Tema: URGE: sitio Joomla caído de repente
Ver Mensaje Individual
  #16 (permalink)  
Antiguo 04/12/2009, 17:25
Avatar de nexohosting
nexohosting
 
Fecha de Ingreso: octubre-2008
Ubicación: ESPAÑA
Mensajes: 1.195
Antigüedad: 16 años, 4 meses
Puntos: 36
Respuesta: URGE: sitio Joomla caído de repente
En el blog oficial de CDMOn publican:

Cita:
Infección de virus detectada (Daonol alias Gumblar)Se ha detectado recientemente un virus llamado Daonol (alias Gumblar) el cual afecta gravemente a las conexiones que se realizan por FTP a páginas web. La peligrosidad de Gumblar destaca en su capacidad para capturar conexiones de FTP de cualquier usuario que esté infectado por dicho virus, y una vez captado los datos de acceso por FTP, accede automaticamente por FTP al alojamiento e inyecta código malicioso en los archivos “index.html” e “index.php“, como el siguiente:

En index.php:

<?php @register_shutdown_function("__sfd1259857762__");f unction __sfd1259857762__() { global $__sdv1259857762__; if (!empty($__sdv1259857762__)) return; $__sdv1259857762__=1; echo <<<DOC__DOC
<!-- [8a123b770439b9b29c6ba7cc64995da1 --><!-- 2677589521 --><noscript><ul><li><a href="http://msn.com/ignore.php?q=164/s">.</a></li></ul></noscript><!-- 8a123b770439b9b29c6ba7cc64995da1] -->
DOC__DOC;
} ?>


En index.html:

<!-- [9f6af56edcabad68486c5a43c35a7604 --><!-- 0464589521 --><noscript><ul><li><a href="http://msn.com/ignore.php?q=164/s">.</a></li></ul></noscript><!-- 9f6af56edcabad68486c5a43c35a7604] -->


Con eliminar este código hemos comprobado que en la mayoría de casos es suficiente como para que aquellas webs que no se visualicen correctamente puedan volver a funcionar.

Nuestro consejo es primeramente cambiar el password de FTP, de modo que el virus sea incapaz de conectar contra su alojamiento. Y a continuación, para evitar que se siga inyectando código mediante FTP, recomendamos chequear con un antivirus y un antispyware todos aquellos PC’s que alguna vez han conectado por FTP con tal de eliminar el virus Gumblar (Daonol).

Debido a que la mayoría de PC’s infectados utilizan el sistema operativo Windows, recomendamos descargar e instalar el programa Malwarebytes (versión gratuita), el cual es capaz de eliminar Gumblar del sistema y de esta forma detener esta inyección de código contra los alojamientos.

Pueden encontrar más información sobre este virus en los siguientes enlaces:
http://alerta-antivirus.inteco.es/vi....html?cod=8831
http://alerta-antivirus.inteco.es/vi....html?cod=9360

Equipo técnico de CDmon.com
__________________
Hosting SSD Multidominio | | VPS administrados
NexoHosting - Tlf. 953890112 - España