somecrainsignvar: come ripristinare i siti colpiti

Come forse saprete circolano dei “virus” (in realtà il termine è improprio) che si diffondono tramite siti web ai naviganti e dai naviganti ad altri siti web.. ci sono molti modi in cui si diffondono, ma non entrerò nei particolari.

C’é un particolare virus che circola in questi giorni e che sta mietendo numerose vittime (a ripetizione, tra l’altro!) e spero di fare la felicità di qualche webmaster pubblicando quello che è uno dei pochi rimedi (che non ho trovato online, la regex l’ha sviluppata una software house ovviamente dietro compenso) per poter ripristinare velocemente i siti colpiti.

Cosa fa questo virus? In pratica si intrufola nei file sorgenti di molte pagine web e ne cambia la prima riga di contenuto con un comando particolare che fa sì che visualizzando la pagina, il pc di chi la visualizza venga infettato.
In teoria il sistema dovrebbe essere trasparente, cioé non dovrebbe danneggiare il sito, in realtà, molto spesso, dato che si tratta di un’operazione automatica, vengono fatti danni notevoli alle pagine dei siti infettati, alcuni in modo da renderli non più operativi.

Per porre rimedio a tutto ciò spesso basterebbe ricaricare sul server una versione precedentemente salvata dei file infettati, dato che però la realtà è un po’ più complicata, spesso i file sono vecchi o i backup non sono sempre aggiornati. Per evitare di doversi scorrere a mano le migliaia di file che compongono una installazione di WordPress o di Joomla! colpita dal virus c’é un sistema molto più rapido.

Basta dotarsi di un programmino semplice semplice che faccia il replace di “stringhe di testo” nei file sorgenti del sito, io consiglio di usare “text crawler”, piccolo, semplice, GRATUITO ed efficace.

A questo punto però serve un altro strumento fondamentale: infatti i file di testo contengono stringhe del virus sempre diverse, quindi difficilmente rintracciabili e cancellabili automaticamente con una semplice ricerca, bisogna usare qualcosa di più sofisticato.

Le Regular Expression ci vengono in aiuto: text crawler ha la possibilità di cercare nel testo tramite regex e quindi ci può aiutare a rimuovere il virus in breve tempo.

La regular expression da utilizzare in questo caso è: \$somecrainsignvar\s*=.*?\$crain=”";

Rimpiazzando quanto sopra con “null” (nessun carattere) il gioco è fatto e il sito potrà essere ricaricato in breve tempo senza grossi problemi.

Attenzione, ci sono alcune varianti del virus che fanno anche altre cose, ovviamente bisogna variare la regex di conseguenza!

Spero di esservi stato utile e di avervi risparmiato ore e ore di lavoro.

p.s. text crawler lo potete scaricare da qui: http://www.digitalvolcano.co.uk/content/textcrawler

5 commenti per somecrainsignvar: come ripristinare i siti colpiti

  • Andreas

    [8:24:51 PM] Madness: \$somecrainsignvar\s*=.*?\$crain=”";

  • Gianluca

    attenzione!!
    occhio alle pagine statiche, io oltre a quello che è stato descritto ho trovato

    un iframe strano sulle pagine statiche

    Le x le ho messe io

    E per difendersi in futuro???

  • Gianluca

    Spero di essre d’aiuto.

    Ho dovuto ripristinare 15 siti dello stesso server che è stato contagiato.

    Se l’amministratore di questo sito lo riterrà opportuno lo pubblicherà.

    Ecco il codice php malevolo: i – li ho messi io

    -$somecrainsignvar=”nhcvmtur”; -echo base64_decode(str_rot13(‘qui c’è un codice codificato==’));- -$crain=”";-

    in html:

    -iframe src=”http://url_contenente_malware” width=100 height=80></iframe-

  • gianni

    alla fine si è capita la fonte o la causa di questo malware? che buchi di sicurezza ha sfruttato? è un virus che si è installato sul pc e ha “rubato” le pwd?

  • Sami

    Hi there,

    Though your post was not in english, it was a great help to me!
    Thanks for that, solved my problem right away. Only thing, for people who wonder: Delete the whitespaces inside the regular expression, after copying.

    Kind regards and many Thanks,
    Sami

Lascia un comento

 

 

 

Puoi usare questi tag

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>