viernes, 15 de mayo de 2009

Mi amigo gumblar, posibles soluciones

Pues sí, gumblar ha tirado mi web, mira qué suerte!!! ahora puedo renovarla entera y a mi gusto, que seguro que algo habrá cambiado desde la última vez. Además me ha permitido maldecir bastante a sus creadores, y dedicarles algunas de las palabras más gruesas que habitualmente quedan guardadas por mantener la compostura.

Así que bueno, desearles un feliz año y necesidades abundantes de hemoal.

Por la red he encontrado esta información sobre el virus, por si a alguien puede servirle de ayuda

(extraído de http://www.pandoraz.com.ar/seguridad/nueva-infeccion-virus-gumblarcnexploit/)

Nueva Infeccion Virus gumblar.cn (exploit)

Al parecer esta nueva amenaza a comenzado a infectar sitios web, se llama gumblar.cn, y que lo diferencia de otros? que se aloja en sitios confiables para que el usuario lo descarge sin darse cuenta, hasta el momento el unico en detectarlo es el google Chrome y en relacion a antivirus el kaspersky y el Avast lo detectan .
Detalles de su funcionamiento luego de hablar con los administradores de 3 sitios infectados. El malware lo que hace es crear dentro de images(carpeta) un archivo llamado images.php y modificar el .htacces con este lo que hace es subir los archivos al sitio del ftp.

Es un exploit extremandamente peligroso hasta el momento lleva mas de 800 sitios infectados, y cual es la solucion en caso de que infecte nuestro sitio es tener un back up y poder restaurarlo lo antes posible.
kaspersky-detecta-gumblarcn
Aclaracion los detalles revelados aqui no son oficiales son segun la experiencia de cada administrador y pueden ser modificados.

En este link han encontrado la Solucion para desinfectar Nuestro sitio

http://www.seostudioperu.com/marketingblog/2009/05/eliminar-gumblar-cn-de-tus-archivos/

Actualizacion y Posible Solucion: EL webmaster Malstrom ha compartido con nosotros el archivo php.ini con el cual “podriamos” protejer nuestro sitio de este tipo de ataques, cabe destacar que es experimental esta configuracion. Gracias Malstrom por el fichero comentado
php.ini :

register_globals = 0
;Esto previene que se definan valores mediante la url.register_globals off
allow_url_fopen = 0
;no se
safe_mode = 0
;Habilita el modo seguro, con esto bloqueamos la mayoria de las caracteristicas de las “shell”
magic_quotes_gpc = 1
; Poniendola OFF, reemplaza las comillas simples y dobles del POST/GET/Cookie por barras (Slash)
file_uploads = 0
; Evita que se suban archivos desde PHP
disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open, proc_clse, dl
;Desactiva las funciones mas comunes que utilizan las shell PHP.
;Lo de abajo es experimental, para probar:
;memory_limit = 2M
;Con esto prevenimos que los script consuman mucha memoria que no necesita
;sql.safe_mode = 1
; Activa el modo seguro de SQL
;magic_quotes_runtime = 1
;Si magic_quotes_runtime está habilitado, la mayoría de funciones que devuelven datos de alguna clase de fuente externa, incluyendo bases de datos y archivos de texto, tendrán las comillas escapadas con barras invertidas