tu navegador e ir a la carpeta que se llama: "http://www.tudominio.com/adiosvirus/" o el nombre que le hayas puesto. 4.- Se abrirá la interfaz que ves a la izquierda, lógicamente en replace debéis poner el script completo y en with dejar un espacio. 5.- Rellenar los datos de la base de datos para que el script pueda acceder a ella, nombre, usuario, password y host y dejamos seleccionado todas las tablas. 6.- Damos a update details y después a dry run y esperamos a que termine. Una vez haya terminado nos dará un resumen del trabajo realizado. |
Por último, no olvidéis eliminar el script, es importante, si el botón delete no os funciona, simplemente eliminad la carpeta completa mediante el ftp o gestor de archivos.
MEDIDAS DE PREVENCIÓN ANTE NUEVOS ATAQUES
NO habéis terminado!!! ya tenéis el sitio limpio pero falta cambiar todas la contraseñas:
MEDIDAS DE PREVENCIÓN ANTE NUEVOS ATAQUES
NO habéis terminado!!! ya tenéis el sitio limpio pero falta cambiar todas la contraseñas:
- Contraseña de la base de datos, (no olvidéis cambiarlo también en /config/settings.inc.php en el caso de ser prestashop; wp_config.php en Wordpress y configuration.php en el caso de Joomla).
- Contraseña de acceso al backend o al administrador del CMS que estéis usando.
- Contraseña del FTP.
- Contraseña de acceso a vuestro sevidor.
- Es aconsejable limpiar vuestro equipo de posible mallware.
- Actualizar a la última versión disponible vuestro CMS, los temas y los plugins o módulos que estéis usando para minimizar los riesgos de sufrir nuevos ataques a través de fallos de seguridad conocidos.
- Es aconsejable instalar algún firewall en vuestro sitio web, aún más si no habéis podido actualizar vuestro CMS por algún motivo.