ATAQUE POR VULNERABILIDAD [SOLUCIONADO]

[junnecito]

Abrindo mi BO me di cuenta que en la parte izquirda baja de la pantalla, donde aparece la carga de la pagina, de pronto me aparece martuz.cn y luego vuelve al nmbre de mi dominio, buscando en google encontre lo que podres ver en el link que adjunto: http://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=martuzcn
Adjunto tambien pantallazo para que veais el link que se ve en la pagina.
Alguien tiene idea si es verdaderamente un ataque???
Espero vuestros comentarios.
Gracias

[Manuel Kan]

Hola
Si no me equivoco tu sitio puede estar infecatdo por un scrip malicioso llamado GUMBLAR y ese dominio (martuz.cn) que aparesce cuando la página de tu site se carga es el nuevo servidor de ese script.
Por lo general este exploit es causado por cuentas FTP explotadas, así que empieza por tu propia compu. Pásale un antispyware.
Luego cambia tus passwords de tus FTP, desde una computadora no infectada.
Finalmente, remueve manualmente el código de los archivos infectados (.html, .php, .js, etc.). La forma más fácil es volver a subir los archivos originales al servidor.
En la carpeta images, se suele crear un archivo de nombre image.php, también suele cambiar los permisos concedidos a tu carpeta principal en el servidor. Suele alterar el archivo .htaccess,
Saludos

[junnecito]

Hola Manuel y gracias, podrias decirme si el nod 32 es suficiente? me dices remover los codigos ,html, .php etc... como tengo que hacerlo???
como subo los originales??? de donde los consigo???
Si pudieras por favor darme un poco mas de explicaciones, no conozco programacion y esto me va a volver loco.
Agradeciendo de antemano tu ayuda.
Un saludo

[maguila]

This is how i`m removing at the moment

Removing Gumblar.cn

If you have a backup of your website upload over the old website, if not login with Dreamweaver etc and find and remove following,

• Any image folder containing image.php remove, only image folders nothing else
• Download(get) entire site and first do a search on entire site for unescape this malicious code is normally placed in the beginning of php and end of javascript pages, remove all instances
• Search again for iFrame src and any weird links remove, be careful just to remove the iframe links
• Download and install malware malbytes from here http://www.malwarebytes.org , update the software and run in safemode (press f8 on startup) and remove all malware
• Downloand and run avast or avg and execute a full virus scan and remove any viruses from you computer
• Update Adobe acrobat reader to version 9.1 download and install here http://get.adobe.com/uk/reader/ , malicious code has been know to use old versions of adobe
• Next login to your hosting account and change ftp password for your website, use symbols if possible
• Change ftp password in Dreamweaver etc
• Download Google Chrome to test your site, if it still has Gumblar.cn the browser will tell you. Get it here http://www.google.com/chrome

No veas el bicho que te a tocado : /

Si no sabes ingles avisa compañero.

un saludo y suerte

[junnecito]

La verdad es que en castellano seria mejor, estoy tan tocao y de tan mala leche que no consigo seguir los pasos.
No se por donde comenzar ni como hacer...
Muchas gracias maquilla.
Los Backups que tengo son los que hice con presta desde el BO y no se como recargarlos
dreamwever no tengo.
Estoy jodio... al final me tocara hacer todo desde el comienzo, joerrrrrrrrrrrrrr

[bucana]

Pasalé en superantispyware, y el avast, y este último cuando te diga si cuando reinicie hace escaneo dile sí. saludos

[bucana]

Ahí te van los dos enlaces para que te los bajes son gratuitos y seguro que te arreglan el problema:

http://www.avast.com/esp/download.html

www.superantispyware.com

De nada.

[junnecito]

Gracias bucana, estoy con el superantispyware, ya termino, ahora comienzo el avast, espero que funcione.
Y despues de todo esto??? que debe suceder?
Gracias otra vez

[junnecito]

Hola bucana:
Vengo de terminar, pero cuando me conecto a mi web en la parte inferior izquierda sigue saliendo lo de resolviendo direccion martuz.cn.
Que debo hacer ahora?
De verdad, te agradezco la ayuda.
Saludos

[bucana]

Una vez que hayas pasado los 2 y te encuentren los bichos y los elimines, procura pasar el ccleaner el cual te limpiará el registro. y con esto creo que la cosa se solucione. http://www.ccleaner.com/download bajaté la versión gratuita. saludos y me cuentas. ahora tengo que irme, mañana o esta noche, leeré tu respuesta y si no se te soluciona buscaremos la manera. No desesperes y Saludos.

[junnecito]

Bucano, de verdad te lo agradezco, creo que esta noche no duermo, estare hasta ver como se soluciona.
Otra vez, gracias.

[Manuel Kan]

Hola Junnecito, la verdad este exploit solo es detectado por el karpeski (por el momento) y solo el navegador Google Chrome te avisa el problema, es detectado solo cuando el problema está en tu PC pero no cuando esta en tu web.
No conosco soffware de remoción de este exploit para web y lo único que se puede hacer es buscar los scrips y eliminarlos manualmente de todos tus archivos de tu página caso contrario es sustituir tus archivos originales en tu página.
Los scrips son fáciles de reconocer porque se encuentran al inicio o al final de los archivos infectados.
En este vínculo puedes ver que al colocar tu página mostrara que tiene archivos sospechosos y lo ideal es que muestre "Clean".
http://www.unmaskparasites.com
El código que usa gumblar es diferente en cada página y lo puedes reconocer porque comienza con “(function(“ .
La funcion no tiene nombre. El código malicioso está codificado de esta formas: “…20a.3d.22Sc.72iptEngin.65…“, “…~76ar~20a~3d~22Scr~69~70~74En~67~69ne…“, “…v_61_72_20_61_3d_22_53_63rip_74E_6e…“
Cerca al final hay un código que dice “.replace(” function.
Se alojan principalmente en tus Java scrips y como te escribí antes en tu carpeta image debe de haberse creado um image.php lo cual debes de eliminarlos, reemplaza tu .htacces ya que fué modificado.
Cualquier novedad que encuentre te la haré llegar inmediatamente.
Saludos

[Manuel Kan]

El sustituir archivos es facil compañero, usa el cliente FTP gratuito Filezilla http://www.filezilla.es configuras con tu servidor y desde allí reemplaza los archivos originales desde tu Pc (limpia) a tu servidor.

Ahora el Avast ya esta reconociendo que tu página tiene un troyano.

[maguila]

Hola!

La verdad que menudo bicho te a tocado, he visto Xss, exploits etc...pero asi tan de primera mano, nunca habia visto ninguno como este, que el cabron es que te modifica los ficheros para subir que esten relacionados con webs, imagino que te podras librar de este "regalo" con paciencia y despues de leer mucho codigo.

No hace mucho un profesor de una academia, comento que teniamos que tener cuidado con los modulos que aporta la gente, porque puede (yo nunca lo he visto) que por ejemplo el modulo sea para hacer una galeria en carrousel, pues bien, en el codigo viene ese efecto de carrousel, pero tambien viene un codigo para robar todas las cuentas de paypal y cosas asi...No se si esto sera verdad, pero con los tiempos que corren cualquiera se descuida....

un saludo!

[Manuel Kan]

Hola
"Menudo bicho te ha tocado", asi como dice Maguila. Ya han aparecido herramientas que ayudan a detectar y en algunos casos a limpiar los archivos infectados y aquí te dejo un archivo para que lo instales en el directorio raiz de tu pagina. Indicaciones dentro del archivo.

Deberías editar el título y colocar como SEGURIDAD - ATAQUE GUMBLAR - MARTUZ CN porque no existen topicos de este malicioso código en forum.

Saludos

file_checker.zip

[bucana]

A ver si damos entre todos con la solución:
Por lo general este exploit es causado por cuentas FTP explotadas, así que empieza por tu propia compu. Pásale un antispyware. La gente recomienda Malwarebytes. http://www.malwarebytes.org/

Pasa en malwarebytes en modo seguro, presionar f8 al iniciar la computadora.

Luego cambia tus passwords de tus FTP, desde una computadora no infectada.

Procura no guardar la contraseña en los programas cliente de FTP.

Cuando sea posible usa conexiones seguras. I.e. usa SFTP en lugar de FTP. Muchos planes de hosting compartido usan SFTP.

Finalmente, remueve manualmente el código de los archivos infectados (.html, .php, .js, etc.). La forma más fácil es volver a subir los archivos originales al servidor.

En la carpeta images, se suele crear un archivo de nombre image.php, también suele cambiar los permisos concedidos a tu carpeta principal en el servidor. Suele alterar el archivo .htaccess,

luego de pasarle también el karpersky: http://www.kaspersky.com/downloads
protege tu pagina con el siguiente scrip: http://www.pandoraz.com.ar/seguridad/nueva-infeccion-virus-gumblarcnexploit/

Y por último chequea tu pagina:

utiliza el site siguiente para ver si está infectado: http://www.unmaskparasites.com/

Si me entero de más soluciones aquí las pondremos.

[bucana]

otra herramienta para intentar eliminarlo: http://www.virustotal.com/es/, sigo buscando.....

[bucana]

A ver si con esto se puede eliminar: http://kevinharvie.wordpress.com/2009/05/15/gumblar-cn-web-site-infection-removal/

puedes traducir la pagina con google, este ultimo site te dice los pasos para eliminar manualmente el dichoso virus, del código de la pagina, él lo hace con el editor de visual basic 8, pero pienso que se puede hacer con cualquier editor php, le hace buscar las extensiones .php .js y .html busca las cadenas de código malicioso que indica en search #1 2 etc y las sustituyes por las que indica a su vez REPLACE WITH (REEMPLAZAR CON)

EL AVAST ES CONVENIENTE PASARLO EN MODO INICIO, Y LUEGO UNA VEZ QUE ESCANEA EN MODO "DOS" Y ARRANCA WINXP ACTUALIZAR Y VOLVER A PASAR. LIMPIAR REGISTRO CON CCLEANER. Por los foros dicen que el malwarebytes lo elimina, pero claro en tu ordenador luego tienes que volver a subir la copia limpia de tu pagina, cambiar claves y atributos.

Espero que con todo esto se te solucione. Saludos.

[bucana]

Se me olvidaba que tienes que eliminar el acrobat reader a no ser que sea la última versión, pues tiene vulnerabilidades, que al leer un pdf (manda Huevos) te pueden meter codigo malicioso,, un experto japonés dice que el acrobat es el peor programa que existe y recomienda instlar pugins para el navegador que puedan leer pdf. para evitar las contaminaciones. bueno.... a ver que pasa....

[shacker]

Se me olvidaba que tienes que eliminar el acrobat reader a no ser que sea la última versión, pues tiene vulnerabilidades, que al leer un pdf (manda Huevos) te pueden meter codigo malicioso,, un experto japonés dice que el acrobat es el peor programa que existe y recomienda instlar pugins para el navegador que puedan leer pdf. para evitar las contaminaciones. bueno.... a ver que pasa....

Hola. Esto me paso hace un tiempo con una tienda Oscommerce. El script esta instalado en tu web y seguro funciona por que debes haberle dado acceso de escritura a algun archivo o carpeta, y esto permite que se creen archivos en tu tienda. Lo ideal es que cambies los usuarios del FTP y passwords y luego subas nuevamente el sitio, restaures la base de datos y con esto deberia ser suficiente.

Saludos

[junnecito]

Quisiera agradecer el esfuerzo, rapidez y ayuda aportado por manuel, maguila, bucana y shacker en la recuperacion de mi tienda, ayer pase una noche en blanco para recuperarla (con la ayuda de hielo) que paso horas haciendo la recuperacion, limpieza y recarga de la informacion.
Por fin, desde esta mañana esta otra vez en la red!!!
ESTE ES UN VERDADERO FORO DE AYUDA!!! Chapeau les amis!!!
Otra vez muchisimas gracias!
Espero poder ser util a la comunidad en la medida de mis posibilidades.
Saludos.

[shacker]

Una consulta. Sabes como fue que se infecto el sitio? estaria bueno para ver por donde entro el problema y asi poder evitarlo.

Saludos

[junnecito]

Ho9la shacker, no idea de como pudo suceder, me di cuenta cuando ya estaba infectado, comenzo a cabiar la web, las cosas de movian de lugar, etc etc.... pero como no lo se, pero a mi tambien me gustaria saberlo

[junnecito]

Olvide... seguramente di algun permiso equivocado en la carpeta equivocada y eso abrio la puerta a intrusos

[bucana]

Hola a todos-as, la solución para que no se os infecte el ordenador al navegar por internet:

http://www.sandboxie.com/ crea un icono con el cual arrancareis el navegador, este queda protegido por la "caja de arena", y todo lo que se os descargue: virus, troyanos, etc, se puede eliminar con lo cual nadie os puede infectar el ordenador. Espero que esta sea la solución definitiva a las infecciones de internet. Saludos. Lógicamente debemos tener nuestro ordenador protegido con antiespías y antivirus.

[junnecito]

Otra vez gracias bucana, esto que nos ofreces puede ser verdaderamente interesante, yo por mi parte lo cargo enseguida.
Saludos.

[maguila]

Hola! El sandboxie esta muy recomendado y hablan muy bien de el. Y nada compañero, para eso estamos, para ayudar en lo que se pueda!

un saludo

[junnecito]

Gacias maguila, esperemos que no vuelva a suceder, sobr todo a otros compañeros.
Un saludo

[maguila]

No estaria mal que como dijo algun compañero en algunos post atras, cambiaras el titulo del tema, por ataque virus gumblar o algo asi, ya que esto sera muy util a cualquiera que lo encuentre.

un saludo

[shacker]

Lo ideal seria "ATAQUE POR VULNERABILIDAD" o alg oasi y colocar tambien SOLUCIONADO, ya que seguro era un tema de permisos mal dados

[Manuel Kan]

Hola!!!
Que bueno Junnecito que superastes el problema, este GUMBLAR ha traido y sigue trayendo mucho dolor de cabeza aun a mucha gente.
Los mas sacrificados han sido los Blogers que al no tener conocimnientos de programación muchos aun continuan con sus páginas cerradas.
Tu propblema ha sido cuestiçon de mala suerte ya que tú o cualquier otra persona podría haber cogido esa infección solo el hecho de visualizar una página infectada el bicho se introduce a tu máquina y desde allí agarro tu Ftp y modificó tus códigos.
Lamentablemente cuando un virus aparece casi ningun antivirus o navegador lo reconoce, por eso es recomendable además de varios antivirus buenos y actulaizados, firewall activados y lo que siempre recomiendo la Pc con varias partiones cosa que si una es atacada puedes entrar por la otra.
Este ataque por el que pasastes tiene nombre y se llama Ataque "Gumblar cn" que solo va dirigido para páginas web.

Saludos

Me olvidaba, crea respaldos de tu página y de todos tus archivos importantes.

[madeinspain]

Yo tambien lo he sufrido, tiene narices el bicho este.

[bucana]

Hola Tenemos herramientas esenciasles como son:
MALWAREBYTES
SANDBOXIE PARA NAVEGAR SEGURO
SUPERANTISPYWARE

Y SI YA TE HAN INFECTADO:

AVAST ANTIVIRUS, INSTALACIÓN NUEVA Y CUANDO PREGUNTA SI QUERES REINICIAR PARA ESCANEAR DECIRLE QUE SÍ, LUEGO UNA VEZ CARGA WINDOWS, ACTUALIZAR Y VOLVER A PASAR

LIMPIEZA DE REGISTRO CON CCLEANER.

SALUDOS, ENCONTRAREIS SOLUCION, EN ESTE HILO. Y SI HAY DUDAS PREGUNTAR, PERO ANTES LEER EL HILO. SALUDETES.

[Rallymax]

Yo también he sufrido el ataque del dichoso gumblar...
He seguido algunos consejos de los puestos por aquí y todavía no conseguí quitarmelo de encima, quizás me habré saltado algún paso.
¿Alguien puede hacer un resumen de los pasos a seguir?.

Por cierto, mi web es

www.RallyAccion.com

[dahuegon]

Hola!

La verdad que menudo bicho te a tocado, he visto Xss, exploits etc...pero asi tan de primera mano, nunca habia visto ninguno como este, que el cabron es que te modifica los ficheros para subir que esten relacionados con webs, imagino que te podras librar de este "regalo" con paciencia y despues de leer mucho codigo.

No hace mucho un profesor de una academia, comento que teniamos que tener cuidado con los modulos que aporta la gente, porque puede (yo nunca lo he visto) que por ejemplo el modulo sea para hacer una galeria en carrousel, pues bien, en el codigo viene ese efecto de carrousel, pero tambien viene un codigo para robar todas las cuentas de paypal y cosas asi...No se si esto sera verdad, pero con los tiempos que corren cualquiera se descuida....

un saludo!

Esto lamentablemente es muy cierto, por eso cuando sale un nuevo modulo siempre espero que alguien lo pruebe antes que yo, os sorprenderiais de la gente que llora despues de instalar un módulo "cojonudo", es una putada pero de todo hay en la viña del seño rcomo dice mi madre, yo suelo decir que el mundo esta lleno de hijos de...., en fin que me hacen halbar mal y todo, y es que no entiendo a la gente, tratas de ganarte la vida como buenamente puedes y alguien te jode por el mero hecho de eso, de joder, si es queeeeeeeeeee.........

[Manuel Kan]

Rally
Para que arregles el problema vas a tener que dedicar paciencia y tiempo, empieza limpiando tu pc del gusano ese, usa un buen antivirus, ahora casi todos detectan el Gumblar.
Como al infectarse tu página se modificaron muchos archivos vas a tener que reemplazarlos por archivos limpios si es que tuvieras un backup (limpio) de tu página caso contrario editar (eliminar) los nuevos códigos editados en los diversos archivos de tu pagina principalmente ese tal Image.php de la carpeta "img" y el .htacces, casi la mayoría de .php por eso te hablo de paciencia y tiempo.
Para que reconoscas las lineas de códigos creadas en tus archivos por el Gumblar es facil, se encuentran siempre al inicio o/y al final con casi la misma forma de código como escribimos en los diferentes post arriba, revisalos de nuevo.
Espero que soluciones luego tu problema

Saludos

Lo bueno ahora que ahora algunos navegadores luego de encontrar algo sospechoso informan y bloquean, mira como se muestra tu página por el Firefox.

[bucana]

Amigo apprentice, sería conveniente que nos indicaras que módulos son "malos" con lo cual rogaría a los administradores que borrasen los enlaces. Es más Sería conveniente inaugurar un hilo de seguridad para prestashop, indicando modulos malos y soluciones a problemas de seguridad. lógicamente una vez probados los módulos, no fastidiar por fastidiar. y a los que se porten mal ¡¡FUERA!! Saludos, a la buena gente.

[bernyalf]

Tengo en mi web el problema del martuz.cn, realmente no es tanto volver a subir la web ni nada de eso, sino que el virus ha alojado archivos en el servidor, y tienen propiedades inmodificables, realmente no sè como borrarlos de ahì, ya he intentado de muchas maneras y no cambia perrmisos ni nada, ya estàn identificados, pero no logro erradicarlos del servidor, alguien me puede ayudar, lo agradecerìa infinitamente.

[shacker]

Lo unico que podes hacer es informar al hjost para que hagan un reseteo.

[bucana]

De acuerdo con Shacker. Informa a los administradores de tu hosting. Saludos. Lógicamente las soluciones que damos son para nuestro ordenador, si sigues las indicaciones y recomendaciones espero no vuelvas a tener ningún problema, lo de sandboxie, es para que no te entre en tu equipo nada que tu no quieras.

[Rallymax]

He vuelto a subir la web y ahora cuando entre me aparece esto: Database Error: Unable to connect to the database:Could not connect to MySQL
¿Me falta algo por subir?.

[shacker]

De seguro debes chequear la conexion con tu base de datos. El error indica que no se puede establecer la conexion con la misma. Si creaste una base de datos con otro nombre, ese puede ser el problema. Si no, deberas meterle mano al archivo de configuracion del prestashop y editarlo a mano,