Discussion :

[SebCBien]

Bonjour,

Ca fait 3 fois que le code du fichier index.php est modifié en une semaine.


Les permissions sur ce fichier : 775 -> c'est ok ?

Tous mes fichiers sont dans le répertoire public_html (hébergeur ophos), c'est logique ?

Faut-il changer de mot de passe ?

1 ou 2 conseils peut-être ?

Merci,

a+

[neqel]

bonjour,

j'ai le même problème que toi depuis environ trois semaines...
la réponse de mon hébergeur " il y'a des failles dans vos scripts php et les hackers en profitent : sécurisez ces failles."

je n'ai toujours pas trouvé la solution et les failles d'ailleurs !

courage...

[Nnorv]

Les recommendations de sophos labs, qui ont nomme le malware Troj/JSRedir-R:
http://www.sophos.com/blogs/sophoslabs/v/post/4422

En autres mots, lorsqu'on visite un site infecte, quelque malware de [un_nom].cn est execute sur son ordinateur, a l'aide the quelque vulnerabilites de adobe ou flash (si non mises a jour). Ce malware lit les mots de passe de son client ftp, et les transmit sur l'internet. On va alors se connecter de nouveau et de nouveau aux sites compromis, et modifier de nouveau le code...
Changez vos mots de passe, sur un ordinateur qui n'est pas compromis, mettez a jour votre antivirus and essayer d'eliminer toute trace de malware de vos ordinateur (ou autre administrateurs).

Bonne chance!
(svp veuillez excuser les accents manquants)

[neqel]

bonjour,
je te remercie pour tes informations.

j'avoue être complètement despespéré, j'ai ce problème sur environ 5 hébergement : les fichiers index.php est infecté par une balise iframe

qui est introduite apres la balise body et qui contamine l'ordinateur client.

le point commun de mes sites est qu'ils ont tous une animation flash, le problème viendrait peut être d'une faille du lecteur flash si j'en comprend bien les dires des sites us.

je vais tenter de résoudre le probleme en cherchant sur les sites indiqués plus haut, si quelqu'un a une solution en attendant...

merci à tous!

[Romalafrite]

Bonjour,

idem, 2 fois depuis le début de la semaine, connexion par FTP (9 minutes). J'ai également du flash sur le site en question.

Tenons-nous informés

[edit] Chez moi, il s'attaque à tous les fichier contenant "index" que ce soit un html, un php, un index-qqchose.html, etc. [/edit]

[Romalafrite]

Cela pourrait venir de vos ordinateurs. Avez-vous les logiciels FTP Expert / Photoshop / UltraEdit ?

[neqel]

Bonjour à tous,

alors j'ai définitivement résolu ce problème !


pour résoudre le problème, j'ai procédé de la manière suivante :

1) Changement des mots de passe de mes ftp via un autre ordinateur non contaminé.
2) Suppression de toutes les pages contaminées via logiciel FTP (normal...)
3) Analyse des pages de mes dossiers de sites web
4) Sauvegarde de mes sites
5) Formatage de l'ordinateur infecté (l'antivirus supprimant le trojan, celui-ci revient à chaque fois)
4) Installation windows ect...!
5) Mise à jour de mes pages sur le ftp.

J'éspère que cela vous aidera.

[Romalafrite]

Avais-tu l'un des logiciels de mon précédent post ?

[neqel]

Oui j'ai Photoshop.
J'ai également ftp expert mais juste en .exe pas installé.
J'ai envoyé un mail à mon hébergeur (ovh) et ceux ci ont stipulé qu'il y'avait le virus sur leur server mais qu'il avait été supprimé il y'a peu.

[FoxLeRenard]

Bonjour,

Nous avons supprimé de deux messages le code de IFRAME du aux attaques,
ce n'est que pour protéger ceux qui liraient vos échanges et n'aurait pas la compétence pour se protéger du trojan présent sur le site indiqué !

En conséquense ceux qui auraient un doute, peuvent controler s' ils n'ont pas dans
Démarrer ==> Programmes ==> Démarrage ==> rncsys32.exe

si présent,
supprimez
videz la corbeille
videz tous vos temp et temporary y compris celui de windows/temp

rebootez