Glede na poročila strank smo v zadnjem času opazili povečano število primerov, ko so se PC računalniki naših strank okužili z t.i. Gumblar virusom. Gre za virus, ki na okuženem računalniku išče datoteke z gesli za FTP dostop. Pri nekaterih FTP programih (npr. Filezilla) so gesla shranjena v tekstovni datoteki in zato virusu lahko dostopna.
Virus s pomočjo pridobljenih FTP gesel v glavne datoteke spletne strani (običajno index.html ali index.php) namesti html kodo, ki prikaže iframe z vsebino, ki lahko z virusom okuži še računalnike vseh obiskovalcev vaše spletne strani. V datoteki index.php se omenjena koda za iframe običajno nahaja v prvi ali zadnji vrstici datoteke.
Taka okužba je lahko zelo neprijetna, saj namesto običajne vsebine vaša spletna stran prikazuje spremenjeno vsebino. Ko Google obišče vašo spletno stran, zazna, da je na njej prisoten virus, zato obiskovalcem odsvetuje obisk vaše spletne strani ter jih opozori, da vaša spletna stran vsebuje zlonamerno kodo. Ko virus vnose iframe ali dodatno javascript kodo, obiskovalci s Firefox ter Chrome namreč dobijo opozorilo, da stran vsebuje elemente, ki lahko škoduje vašemu računalniku.
V kolikor se je tudi vaš računalnik okužil z omenjenim virusom in je virus že spremenil vsebino nekaterih datotek vaše spletne strani, vam predlagamo naslednje korake:
1. Virus čim prej odstranite s svojega računalnika. Najprej uporabite CCleaner za čiščenje nesnage iz temp direktorija, nato preiščite računalnik z Malwarebytes. Dodatno vam priporočam še pregled z NOD32 (trial), v primeru, da se res želite prepričati pa uporabite še Avast boot scan ter AVG enkratni pregled.
2. Preko cPanel nadzorne plošče (navodila) ali Naročniškega centra (navodila) spremenite vse podatke za dostopanje preko FTP-ja, saj virus pozna obstoječe podatke in bo v primeru, da gesla ne spremenite, datoteke ponovno spremenil ter jim dodal zlonamerno html kodo.
3. Na strežniku preko FTP dostopa okužene datoteke nadomestite z neokuženimi datotekami. Na internetmojster forumu (povezava) je objavljena koda, kako dobiti seznam datotek, ki so okužene. Dodaten način je, da uporabite Zend Search in Files ali Netbeans, Search files. Ko imate enkrat seznam datotek morate ročno počistiti zadevo, torej odstraniti javascript ali iframe, nato pa popravljene datoteke na novo naložiti na strežnik, če ste spremembe delali lokalno.
4. V FTP programih označite, da se gesla NE shranjujejo. Dodatno lahko uporabljate SFTP protokol, kjer se podatki in gesla šifrirano pošiljajo preko omrežja. Dodatno spremenite vsa gesla za FTP/control penal in tako preprečite nadaljnje vdore preko vašega FTP računa.
Dodatne reference glede virusa:
FTP virus Gumblar
FTP virus spreading in new ways
Protection against viruses that steal FTP passwords
Vdor v večje število internetnih strani
Gumblar na Flezilla
