May
16
2009

Devirusarea

Dupa 10 ore de nervi, dupa ce am reusit sa distrug un blog, am reusit sa scap de un virus nenorocit care umbla pe aici. Este vorba de JS:Redirector sau Malware Gumblar.cn

Ca tot am muncit atat, si mi-am smuls parul din cap de nervi, voi oferi solutia tuturor celor care se mai intalnesc cu el.

1 – In primul rand, trebuie devirusat calculatorul administratorului site-ului (am folosit Avast, updatat la zi – singurul care detecteaza acest virus).

2 – Schimbarea parolei la FTP, de preferinta pe un calculator nevirusat.

3 – Fiind logat ca root pe serverul ce contine site-ul veti copia si veti rula scriptul pentru a scana dracia:

  • wget http://www.securehost.co.il/yonatan/checkmysites.sh.gz sau

wget http://www.xcc.ro/checkmysites.sh.gz

  • gunzip checkmysites.sh.gz
  • sh checkmysites.sh

4 – Daca ati rulat corect acest script, veti primi mesajul “Hello $USER , i am going to scan your files!”, veti astepta, si apoi va va arata fisierele infectate cu acest exploit.

5 – Fisierele PHP, HTML, JAVA infectate vor trebui inlocuite. Acestea contin un cod la inceputul fisierului (ex: “(function(“ sau <?php if(!function_exists('tmp_lkojfghx'))".

6 – Daca nu doriti inlocuirea lor va trebui sters manual fiecare rand ce contine codul (mai putin fisierele .js unde nu l-am descoperit)

7 – In unele cazuri, virusul mai creaza fisiere image.php care nu contin decat acel cod. Pentru a preveni infectarea din nou cu acest virus, in loc sa stergeti acest fisier, puteti sa-l lasati gol (0 bytes) si sa schimbati permisiunile la 400 (CHMOD 400)

Pentru alte intrebari legat de Gumblar.cn JS:Redirector [trj] feel free and ask.

2 Comments

:) :( :d :"> :(( \:d/ :x 8-| /:) :o :-? :-" :-w ;) [-( :)>- toate »

  • Sigur stiu despre ce blog vorbesti :(( :((

    Comment | May 20, 2009
  • Dar tu nu ai back-upuri? E cea mai rapida cale, si apoi scanezi sa vezi, am avut si eu necazuri de genul asta, am concurenti care recurg la tot felul de tehnici murdare

    Comment | January 5, 2011

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.

Powered by XCC Media Iasi. WordPressTheme: TheBuckmaker. Lautaru`s Media 2008