Gumblar, un virus que ataca a servidores web
Aunque no es muy nuevo, Gumblar es un virus que ataca a los servidores de páginas web via FTP robando las contraseñas de los ordenadores que se conectan al FTP. Un virus muy dañino y de una facilidad de propagación extrema. Últimamente he tenido que lidiar con el, y os puedo asegurar que es una auténtica pesadilla.
El dichoso Gumblar aprovecha algunos agujeros de seguridad que hay en flash player o en adobe pdf para instalarse en un ordenador. No da ninguna señal de que esté pero se encarga de buscar en tu sistema si tienes alguno de los más famosos clientes de ftp para robar las contraseñas. Teniendo las contraseñas de los ftp no tienen ningún problema para acceder a los sitios web que hay en los servidores. Una vez alli manipulan los archivos html, php y js inyectando código malicioso que sirve para infectar a los usuarios que visitan la web atacada, volviendo a comenzar el ciclo.
El problema mayor surge cuando ni los antivirus, ni los antimalware pueden detectalo y por tanto borrarlo. Para librarte de él hay cuatro pasos básicos:
1. No guardar las contraseñas en los clientes ftp. Es mejor introducir la contraseña cada vez que queremos acceder al servidor. Otra solución es utilizar clientes ftp que encripte las contraseñas.
2. Limpiar todos los archivos del sitio web infectado del código malicioso.
3. Formatear el ordenador infectado (Ya sé que es una solución muy extrema pero es la mejor).
Os dejo algunos enlaces que os pueden ayudar para eliminar este virus:
Web para saber si tu sitio está infectado
Información en castellano sobre cómo funciona el virus
