 |
Bienvenido a nuestro blog. Suscribirse
Audiencia:
Buscar
Protección contra el virus GumblarLas últimas semanas un Malware/Virus de nombre “Gumblar” ha estado ganando inercia y generando infecciones mediante inyecciones de código malicioso en sitios Web. Según ScanSafe han detectado incrementos de la cantidad de dominios infectados de un ~66% diario y hasta un ~180% entre semanas durante Mayo. Qué hace este Virus ? El código de Gumblar tiene como objetivo modificar las páginas de resultados de búsquedas en Google de los usuarios infectados, reemplazando los links por enlaces a más código malicioso. Adicionalmente, roba los datos de usuario / clave FTP existentes en la pc para continuar propagando la infección, y abre una conexión de control contra un tercero que potencialmente da acceso a ciertos controles sobre la pc infectada sin conocimiento del usuario, para armado de Botnets. Mi sitio está infectado / Google me marca como sitio con contenido Malicioso! El virus no se propaga via XSS, sino modificando archivos via FTP a través de datos de usuario/clave obtenidos con el malware. Si tu PC o cualquier PC con acceso FTP a tu sitio está (o estuvo) infectada, estás en riesgo de sufrir una inyección de código. Si tu sitio está infectado, podés limpiarlo de la siguiente forma: 1. Manualmente: Eliminar las etiquetas de <SCRIPT> … </SCRIPT> con el código malicioso de todos tus archivos .htm, .php, .asp, etc. Aquí hay indicaciones de como identificarlo en concreto (en inglés), aunque cualquier Webmaster con conocimientos de HTML puede detectarlo fácilmente con solo mirar el código HTML. 2. Automáticamente: Restaurar el sitio a una versión no infectada utilizando la herramienta de SnapShots del Panel de Control. Si el sitio fue infectado en los últimos 10 días, vas a tener una copia sana de tus datos. 3. Subir nuevamente el sitio: Desde una copia local del mismo. Pero ojo! Si el sitio está infectado es muy probable que sea tu misma pc (o la de tu diseñador) que infecte los archivos al subirlos. Una vez actualizados los contenidos te recomendamos analizar el sitio con esta aplicación, para confirmar que no hay más infección a la vista. También ejecutá un antivirus, lo más actualizado posible, sobre tu pc. Recomendamos utilizar el Malwarebytes que detecta este virus. Y más importante aún, cambiar todas las claves de acceso FTP a tu sitio. Ya sea que las tengas en tu PC o en las de un tercero, las claves son enviadas por el virus a desconocidos que luego hacen las modificaciones. Por más que tu PC ya esté limpia, seguís en riesgo de infección hasta tanto no cambies tus claves de FTP. Si la infección es reciente, podés ver los registros de acceso FTP desde tu Panel de Control para ver exactamente desde dónde, con qué usuario y qué archivos fueron modificados. Ya dejaron 10 opiniones sobre esta nota:ELSERVER SRL no se responsabiliza por las opiniones vertidas en el presente blog sobre personas físicas o jurídicas, siendo las mismas exclusiva responsabilidad de quien las vierte. Asimismo las opiniones dadas por los usuarios del blog no reflejan necesariamente la opinión de ELSERVER SRL. Trackback URI | Seguir comentarios vía RSS Dejá tu opinión!
|
 |
Protección contra el virus Gumblar…
Las últimas semanas un Malware/Virus de nombre “Gumblar” ha estado ganando inercia y generando infecciones mediante inyecciones de código malicioso en sitios Web.
Según ScanSafe han detectado incrementos de la cantidad de dominios infectados …
Muy buena la información.
Hace unos días se infectó uno de mis sitios punque modifiqué todo el html, y que google y unmaskparasites ya me lo identificó como limpio, cuando cargo el index, en la barra inferior del navegador en un momento se ve que dice “resolviendo la dirección gumblar.cn”, asi que nose…
otro dato que también cabe destacar es que también se agregan los archivos image.php y otro script php que no recuerdo el nombre.
Saludos!
Me agarro e infecto todos mis sitios, el gusano/virus solo lo pude sacar con el programa Malwarebytes . Es un bicho muy jodido, por lo q lei ataca usando un exploit del Acrobat reader.. es de lo pior, guarda.
Google me flageo todas los sites como peligrosos, un desastre.
Una consulta, cómo me doy cuenta que mis sitios están infectados con el virus?
Hola: Mi sitio fue infectado con Gumblar hace unos dias y les cuento mi experiencia.
Como se manifestó?
Con Firefox 3.5 aparecia un bloqueo de Google con un popup rojo, calificando al sitio de malicioso.
Con IE me dejaba entrar directamente pero se veian errores en todo el sitio.
Viendo el codigo fuente apareció en todos los casos este codigo que es la infeccion propiamente dicha:
Donde aparecia este codigo?
Fundamentalmente en todos los archivos “index”, “home”, “default”, “main”, etc, siempre a continuacion de .
Mi sitio tiene includes en php con funciones, en esos archivos aparecio el codigo siempre al final de las funciones, no dentro de ellas.
Como lo solucioné?
1. Limpié todo el sitio local que tuviera ese codigo.
2. Scanee mi maquina con antivirus y Spybot.
3. Cambie la contraseña del FTP principal y suspendi el acceso FTP que algunos socios tienen para actualizar partes del sitio, hasta que cada uno haga la verificacion en su PC.
4. Reemplace el sitio remoto (infectado) por el local.
5. Entre en “Herramientas para Webmasters” de Google y pedi una nueva verificacion de mi sitio para que eliminen la calificacion de malicioso. A las pocas horas estuvo todo resuelto.
Hasta ahora no volvio a aparecer nada extraño.
Espero que les pueda servir mi comentario.
Miguel
En mi comentario anterio no aparece el codigo de la infeccion pero les cuento que es una “iframe” redireccionada al sitio malicioso, facilmente identificable en el codigo.
Miguel
Buenas, este fin de semana tuve el mismo problema, justamente con un virus como el que comenta Miguel que utiliza iframes para infectar los sitios.
Me gustaría saber si alguien sabe en concreto con que herramienta sacarlo o detectarlo para quedarme totalmente seguro de que ya lo eliminé de mi pc.
Saludos y gracias
Ya debe ser la decima vez que tengo q eliminar estos iframes. Realmente es insoportable. Alguien sabe como evitarlos? Es un tema del server.com? Saludos!
La semana pasada uno de los sitios que administro fue atacado por este virus. Siguiendo los pasos detallados en este blog, aparentemente he solucionado el problema.
Pero me gustaría recomendarle a la gente del Soporte de ElServer que puedan ver si se puede aplicar algo a nivel servidor para que esto no vuelva a suceder.
Estuve buscando información y encontré este Script que es FREEWARE.
http://anti-gumblar.oxio.net/
¿Pueden chequear si sirve para este asunto?
Gracias,
Saludos Cordiales,
Ezequiel.-
Queria saber si alguien conoce algun script para colocar en el codigo fuente que no permita ser modificado el mismo. Ya que tengo este problema de que se me introducen en mis sitios web scripts maliciosos. Si alguien puede ayudar eternamente agradecido.