1. #1
    Candidat au Club
    Homme Profil pro
    Développeur Web
    Inscrit en
    novembre 2017
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Réunion

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : novembre 2017
    Messages : 2
    Points : 3
    Points
    3

    Par défaut Bloquer l'appel à un script js malveillant (appel malveillant de coinhive.min.js)

    Bonjour,

    le site dont j'ai la gestion a été hacké (un vieux CMS plein de failles dont la migration est en cours), j'ai identifié le script : coinhive.min.js, un mineur de crypto-monnaie .

    Hors impossible de localiser l'endroit du site ou se fait l'appel du script (recherche sur tout les fichiers du site avec le nom du script ou l'url appelée pour le charger : hxxps://coinhive.com/lib/coinhive.min.js), contrôle de toutes les balises script, des src, je pense que l'appel est relayé par un autre script que je n'arrive pas à identifier.

    J'ai pensé bloquer l'appel sortant du script en filtrant les urls extérieures au domaine que mon site appel, et ce avec un .htaccess mais l'appel se fait depuis le poste client donc est-ce possible ? Ou y a t'il une autre méthode ?.

    ... Malgré toutes mes recherches je ne trouve pas de procédures, toute la littérature parle d’empêcher les aspirations de sites ou bloquer l'accès à certaines données, mais pas le blocage d'appel de script extérieurs au domaine, et j'ignore comment tracer les requêtes GET qui génèrent au final l'appel de ce script (que je vois dans l'onglet réseau du Deboggeur) .

    Quelqu'un aurait une idée ? Le script de coinhive.com déclenche une alerte Avast et ça fait désordre pour les visiteurs, aussi je voudrait le bloquer le temps de trouver ou il est .

    Bien cordialement,

    Laurent

  2. #2
    Expert éminent sénior
    Avatar de mathieu
    Profil pro
    Inscrit en
    juin 2003
    Messages
    6 526
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juin 2003
    Messages : 6 526
    Points : 10 446
    Points
    10 446

    Par défaut

    Si l'appel est caché, nous pourrons difficilement vous aider puisque nous n'avons pas accès aux fichiers.
    Le code qui génère l'appel peut se trouver dans n'importe quel fichier du CMS.

  3. #3
    Candidat au Club
    Homme Profil pro
    Développeur Web
    Inscrit en
    novembre 2017
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Réunion

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : novembre 2017
    Messages : 2
    Points : 3
    Points
    3

    Par défaut Touvé ! C'était du js obfusqué ...

    Après trois jours de recherche j'ai enfin pu débusquer et neutraliser trois fichiers js altérés et obfusqués (mootools.js, mootools-core.js et caption.js).

    ça ressemblait à ça :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    var _0xc86a=["\x3C\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3D\x22\x68\x74\x74\x70\ ...
    Je les ai repérés parce-qu’ils étaient illisibles et les ai décodé grâce au site http://www.dcode.fr/javascript-unobfuscator.

    Une fois remplacés et vidé le cache l'appel a disparu ...

    Si ça peut servir ...

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. Script perl qui appelle un script perl avec un time
    Par lovelace63 dans le forum Programmation et administration système
    Réponses: 3
    Dernier message: 21/09/2012, 20h40
  2. [Newbie] Problème d'appel de script perl
    Par NoCoZ dans le forum Eclipse Java
    Réponses: 2
    Dernier message: 21/02/2006, 18h43
  3. debutant= appel de script dans html
    Par sadkill dans le forum JavaScript
    Réponses: 2
    Dernier message: 20/02/2006, 14h17
  4. [Sqlplus ] Appel depuis script KSH
    Par kasiop dans le forum Oracle
    Réponses: 2
    Dernier message: 27/01/2006, 11h25
  5. Réponses: 6
    Dernier message: 23/05/2005, 09h33

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo