Je confirme que le problème vient des mots de passe enregistrés de FileZilla.
Mon conseil est donc le suivant :
- Désinfecter son PC : Antivirus à jour + anti spyware et tout le tralala
- Modifier le mot de passe de ses FTP
- Supprimer les bout de code injectés ou remplacer la version par une sauvegarde (Attention, pour ma part quelque fichiers index.html avait été créé, donc pour moi ça a été Suppression totale des fichiers du ftp puis réimportation d'une sauvegarde)
- Ne plus enregistrer les mots de passe de FileZilla (tout comme les mots de passe de Firefox d'ailleurs) mais préférer l'option "demander le mot de passe" qui vous demandera à chaque fois de saisir le mot de passe, sans pour autant devoir ressaisir le nom du serveur ftp, l'utilisateur..etc...
Merci à tous pour votre aide. Les dégats n'étant pas très importants, cela m'aura servi d'avertissement... :d.
la communauté d'entraide francophone dédiée au PHP
injection de code dans mes pages php
@To1n00: par curiosité, puis-je te demander :
- Sur quel OS tourne ta station de travail : WIndows ? Mac ? Linux ?
- Si tu es sous Windows : es-tu en mode administrateur ou invité ou compte avec droit limités quand tu travailles ou que tu surfes sur Internet ?
- Surfes-tu parfois sur Internet ou utilises tu des logiciels en mode administrateur ?
- en quel CHMOD sont tes fichiers infectés ? 644 ? 604 ? 605 ? 404 ? 405 ? 777 ? quel CHMOD pour les répertoires ? quel CHMOD pour tes fichiers ?
- Ton antivirus a t-il isolé et détecté le malware sur ton Ordi ? ou toujours pas ?
-Sais-tu avec précision par où est entré la bestiole ? par un plugin ? soft ?
(si la réponse est non, la bestiole peut re-rentrer quand elle veut même si c'est vrai qu'elle ne pourra plus récupérer et utiliser tes nouveaux mdp, car non-enregistrés. Mais l'équipe qui a conçu le malware pourrait le modifier pour en faire un keylogger. et ils choperaient tes mdp à nouveau... )
-tes plugins flash, java, acrobat reader, etc... sont-ils à jour ? ainsi que tes composants/plugin joomla ?
En fonction de ça, on pourra faire un diagnostic plus précis.
- Sur quel OS tourne ta station de travail : WIndows ? Mac ? Linux ?
- Si tu es sous Windows : es-tu en mode administrateur ou invité ou compte avec droit limités quand tu travailles ou que tu surfes sur Internet ?
- Surfes-tu parfois sur Internet ou utilises tu des logiciels en mode administrateur ?
- en quel CHMOD sont tes fichiers infectés ? 644 ? 604 ? 605 ? 404 ? 405 ? 777 ? quel CHMOD pour les répertoires ? quel CHMOD pour tes fichiers ?
- Ton antivirus a t-il isolé et détecté le malware sur ton Ordi ? ou toujours pas ?
-Sais-tu avec précision par où est entré la bestiole ? par un plugin ? soft ?
(si la réponse est non, la bestiole peut re-rentrer quand elle veut même si c'est vrai qu'elle ne pourra plus récupérer et utiliser tes nouveaux mdp, car non-enregistrés. Mais l'équipe qui a conçu le malware pourrait le modifier pour en faire un keylogger. et ils choperaient tes mdp à nouveau... )
-tes plugins flash, java, acrobat reader, etc... sont-ils à jour ? ainsi que tes composants/plugin joomla ?
En fonction de ça, on pourra faire un diagnostic plus précis.
- WIndows 7
- en mode administrateur : Mais le système me demande des autorisations (par exemple pour exécuter certains programmes, installer...etc)
- Surfes-tu parfois sur Internet ou utilises tu des logiciels en mode administrateur ? oui
- en quel CHMOD sont tes fichiers infectés ?644 pour les fichiers, 755 pour les dossiers
- Ton antivirus a t-il isolé et détecté le malware sur ton Ordi ? ou toujours pas ? Antivir détectait illico les fichiers infectés lorsque je les rapatriait du FTP sur mon disque local. Je pense êtres débarrassé du malware. J'ai utilisé Emisoft, Ad-Aware et spybot S&D, mais je ne sais même plus lequel des 3 a détecté le Malware.
-Sais-tu avec précision par où est entré la bestiole ? par un plugin ? soft ? Absolument pas
-tes plugins flash, java, acrobat reader, etc... sont-ils à jour ? ainsi que tes composants/plugin joomla ? Les plugins oui, mais Windows pas toujours (je sais c'est mal :d) Joomla est maintenant à jour, mais il ne l'était pas avant. Mes autres sites sur lesquels j'accède en FTP via FileZilla ont aussi subit la même attaque (ça je m'en suis rendu compte aujourd'hui) Donc le problème vient bien du stockage des mdp par FileZilla... ou plutôt du malware qui les a exploités.
Je pense également installer un Firewall, ce qui me manque actuellement sur mon PC. Pour éviter que mes chers fichiers ne sortent comme ça sans me prévenir....:d
- en mode administrateur : Mais le système me demande des autorisations (par exemple pour exécuter certains programmes, installer...etc)
- Surfes-tu parfois sur Internet ou utilises tu des logiciels en mode administrateur ? oui
- en quel CHMOD sont tes fichiers infectés ?644 pour les fichiers, 755 pour les dossiers
- Ton antivirus a t-il isolé et détecté le malware sur ton Ordi ? ou toujours pas ? Antivir détectait illico les fichiers infectés lorsque je les rapatriait du FTP sur mon disque local. Je pense êtres débarrassé du malware. J'ai utilisé Emisoft, Ad-Aware et spybot S&D, mais je ne sais même plus lequel des 3 a détecté le Malware.
-Sais-tu avec précision par où est entré la bestiole ? par un plugin ? soft ? Absolument pas
-tes plugins flash, java, acrobat reader, etc... sont-ils à jour ? ainsi que tes composants/plugin joomla ? Les plugins oui, mais Windows pas toujours (je sais c'est mal :d) Joomla est maintenant à jour, mais il ne l'était pas avant. Mes autres sites sur lesquels j'accède en FTP via FileZilla ont aussi subit la même attaque (ça je m'en suis rendu compte aujourd'hui) Donc le problème vient bien du stockage des mdp par FileZilla... ou plutôt du malware qui les a exploités.
Je pense également installer un Firewall, ce qui me manque actuellement sur mon PC. Pour éviter que mes chers fichiers ne sortent comme ça sans me prévenir....:d
hello
les précédents fichier de conf de filezilla était encodés, cryptés,chiffrés ... comme vous voulez
mais des décodeurs,décrypteurs, déchiffreurs ... existait
je ne pense pas que ce soit un oubli/faute de filezilla mais bien une correction car ça ne servait à rien de crypter de toute façon
bref si le java à été capable de récupérer ce fichier, qu'a t il récupérer d'autre ... :/
pour le FW la connexion à été fait via le navigateur (vers l'extérieur) et est donc légitime ( pour le FW ) et il ne sera pas utile, la faille provient du navigateur ou de java ou .. (et c'est la que c'est fort)
les précédents fichier de conf de filezilla était encodés, cryptés,chiffrés ... comme vous voulez
mais des décodeurs,décrypteurs, déchiffreurs ... existaitje ne pense pas que ce soit un oubli/faute de filezilla mais bien une correction car ça ne servait à rien de crypter de toute façon
bref si le java à été capable de récupérer ce fichier, qu'a t il récupérer d'autre ... :/
pour le FW la connexion à été fait via le navigateur (vers l'extérieur) et est donc légitime ( pour le FW ) et il ne sera pas utile, la faille provient du navigateur ou de java ou .. (et c'est la que c'est fort)
toujours faire une recherche sur http://www.php.net et/ou sur http://www.google.fr
utiliser http://ideone.com/ pour vos codes
utiliser http://ideone.com/ pour vos codes
C'est une invitation aux virus et malwares à s'installer chez toi.WIndows 7, en mode administrateur : surf et utilisation de logiciels : oui
Le mode administrateur sous Windows sert à administrer (régler) la machine. Tu dois sortir de ce mode dès que c'est fait.
Puis l'utiliser et surfer uniquement en mode invité ou utilisateur avec des droits limités.
Mon conseil: installe VirtualBox et crée une machine virtuelle Windows 7 et une autre sous Linux Ubuntu.
Tu devrais mettre à jour ton site et surfer uniquement avec Linux Ubuntu. FileZilla et autres existent sous Linux, tu ne seras pas dépaysé.
Lis ce dossier tranquillement et abaisse les droits : http://ralph.davidovits.net/internet/se ... html#chmod644 pour les fichiers, 755 pour les dossiers
Voilà une autre belle faille : "tu penses". Comme dit l'adjudant Gerber dans le gendarme à St-Tropez : "Je pense le moins possible, ça freine".Je pense être débarrassé du malware.
Tu n'as pas d'identification précise du malware. Ton sytème n'est donc plus sûr : => Ré-installation rapide de W7 si tu veux être vraiment tranquille.
Tu as très bien réagi. Comme tu as pu le lire sur les articles cités, les auteurs pensent que c'est Filezilla le danger , ce qui montre qu'ils ne s'y connaissent pas beaucoup en informatique. Le problème, c'est qu'aujourd'hui n'importe qui peut faire un blog ou s'improvise webmaster en 1 week-end. Et les pirates en profitent.Mes autres sites sur lesquels j'accède en FTP via FileZilla ont aussi subit la même attaque (ça je m'en suis rendu compte aujourd'hui) Donc le problème vient bien du stockage des mdp par FileZilla... ou plutôt du malware qui les a exploités.
Pour finir, je voulais préciser que j'utilise plusieurs PC sous Windows XP et WIndows 7, Linux, ainsi qu'un Imac 21 pouces.
J'aime les 3 systèmes qui ont chacun leur avantage. Mais Linux étant conçu avec des normes strictes de sécurité, je perds moins de temps que d'installer 10.000 anti-malware sous Windows.
p.s: @ telnes: tout à fait d'accord avec toi. chiffrer ne sert à rien dans ce cas là. L'équipe qui a conçu ce malware est très futée. La faille est entre la chaise et le clavier, une fois de plus... En fait ils profitent de l'inexpérience des webmasters, et ils font évoluer leur bestiole qui injectait du javascript hier, du php aujourd'hui...
De toute façon, y a encore plus simple : faire un template Wordpress gratuit, encoder dedans du code malicieux en base64 et hop! un paquet se font avoir...
Merci pour tes conseils Jim125
1) J'ai régler ce problème de droit d'Admin en créant une session utilisateur sur laquelle je vais rapatrier tous mes dossiers et documents.
2) Pour la machine Virtuelle, à voir. Je suis assez allergique à Linux tellement j'ai mes habitudes sous windows. Et surtout habitué à mon éditeur Php (Dreamweaver) dont je n'ai pas de version pour Linux. J'avais déjà essayé un petit test sous Linux et sous Mac. Mais je perdait beaucoup trop en efficacité. Mais je garde l'idée....
3) Je vais éplucher le dossier et adapter les droits de mes fichiers FTP
4) Si certains des mes fichiers persos sont infectés, une ré-installation ne changera rien puisqu'il faudra bien que je recopie tout mes fichiers sur la nouvelles install ...? non ?
Est ce qu'une restauration à une date largement antérieure à l'attaque suffirait ? (Je me suis rendu compte de l'attaque le 15/12/11, Je sais bien sûr que le malware pouvait être là bien avant...). A vrai dire j'ai perdu mon CD d'installation Windows...
5) Merci pour le "n'importe qui" lol. Je pense quand même me classer dans les utilisateurs "expérimentés" en développement et création de site mais pas assez visiblement !lol
En tout cas il est clair que j'ai des lacunes en terme de sécu.
1) J'ai régler ce problème de droit d'Admin en créant une session utilisateur sur laquelle je vais rapatrier tous mes dossiers et documents.
2) Pour la machine Virtuelle, à voir. Je suis assez allergique à Linux tellement j'ai mes habitudes sous windows. Et surtout habitué à mon éditeur Php (Dreamweaver) dont je n'ai pas de version pour Linux. J'avais déjà essayé un petit test sous Linux et sous Mac. Mais je perdait beaucoup trop en efficacité. Mais je garde l'idée....
3) Je vais éplucher le dossier et adapter les droits de mes fichiers FTP
4) Si certains des mes fichiers persos sont infectés, une ré-installation ne changera rien puisqu'il faudra bien que je recopie tout mes fichiers sur la nouvelles install ...? non ?
Est ce qu'une restauration à une date largement antérieure à l'attaque suffirait ? (Je me suis rendu compte de l'attaque le 15/12/11, Je sais bien sûr que le malware pouvait être là bien avant...). A vrai dire j'ai perdu mon CD d'installation Windows...
5) Merci pour le "n'importe qui" lol. Je pense quand même me classer dans les utilisateurs "expérimentés" en développement et création de site mais pas assez visiblement !lol
En tout cas il est clair que j'ai des lacunes en terme de sécu.
1) c'est déjà un peu mieux.
2) à toi de voir l'environnement le plus efficace pour toi, selon tes besoins et tes capacités.
3) tes pages n'auraient pas été infectées s'il elles n'avaient pas eu le droit en écriture, tout simplement.
4) Laisse comme ça, et tu verras bien si tes fichiers index se font ré-injecter à nouveau. Sinon c'est que tout va bien.
5) Tu as au moins compris comment remettre ton CMS à neuf et c'est déjà pas mal.
Par contre c'est vrai qu'on peut se poser la question de savoir si les logiciels (navigateurs, Firefox, IE, FTP) devraient ou non
permettre d'enregistrer les mots de passe. Selon moi, c'est idiot car ça ne responsabilise pas les débutants. Firefox, par exemple,
interdit l'exécution de javascript dans la barre d'adresse pour éviter l'auto-xss, mais permets toujours d'enregistrer les mots de passe!
C'est un vaste débat...
2) à toi de voir l'environnement le plus efficace pour toi, selon tes besoins et tes capacités.
3) tes pages n'auraient pas été infectées s'il elles n'avaient pas eu le droit en écriture, tout simplement.
4) Laisse comme ça, et tu verras bien si tes fichiers index se font ré-injecter à nouveau. Sinon c'est que tout va bien.
5) Tu as au moins compris comment remettre ton CMS à neuf et c'est déjà pas mal.
Par contre c'est vrai qu'on peut se poser la question de savoir si les logiciels (navigateurs, Firefox, IE, FTP) devraient ou non
permettre d'enregistrer les mots de passe. Selon moi, c'est idiot car ça ne responsabilise pas les débutants. Firefox, par exemple,
interdit l'exécution de javascript dans la barre d'adresse pour éviter l'auto-xss, mais permets toujours d'enregistrer les mots de passe!
C'est un vaste débat...
La sécurité fait partie des connaissances nécessaires pour la création de sites. Sinon en plus des pb sur ton ordi, tu les répercute sur les sites clients... Pas bon pour l'image de marque ça... Je pense quand même me classer dans les utilisateurs "expérimentés" en développement et création de site mais pas assez visiblement !lol
En tout cas il est clair que j'ai des lacunes en terme de sécu.
Un développeur doit donc en savoir plus niveau sécurité que l'utilisateur lambda qui n'a besoin de se préoccuper que de son poste. Un bon antivirus avec bouclier résident n'est pas un luxe et un bon pare feu genre "comodo" permet de régler finement les accès internet.Après on est jamais à l'abri de tout ce qui fait que les conseils sur le fait d'éviter d'enregistrer les mots de passe sont le bon moyen pour parachever la protection.
Et dans l'absolu éviter d'utiliser des CMS dont le code est ouvert au public est également le meilleur gage de sécurité...
Contrib
Invité n'ayant pas de compte PHPfrance
Est-ce que tu as active le module de 1&1 pour suivre tes stats et normalement un fichier counter est aussi créééé