Solucion: ASProx Cleaner

Algo que note es que algunos antivirus, al menos es el caso de AVG 8 en IE7, lo detecta como Troyano cuando ingresas al sitio infectado. Pero en otros casos no sucede. Por lo que, al ingresar al sitio, se infecta la PC, y luego esa PC infecta otros sitios? .. sinceramente es muy malefico!.

Para los que nos afecto el virus: aqui va la solucion;

Paso 1) usar una PC no infectada.

Paso 2) revisar el codigo ASP o ASP.net de nuestra Aplicación y no dejar pasar ninguna Inyeccion SQL. Validar todas las variables GET y POST por ejemplo, si es numerico usar funciones como isNumeric(Var) y si es texto usar Expresiones regulares para validarlas. En mi caso, si las variables son alteradas redirecciona al index. O pueden buscar algun tool para escanear y ver si hay vulnerabilidades como por ejemplo: Microsoft Source Code Analizer for SQL Injection que es gratuito o de pago podria ser Acunetix Web Vulnerability Scanner, que es excelente.

Cuando estemos seguros que nuestro sitio dejo de ser un colador 🙂 pasamos al ..
Paso 3)

Ejecutar este Transact SQL en el Enterprise Manager. ( con nuestra base de datos seleccionada ).

' http://www.admintalk.org
' 2008-07-12
SET NOCOUNT ON
DECLARE @SCRIPT VARCHAR(1024)
DECLARE @T VARCHAR(255)
DECLARE @C VARCHAR(255)
DECLARE Table_Cursor CURSOR FOR
SELECT [A].[Name], [B].[Name]
FROM sysobjects AS [A], syscolumns AS [B]
WHERE [A].[ID] = [B].[ID] AND
[A].[XType] = 'U' /* Table (User-Defined) */ AND
([B].[XType] = 99 /* NTEXT */ OR
[B].[XType] = 35 /* TEXT */ OR
[B].[XType] = 231 /* SYSNAME */ OR
[B].[XType] = 167 /* VARCHAR */)
OPEN Table_Cursor
FETCH NEXT FROM Table_Cursor INTO @T,@C
WHILE (@@FETCH_STATUS = 0)
BEGIN
print 'Updating [' + @T + '].[' + @C + ']…'
exec('update ['+@T+'] set ['+@C+'] = substring(['+@C+'], 0, charindex(''<script'',['+@C+']))
where ['+@C+'] like ''%<script%''')
Print 'Done'
Print ''
FETCH NEXT FROM Table_Cursor INTO @T, @C
END
CLOSE Table_Cursor
DEALLOCATE Table_Cursor
Print 'Clean-up Complete.'

Paso 4) Cruzar los dedos.

Paso 5) Limpiamos nuestro sitio pero para el cache de google sigue Infectado!. Entonces tenemos que ejecutar la herramienta para webmasters y Solicitar una Revision, el nuevo Scan de google puede demorar unos dias hasta que chequea y vuelve a la normalidad.

Espero que les sirva tanto como a mi.!

1 Comentario

Deja un comentario