Infección de virus detectada (Daonol alias Gumblar)
Se ha detectado recientemente un virus llamado Daonol (alias Gumblar) el cual afecta gravemente a las conexiones que se realizan por FTP a páginas web. La peligrosidad de Gumblar destaca en su capacidad para capturar conexiones de FTP de cualquier usuario que esté infectado por dicho virus, y una vez captado los datos de acceso por FTP, accede automaticamente por FTP al alojamiento e inyecta código malicioso en los archivos “index.html” e “index.php“, como el siguiente:
En index.php:
<?php @register_shutdown_function("__sfd1259857762__");function __sfd1259857762__() { global $__sdv1259857762__; if (!empty($__sdv1259857762__)) return; $__sdv1259857762__=1; echo <<<DOC__DOC
<!-- [8a123b770439b9b29c6ba7cc64995da1 --><!-- 2677589521 --><noscript><ul><li><a href="http://msn.com/ignore.php?q=164/s">.</a></li></ul></noscript><!-- 8a123b770439b9b29c6ba7cc64995da1] -->
DOC__DOC;
} ?>
En index.html:
<!-- [9f6af56edcabad68486c5a43c35a7604 --><!-- 0464589521 --><noscript><ul><li><a href="http://msn.com/ignore.php?q=164/s">.</a></li></ul></noscript><!-- 9f6af56edcabad68486c5a43c35a7604] -->
Con eliminar este código hemos comprobado que en la mayoría de casos es suficiente como para que aquellas webs que no se visualicen correctamente puedan volver a funcionar.
Nuestro consejo es primeramente cambiar el password de FTP, de modo que el virus sea incapaz de conectar contra su alojamiento. Y a continuación, para evitar que se siga inyectando código mediante FTP, recomendamos chequear con un antivirus y un antispyware todos aquellos PC’s que alguna vez han conectado por FTP con tal de eliminar el virus Gumblar (Daonol).
Debido a que la mayoría de PC’s infectados utilizan el sistema operativo Windows, recomendamos descargar e instalar el programa Malwarebytes (versión gratuita), el cual es capaz de eliminar Gumblar del sistema y de esta forma detener esta inyección de código contra los alojamientos.
Pueden encontrar más información sobre este virus en los siguientes enlaces:
http://alerta-antivirus.inteco.es/virus/detalle_virus.html?cod=8831
http://alerta-antivirus.inteco.es/virus/detalle_virus.html?cod=9360
Equipo técnico de CDmon.com
Juan
4 de diciembre, 2009. 21:05
Yo he sido infectado y no he accedido por FTP en los ultimos dias, pero cuando accedo a FTP lo hago en linux. ¿Como han podido infectar mi cuenta?
Àngel
6 de diciembre, 2009. 12:06
Señores.
Mi pàgina ha resultado infectada al igual que la de otros muchos usuarios.
En mi caso hacia meses que no necesitaba conectarme por ftp, o sea que dificilmente ningun virus pudo capturar mi contraseña.
Tampoco permito que mi cliente ftp recuerde nunca ninguna contraseña.
Ademàs no uso windows, uso linux, y el virus que mencionan no corre en este sistema.
Quizá deberían buscar otras posibles causas para lo sucedido.
Saludos.
Javier
6 de diciembre, 2009. 20:14
¿Y no es mejor permitirnos usar SFTP en lugar del obsoleto e inseguro FTP???? Los alojamientos serios permiten SFTP o FTP, a elección del usuario.
Vamos, que el problema no debería haber afectado a los que usamos Linux o Mac… y sí, también nos han tocado las webs.
CDmon
8 de diciembre, 2009. 12:22
Respuesta a Juan:
Hola Juan, aunque se utilice Linux, se es igualmente susceptible de que le roben las credenciales de FTP por almacenar las conexiones de FTP en texto claro.
Respuesta a Javier:
Hola Javier, no tiene sentido utilizar el acceso SFTP cuando se usa un cliente de FTP que guarda el texto en claro, lo que permite a cualquier virus o web con código fraudulento conocer sus datos de FTP.
Os ruego revisar el nuevo post que hemos publicado acerca de como mejorar la seguridad y evitar el robo de claves de FTP en el siguiente enlace:
http://blog.cdmon.com/2009/12/08/evitar-robo-de-claves-de-ftp/
Un saludo.
Juan
8 de diciembre, 2009. 20:06
Lo que no entiendo es que me han hackeado webs que no entro desde hace mucho tiempo, no tengo guardado los password en ningun ftp y no estoy infectado.
óscar
9 de diciembre, 2009. 10:48
Utilizo mac: de entrada mi ordenador tiene pocas posibilidades de ser infectado por virus. Como gestor FTP utilizo Ciberduck. Ciberduck utiliza el gestor de contraseñas del propio sistema operativo que, si no me equivoco, no almacena las contraseñas en “texto claro”. Sin embargo, mi web estaba infectada. ¿Me equivoco o el virus entró no por mi ordenador, sino por otro lugar? 0:)
CDmon
9 de diciembre, 2009. 13:57
Hola Juan y Oscar,
El virus no tiene porqué llegar a sus datos de FTP en algún ordenador y atacar de inmediato a un alojamiento, puede estar durante meses capturando credenciales de FTP y luego, en un momento dado, atacar a todos aquellos servidores, sin un orden preestablecido, ya sea por rango de IP’s o de otro modo. Es decir, un usuario puede haber estado meses sin que haya accedido por FTP, y luego haberse visto afectado por esta inyección. Os ruego revisar el nuevo post en nuestro blog:
http://blog.cdmon.com/2009/12/08/evitar-robo-de-claves-de-ftp/
Si tienen más dudas acerca de ello contacten con nosotros para que podamos revisarlo con mayor profundidad.
Saludos.
Ramon
11 de diciembre, 2009. 18:04
Hola,
nosotros utilizamos Linux con gFTP y NUNCA archivamos los passwords en ningún sitio, por seguridad.
Tened muy claro que la inyección del virus se ha producido desde dentro, y la modificación de los ficheros la ha tenido que hacer un usuario privilegiado. En nuestro caso los ficheros se modificaron el 4 de Dic a las 17:23 y no tenemos ningún rastro de conexión ese día en nuestros logs de ftp.
Revisad bien donde teneis la vulnerabilidad, por favor, y no penseis que el virus ha llegado a través de los usuarios ignorantes y despreocupados.
Nosotros tenemos muy claro cómo hay que trabajar para que esto no suceda. Pero si CDmon deja la puerta de atrás abierta llega un virus y nos modifica ficheros en el root de nuestra web!
Esperamos que no vuelva a ocurrir.
Frank
14 de diciembre, 2009. 11:11
Apreciados amigos de CDMON,.
Quisiera deciros solo dos cosas.
1.-Hace una semana cuando os comunicábamos nuestro primer caso, con uno de nuestros clientes, recordaréis que se trataba de un código insertado que redireccionaba la página a una inexistente y además la web desparecía de los buscadores,… nos comunicasteis que aprendiéramos a utilizar las herramientas de Google.
Dos dias después todos recibimos un mail advirtiendo de la necesidad de cambiar los datos de acceso login y pasword de nuestros programas de ftp.
2.- Hoy nos decís que existe un virus lllamado Gumblar.
Pero cuando nos vais a reconocer que existe un gran fallo de seguridad?
Porque por ejemplo desde nuestro ESTUDIO, nadie, nadie, nadie utiliza ni Windows, ni linux, ni accedemos via FTP con Filezilla,…etc,…etc,… Habrá algo más que no sepamos en sus servidores?
Y sólo podéis responder que NO UTILICEMOS Filezilla, cuestión más que recomendada por ustedes desde el primer momento que somos clientes de CDMON.
Finalmente desearía que como mínimo, sean ustedes algo agradecidos del trabajo de mucha gente que ha intentado advertirles de que se estaba produciendo este hecho y que de su parte no hemos obtenido ni un simple “gracias”.
Saludos!
CDmon
14 de diciembre, 2009. 14:28
Apreciado Ramon,
Como le hemos indicado en la siguiente noticia,
Tenemos algunas dudas de como usuarios como el suyo han sido afectados. Es una tarea que estamos investigando y en cuanto tengamos más información la haremos pública para despejar toda duda. Podemos constatar que la base de datos no ha sido vulnerada directamente y que esta dispone de los mecanismos criptográficos suficientes como para garantizar la salvaguarda de la información en caso que esta hubiera sido vulnerada.
Muchas gracias,
CDmon
CDmon
14 de diciembre, 2009. 14:29
Apreciado Frank,
Tanto a usted como al resto de las personas que han advertido la situación, les estamos muy agradecidos. Respecto a sus dudas y a las del resto de usuarios, esperamos poder responderlas en un próximo post, ya que nuestro principal objetivo es la satisfacción de nuestros clientes.
En todo momento tenemos la voluntad de tener una actitud transparente y es por ello que pedimos un voto de confianza.
Muchas gracias,
CDmon
Frank
14 de diciembre, 2009. 17:18
Siempre. Desde luego, tenéis nuestra confianza, pero un “GRACIAS” de vez en cuando no le viene mal a nadie.
Ánimo!!!
Javier
24 de diciembre, 2009. 4:20
Os ruego que deis ya una explicación de lo que ha ocurrido en realidad.
Como otros usuarios con los que he hablado, mis hostings fueron hackeados sin tener ningún troyano o virus en mi PC.
De hecho, hace muchos meses que no accedia por FTP, y cuando lo hice no fue desde Filezilla ni ningún otro cliente FTP de los que guardan las claves en texto plano. Además era un PC utilizado unicamente para el trabajo en la web, con antivirus, firewall y antimalware actualizados y conectado al ADSL por cable (no wifi).
Por los datos que se del tema, está claro que han robado las contraseñas FTP, pero tened claro que el robo no ha sido en “nuestro lado” de la conexión.
Si teneis seguro que la base de datos no ha sido vulnerada, recordad que no podemos conectar a vuestros servidores por SFTP y que con las conexiones FTP que tenemos que utilizar cualquiera que consiga interceptar el trafico podría saber las contraseñas.
A consecuencia de este hack, mi página web ha perdido totalmente el posicionamiento que tenía en google.
Por favor, os pido que aclareis lo ocurrido lo antes posible y que solución habeis adoptado, porque no se el resto de clientes, pero yo no me voy a arriesgar a que me vuelva a pasar lo mismo dentro de unos meses.
Un saludo.
Javier
9 de enero, 2010. 23:23
“Hola Javier, no tiene sentido utilizar el acceso SFTP cuando se usa un cliente de FTP que guarda el texto en claro, lo que permite a cualquier virus o web con código fraudulento conocer sus datos de FTP.”
Vale, de acuerdo, pero al menos se eliminaría la posibilidad de que alguien “escuchara” la contraseña que en FTP NO VA CIFRADA y en SFTP sí.
¿Tanto trabajo cuesta abrir el puerto 22?