Lautaru`s Blog

Dupa 10 ore de nervi, dupa ce am reusit sa distrug un blog, am reusit sa scap de un virus nenorocit care umbla pe aici. Este vorba de JS:Redirector sau Malware Gumblar.cn

Ca tot am muncit atat, si mi-am smuls parul din cap de nervi, voi oferi solutia tuturor celor care se mai intalnesc cu el.

1 – In primul rand, trebuie devirusat calculatorul administratorului site-ului (am folosit Avast, updatat la zi – singurul care detecteaza acest virus).

2 – Schimbarea parolei la FTP, de preferinta pe un calculator nevirusat.

3 – Fiind logat ca root pe serverul ce contine site-ul veti copia si veti rula scriptul pentru a scana dracia:

• wget http://www.securehost.co.il/yonatan/checkmysites.sh.gz sau

wget http://www.xcc.ro/checkmysites.sh.gz

• gunzip checkmysites.sh.gz
• sh checkmysites.sh

4 – Daca ati rulat corect acest script, veti primi mesajul “Hello $USER , i am going to scan your files!”, veti astepta, si apoi va va arata fisierele infectate cu acest exploit.

5 – Fisierele PHP, HTML, JAVA infectate vor trebui inlocuite. Acestea contin un cod la inceputul fisierului (ex: “(function(“ sau “<?php if(!function_exists('tmp_lkojfghx'))".

6 – Daca nu doriti inlocuirea lor va trebui sters manual fiecare rand ce contine codul (mai putin fisierele .js unde nu l-am descoperit)

7 – In unele cazuri, virusul mai creaza fisiere image.php care nu contin decat acel cod. Pentru a preveni infectarea din nou cu acest virus, in loc sa stergeti acest fisier, puteti sa-l lasati gol (0 bytes) si sa schimbati permisiunile la 400 (CHMOD 400)

Pentru alte intrebari legat de Gumblar.cn JS:Redirector [trj] feel free and ask.