Site piraté, ajout de code permanent

Version imprimable

Bonjour,

A chaque fin de mois, le site de mon ami est piraté avec l'ajout dans l'index d'un code du style :

Code:

<iframe src="http://********" style="visibility: hidden; position: absolute; left: 0px; top: 0px" width="10" height="10"/>

La navigation se fait en chargeant les pages dans un div de la page index avec le code Jquery suivant :

Page index.html
Code:

1 2 3 4 5 6 7 8 9 [...] <noscript> <meta http-equiv="Refresh" content="0;URL='javascript.html'"/> </noscript> <script src="//ajax.googleapis.com/ajax/libs/jquery/1.8.1/jquery.min.js"> </script> <script type="text/javascript" src="script.js"> </script> [...]
Page script.js
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 $(document).ready(function(){ $('#menu').on("click", "a", function(){ page=($(this).attr("href")); id=$(this).attr("id"); $.ajax({ url: page, success : function(){ $('#corps').load(page); for (i=1; i<=10; i++){ document.getElementById('a'+i).style.color='#002822'; document.getElementById('a'+i).style.backgroundColor='#FFFFFF'; } document.getElementById('corps').scrollTop=0; document.getElementById(id).style.color='#FFFFFF'; document.getElementById(id).style.backgroundColor='#002822'; }, error : function(XMLHttpRequest, textStatus, errorThrows){alert('erreur système');} }); return false; }); actualisation(); }); function actualisation(){ for (i=1; i<=10; i++){ if("#ffffff"==colorToHex($('#a'+i).css("color"))){ if(i!=1){$('#a1').css("background-color", "#ffffff"); $('#a1').css("color", "#002822"); } page=($('#a'+i).attr("href")); $('#corps').load(page); } } } function colorToHex(color) { if (color.substr(0, 1) === '#') { return color; } var digits = /(.*?)rgb$(\d+), (\d+), (\d+)$/.exec(color); var red = parseInt(digits[2]); var green = parseInt(digits[3]); var blue = parseInt(digits[4]); var rgb = blue | (green << 8) | (red << 16); return digits[1] + '#' + rgb.toString(16); };
Informations complémentaires :

Hébergeur : Orange
Pages : Toutes ont pour extension .html
Contact : Utilisation du formulaire de contact d'orange
Compteur : Utilisation du compteur d'orange

J'ai pensé à un problème lié au formulaire de contact d'Orange mais c'est peu probable.

Je viens donc vers vous pour savoir si le code Jquery n'aurait pas une faille de sécurité.

Merci d'avance

03/05/2013, 16h05
SpaceFrog

Il est absolument impossible que jquery puisse ecrire quoi que ce soit sur le serveur !

Regarde plutot du coté d'eventuelles libs php que tu utiliserais genre phpmailer ou autre, vérifie tes fichiers htaccess si tu en as ...

Merci pour votre réponse.

Justement c'est le problème. Il n'y a rien en PHP sauf dans la page contact.html, le code suivant qui appartient à Orange :
Code:

1 2 3 4 5 [...] <script language="javascript" src="http://pages.perso.orange.fr/js/verifFormulaire.js"> </script> <form method="post" action="http://pages.perso.orange.fr/php/formulaire.php" onSubmit="return verifFormulaire( this )"> [...]
Merci

03/05/2013, 16h11
Pelote2012

Moi ce qui m'interpelle c'est que c'est à chaque fin de mois :?

Un piratage est plutot du genre aléatoire et plusieurs fois par jour. Car se sont des robots qui font ça.

Donc vérif tes bibliothèques et regarde si la date de modif de ton site correspond à une action particulière.

et si c'est toujours la même adresse, Peux-tu lancer une recherche sur cette adresse.

As-tu demandez à Orange s'il connaisse le problème?
03/05/2013, 16h15
Invité

Premier piratage : 26/01/2013 15:23:01
Deuxième piratage : 24/03/2013 18:23:01
Troisième piratage : 25/04/2013 02:35:19

Avec les pages perso d'Orange, je n'ai pas trouvé de log de connexion donc difficile de voir les actions précédents le piratage.

Je n'ai pas contacté Orange car j'ai pensé que le problème venait du code.

Pour les adresses de la frame, il n'a noté que les deux dernières fois.

Le fichier php appelé est toujours le même.
Les noms de domaine changent :
1) Un chez GoDaddy.com
2) Un chez 1&1 Internet AG avec des informations sur le détenteur
03/05/2013, 16h25
SpaceFrog

tu as des fichiers htaccess ?

sinon tu utilises quoi comme client ftp ?

change tes mdp ...
03/05/2013, 16h28
Invité
Il n'y a pas de fichier .htaccess.

Il y a :

- Un fichier robots.txt
Code:

1 2 User-agent: * Disallow: /javascript.html
- Un fichier créé sur Google pour le référencement

Le client FTP est WinSCP et le mot de passe a été modifié après le deuxième piratage.
03/05/2013, 16h29
SpaceFrog

tu ne reponds pas à mes questions ...

quel est ton client FTP ?
03/05/2013, 16h30
Invité

Effectivement, j'ai édité pour répondre.

Citation:

Le client FTP est WinSCP et le mot de passe a été modifié après le deuxième piratage.
03/05/2013, 16h31
SpaceFrog

Utilises Filezilla et modifies tes mots de passe

il est possible que ton client FTP soit une passoire
03/05/2013, 16h35
Invité

Ok mais il me semble que lui utilise Filezilla.

On verra à la fin du mois si le pirate est de retour.

Merci pour l'aide apportée.
03/05/2013, 16h56
Pelote2012

Pausez quand même la question à Orange.

Si c'est pas des sites débile mais des pubs ... :aie:
03/05/2013, 16h58
Invité

Je vais lui dire de les contacter.

Merci