Devirusarea
Dupa 10 ore de nervi, dupa ce am reusit sa distrug un blog, am reusit sa scap de un virus nenorocit care umbla pe aici. Este vorba de JS:Redirector sau Malware Gumblar.cn
Ca tot am muncit atat, si mi-am smuls parul din cap de nervi, voi oferi solutia tuturor celor care se mai intalnesc cu el.
1 – In primul rand, trebuie devirusat calculatorul administratorului site-ului (am folosit Avast, updatat la zi – singurul care detecteaza acest virus).
2 – Schimbarea parolei la FTP, de preferinta pe un calculator nevirusat.
3 – Fiind logat ca root pe serverul ce contine site-ul veti copia si veti rula scriptul pentru a scana dracia:
- wget http://www.securehost.co.il/yonatan/checkmysites.sh.gz sau
wget http://www.xcc.ro/checkmysites.sh.gz
- gunzip checkmysites.sh.gz
- sh checkmysites.sh
4 – Daca ati rulat corect acest script, veti primi mesajul “Hello $USER , i am going to scan your files!”, veti astepta, si apoi va va arata fisierele infectate cu acest exploit.
5 – Fisierele PHP, HTML, JAVA infectate vor trebui inlocuite. Acestea contin un cod la inceputul fisierului (ex: “(function(“ sau “<?php if(!function_exists('tmp_lkojfghx'))".
6 – Daca nu doriti inlocuirea lor va trebui sters manual fiecare rand ce contine codul (mai putin fisierele .js unde nu l-am descoperit)
7 – In unele cazuri, virusul mai creaza fisiere image.php care nu contin decat acel cod. Pentru a preveni infectarea din nou cu acest virus, in loc sa stergeti acest fisier, puteti sa-l lasati gol (0 bytes) si sa schimbati permisiunile la 400 (CHMOD 400)
Pentru alte intrebari legat de Gumblar.cn JS:Redirector [trj] feel free and ask.
1 Comment »
![:)]](http://www.lautaru.net/wp-content/plugins/ym_smilies/images/yahoo_onphone.gif ":)]"){kind=small}
![:-\](http://www.lautaru.net/wp-content/plugins/ym_smilies/images/yahoo_question.gif ":-\"){kind=small}
RSS feed for comments on this post. TrackBack URL
Sigur stiu despre ce blog vorbesti
