Eliminar Gumblar cn de tu sitio web
Antes de ayer abrí mi página de anuncios y tiendas virtuales gratis con el google Chrome y me dí con la sorpresa que estaba infectado con Gumblar, me enteré que es un código javascript que se inyecta automáticamente en los archivos *.php,*.js y *.html que se hallan relacionados o son incluidos en un archivo infectado.
No se realmente cómo ocurre la infección. Pero he reunidos algunos datos que espero te ayuden a combatir a este bicho.
DESCRIPCIÓN
1. Las páginas infectadas tienen en alguna parte un código parecido a este:
“(function(jil){var xR5p=’%';eval(unescape((’var”20a”3d”22Sc”72iptEngin”65″…”69ld”22″2bb”2b”22j”3b”22)”3bdocu”6de”6e”74″2ewr”69″
…”7d’).replace(jil,xR5p)))})(/”/g);”
2. Cada sitio infectado tiene su propia versión modificado de código.Sin embargo se puede identificar por la forma cómo empieza el código de Gumblar cn.
Comienza con “(function(“ .
La funcion no tiene nombre. Se invoca así misma.
El código está codificado. Por ejemplo puedes hallar: “…20a.3d.22Sc.72iptEngin.65…“, “…~76ar~20a~3d~22Scr~69~70~74En~67~69ne…“, “…v_61_72_20_61_3d_22_53_63rip_74E_6e…“
Cerca al final hay un código que dice “.replace(” function
3. Cuando el script es ejecutado cada vez alguien visita el sitio, otro script se carga y ejecuta desde “gumblar . cn/rss/”.
4. El código suele estar antes del tag BODY.
5. A veces se halla en iframes maliciosos. Así que es probable que use la misma técnica de infección.
6. Se inyecta en los archivos .js (JavaScript). Usualmente al final, al pié.
7. Talvez sea sólo concidencia pero el 95% de los sitios infectados usaban PHP. El mío también lo usa.
8. Este exploit no usa ningun tipo de vulnerabilidad. Fue en contrado en phpBB, SMF y foros vBulletin , en WordPress 2.7.1 y sitios en PHP.
PARA ELIMINAR GUMBLAR
Por lo general este exploit es causado por cuentas FTP explotadas, así que empieza por tu propia compu. Pásale un antispyware. La gente recomienda Malwarebytes.
Luego cambia tus passwords de tus FTP, desde una computadora no infectada.
Procura no guardar la contraseña en los programas cliente de FTP.
Cuando sea posible usa conexiones seguras. I.e. usa SFTP en lugar de FTP. Muchos planes de hosting compartido usan SFTP.
Finalmente, remueve manualmente el código de los archivos infectados (.html, .php, .js, etc.). La forma más fácil es volver a subir los archivos originales al servidor.
En la carpeta images, se suele crear un archivo de nombre image.php, también suele cambiar los permisos concedidos a tu carpeta principal en el servidor. Suele alterar el archivo .htaccess,
Si tienes más datos o comentarios por favor, postéalos aqui debajo.
Yo tambien llevo una temporada infectado con este virus. Tengo una sección que he conseguido limpiarla subiendola nuevamente y poniendo los permisos a los archivos index.php y index.html principalmente con chmod para que no se pueda escribir, he leido que es una forma rápida de lo que se puede hacer, puesto que sin los permisos no puede escribir. Desde entonces en esa sección no ha vuelto a salir el aviso que sale con el antivirus, sin imbargo en el foro, el cual es vbulletin no soy capaz, practicamente antes de ayer he borrado todos los archivos del server y he vuelto a subirlos pero aún asi, sigue saliendo, es posible que haya quedado algo en esos archivos que no llegue a borrar por miedo de chafar algo y no lo haya eliminado. tendre que intentar borrarlo todo a ver que pasa
Hola Bueno men segui las instrucciones que das para eliminar al gumblar pero nada que ver, consegui el archivo image.php en la carpeta de imagen de mi cuenta FTP lo elimine pero Google Chrome me sigue diciendo que mi sitio web esta infectado la verdad no se qeu hacer please. necesito ayuda urgenete
Muchas gracias por la información.
Lamentablemente soy uno de los infectados
#
Hola,
Mi sitio web ha sido infectado con gumblar.
Efectivamente image.php se encontraba alojado en la carpeta images.
He eliminado por completo el web site
He cambiado la contraseña ftp desde un entorno seguro
He resubido el sitio web por completo.
google me informa que han analizado mi sitio web, y que ahora se encuentra limpio, en breve vuelven a indexarlo eliminando la advertencia de software malicioso.
Gracias por la recomendación sobre como eliminar gumblar.
Pd: la infección se lleva a cabo mediante infección local, se infecta la maquina, te explota la cuenta ftp y se sube automaticamente al server.
La solucion para el problema
esta aca
http://www.pandoraz.com.ar/seguridad/nueva-infeccion-virus-gumblarcnexploit/
Un consejo Reinicien su web y hagan un backup Y cargen su web quiten codigo malicioso manual
Cambien la contraseña de el ftp
Y Listo
Pretty cool post. I just stumbled upon your blog and wanted to say
that I have really liked reading your blog posts. Anyway
I’ll be subscribing to your blog and I hope you post again soon!
[...] algo similar a lo que me ha sucedido a mí ocurre con el virus gumblar http://www.seostudioperu.com/marketingblog/2009/05/eliminar-gumblar-cn-de-tus-archivos/ [...]
Buenas
Antes que nada queria agradecer a la gente que administra este maravilloso lugar por que desde que
lo he descubierto me ha ayudado bastante, siempre
encuentro lo que busco y es bastante interesante, seguir asi por favor siempre con este nivel Muchas Gracias !
Ahora es el turno de mi pregunta, algui’en sabe donde puedo ver los partidos de La Liga BBVA por internet y si es posible de forma gratuita ?
yo solo conozco una pagina que es la que pongo a continuacion a ver que opinais, gracias de antemano.
[url=http://miralaligagratis.blogspot.com] Mira La Liga BBVA por Internet [/url]