Segue abaixo os principais motivos para que este tipo de problema estar ocorrendo, e necessario ir eliminandoa s possibilidades para corrigir o problema definitivamente:
Possibilidade 1 :- Virus / Malware na maquina que possui arquivos do site ou FTP
Existe um tipo de virus que apos instalado em sua maquina procura por todos os arquivos de internet (.html .php .asp)existentes na maquina e efetua esta alteracao, a alteracao e tipos de arquivos afetados varia de acordo com o tipo de virus.
o usuario geralmente nao percebe a atuacao deste virus uma vez que na maquina local ele simplesmente procura por arquivos de internet e faz esta alteracao
quando o usuario envia arquivos para seu site entao estes arquivos sao enviados com este codigo, entao os visitantes do site acabam por expor-se a atuacao do virus tambem caso nao possuam um antivirus instalado na maquina.
para solucionar:
- baixe um bom antivirus e limpe por completo a sua maquina,se nao possuir um antivirus pago, recomendo que utilize um gratuito de sua preferencia e tambem o malwarebytes,(www.malwarebytes.com)
- entre na pasta aonde estao os arquivos do site e edite um a um procurando por este codigo e reparando os arquivos
- envie os arquivos novamente para o site
nota: somente remover o virus do computador geralmente nao repara os arquivos de internet ja infectados, tera de fazer esta desinfeccao arquivo por arquivo.
Possibilidade 2 :- Problemas de programacao
Este tipo de invasao tem como principal caracteristia a inserssao de paginas alheias ao site, alguns dos motivos para isto estar ocorrendo:
Se o seu site utiliza scripts em ASP, PHP, ASP.NET, etc, o mesmo pode esta permitindo a execucao de codigos maliciosos por invasores, neste caso o problema sera mais complicado de se resolver pois tera de :
- encontrar o codigo vulveravel e corrigir-lo, na sequencia, caso utilize scripts prontos como wordpress, joomla, etc. atualize os mesmos para a versao mais recente e sempre mantenha atualizado, faca os mesmos com os componentes / plug-ins.
- e comun quando o programador faz a propria area administrativa, dentro desta existir rotinas para upload de conteudo (fotos, arquivos pdf, etc.) geralmente a invasao utiliza esta rotina para se instalar no site, pois geralmente esta rotina de upload nao verifica a extenssao do arquivo que esta sendo enviado para o site nem se o usuario esta logado ou possui permissao para efetuar o upload, pois ela recebe os parametros por POST e faz o upload de conteudo para o site sem efetuar criticas, por nao checar a extenssao ou se o usuario esta logado / possui permissao para upload para um invasor basta efetuar um POST na rotina de upload e pronto manda o que desejar para dentro do site, depois disto fica facil fazer o que bem desejar no site, portanto cheque especialmente todas as rotinas de upload se elas checam o usuario antes do upload e se elas filtram o conteudo bloqueando extenssoes nao permitidas.
- Scripts como joomla e wordpress geralmente existem inumeros plug-ins e templates disponiveis, neste ambiente existem aqueles pagos e aqueles gratuitos, pode ocorrer de o programador do site ter baixado de um site de scripts piratas um destes scripts pagos hackeados para ser utilizado gratuitamente e ter instalado no site, porem junto com este ter aberto uma porta para o site ser invadido.
- Scripts abandonados que foram instalados para um teste e que posteriormente por algum motivo tenham sido deixados de lado, mas permanecem nas pastas do site permitindo que invasores se aproveitem do codigo vulneravel neste script para enviar scripts que iram permitir abrir o site inteiro para invasao.
- vasculhar por todas as pastas do site a existentencia de arquivos desconhecidos, pois o invasor pode deixar scripts para uma nova invasao posterior.
Possibilidade 3 :-Roubo de senha de FTP
Alguns virus ou malwares , podem roubar senhas como as de banco, as de smtp e as de ftp, portanto o invasor pode ter consseguido a senha de ftp do site entre outras, e estar utilizando ela para alterar os arquivos do site. neste caso devera:
- utilizar um bom anti-virus para verificar TODAS as maquinas que possuem acesso ftp ao site, reforce a verificacao usando o malwarebytres (
www.malwarebytes.com);
- trocar todas as senhas do site smtp, painel, ftp, area administrativa, etc.
- vasculhar por todas as pastas do site a existentencia de arquivos desconhecidos, pois o invasor pode deixar scripts para uma nova invasao posterior.
Possibilidade 4 :- Noticia postada com virus
Esta possibilidade na realidade e quase o mesmo da possibilidade 1, porem com um importante diferencial o codigo malicioso (virus) esta gravado no banco de dados, isto pode ocorrer com sites que gravam noticias ou conteudos como a descricao de um produto no formato html dentro do banco de dados, ocorre que muitas vezes o texto e elaborado na maquina local de quem esta atualizando o site, ao gravar o texto se esta maquina estiver infectada com um malware/virus o html e imediatamente alterado e inserido o codigo malicioso em seu contexto, ocorre que quando o texto e novamente aberto para ser copiado e colado na area administrativa do site, ja e colado com este codigo malicioso, assim sendo o cogido esta gravado junto ao html de uma noticia, produto dentro do bando de dados e nao esta necessariamente gravado nos arquivos do site.
Possibilidade 5 :- Templates com codigo malicioso
Com a expanssao de utilizacao do wordpress, joomla, magento, etc. como base para sites, vem aumentando a procura por templates, porem aquelas mais sofisticadas sao geralmente pagas, o que leva webmasters a procurarem por downloads alternaivos destas templates, e ai que esta o problema,Geralmente quem disponibiliza estas templates insere codigos maliciosos que permitira atacar o site quando estas estiverem em uso.
A insercao pode ser por um metodo simples a partir de um arquivo com o nome disfarcado que sugere ser parte da template mas que na realidade pode ser utilizado para invadir o site, por um metodo intermediario bastante usado que insere o codigo malicioso criptografado entre o codigo original php da template, ou por um metodo avancado que vem sendo muito utilizado ultimamente trata-se de gravar um codigo malicioso como o nome de uma imagem (geralmente com o nome social.png) e depois fazer um include no codigo php o que leva o codigo de invasao a ser completamente desapercebido ate mesmo por programadores experientes, pois tecnicamente ninguem desconfiaria de uma imagem.
Apos efetuar a remoicao de virus de sua pagina web, o alerta de virus nao ira sumir automaticamente sera necessario acessar o google web master tools e solicitar a revisao do site
(em ingles)
