Discussion :

[Lost In Translation]

Bonjour,

J'espère être dans le bon forum.

J'ai un client (appelons-le C) qui est hébergé chez un hébergeur (que nous appellerons H).

Mon client possède un serveur dédié chez eux.
C'est une Linux/Debian Linux 2.6.18-6-amd64.
Le serveur web est apache (je ne saurais vous dire s'il s'agit du 1 ou du 2)
La gestion du serveur se fait via PLESK 8.3.0

Il faut savoir que l'interface Plesk est mon seul accès sur le serveur.
Pas d'accès physique, pas d'accès ssh.

Le serveur héberge 4 sites.

1 site en flash avec 1 formulaire de contact en flash (appelons le MAIN car c'est le site principal) - pas de base de données
2 sites en flash sans formulaire de contact (S1 et S2) - pas de base de données
1 site créé par ma boite (php/mysql/js/poilito de flash). Les 3 autres sites ne sont donc pas de nous.

Depuis mi décembre, le site MAIN est en proie à une sorte de virus.
En effet, dans la page index.html, après la balise </html> une IFRAME s'insère redirigeant sur des sites considérés comme dangereux.

Les Antivirus abandonne donc la connexion au site (avast donne le code d'erreur HTML:Iframe-inf). Et si vous essayez d'accéder directement à ces sites dangereux , google les bloque et affiche un rapport.

Bref.

Pour contrer ça, je supprime la ligne en cause

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<iframe src="un_site_dangereux" style="visibility:none;" />

et je remets la page nettoyée...

Et 2 jours plus tard, c'est de retour. Mais ça ne redirige jamais vers le même site.

Les sites S1 et S2 ne sont aucunement infectés. Et notre site non plus (je suis tenté de dire qu'on essaye de bien faire notre travail :p).

Je pense que le soucis vient du formulaire (en flash) de contact. Le script php derrière ne doit pas protéger les données et j'pense qu'il y a une faille de type XSS qui permet de pousser du code en fin de la page d'accueil.

Outre le fait que nous proposons à nos clients de remédier au problème... à votre avis, est-ce qu'il est possible que je me trompe ?

Je viens de contacter leur hébergeur pour récupérer les logs des requêtes HTTP passées entre le 09/02 et le 11/02 (date d'apparition de la nouvelle infection) pour voir s'il n'y a pas des choses bizarres...

- Pensez-vous que ça peut être autre chose qu'une faille XSS ?
- Cela peut-il venir d'une faille de sécurité de l'hébergeur ?
- Connaissez vous un moyen via PLESK d'accéder aux logs HTTP ?

Sur le serveur tourne l'antivirus Dr. Web Antivirus et SpamAssassin.
Je ne pense donc pas que ça doit une attaque virale, mais bien une exploitation de faille...

Qu'en pensez-vous ?

Merci

[guix69]

Bonjour,

J'ai exactement le même problème sur un site dont je m'occupe.
La porte d'entrée est peut-être dans mon cas le forum phpBB mais en tout cas j'ai un paquet de fichiers "infectés" par une iframe qui renvoie vers google-ana1yticz.com?click=xxxxx

J'essaie de trouver la faille et d'y remédier, peut-être qu'à deux (ou plus) nous pourrons y arriver

G.

[fugitif]

Je m'occupe d'un serveur ou il y a le même problème d'injection de code.
Il ajoute une iframe sur le fichier index.php
Cela proviens aussi sûrement d'un formulaire.