Trojan sur mon site

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Trojan sur mon site

    Bonjour à tous,
    j'ai eu la magnifique surprise de constater qu'en se connectant sur mon site www.mestresbrasil.com, mes clients ou plutôt (futur ex-clients) se voyaient avoir une alerte (si antivirus possédé) comme quoi il y avait un trojan sur mon site qui ne demandait qu'à battifoler dans leurs ordinateurs.

    J'ai tout effacé, supprimé mes bases sql, le virus est toujours là, sachant qu'il y a un premier index html menant aux divers sous domaines, je pensais avoir resserrer l'étreinte sur ma proie mais impossible à trouver en voyant le code ni en scannant avec avast et malwarebytes anti malwares, rien.

    Comment s'en débarasser ?

    merci d'avance de votre aide !
    Dernière édition par thuraminho2 à 03/06/2009, 17h30

  • #2
    Bonjour,
    ça se passe là :
    Code:
    <script type="text/javascript">eval(String.fromCharCode(118,97,1...50,52))</script>
    juste après la balise body.
    Une fois executé l'eval, ça doit donner un iframe vers un site pourri... et tu va trouver ça dans tous les fichiers index de ton site.

    1. Tu dois avoir une saloperie sur ta machine, tant qu'elle sera là ça reviendra, passe par exemple Malwarebytes ou HijackThis (fais toi aider sur un forum spécialisé) pour l'éradiquer. Sinon dès que tu as fini le ménage, ça repasse...
    2. Change tes comptes/mots de passe FTP
    3. Arrête de stocker tes mots de passe FTP dans Filezilla ou assimilé...
    Schtroumpfe toi le Schtroumpf t'aidera.
    Je ne schtroumpfe pas aux demandes de schtroumpf par MP.

    Commentaire


    • #3
      Su tu fais le 2. (changement de compte FTP) et le ménage d'une autre machine, ça devrait te laisser le temps de faire le ménage en local tranquilement.
      Schtroumpfe toi le Schtroumpf t'aidera.
      Je ne schtroumpfe pas aux demandes de schtroumpf par MP.

      Commentaire


      • #4
        Merci beaucoup grand Schtroumpf, j'ai tout changé, enlevé le script trojan, fait analysé mes logs avec hijack this et toolbar s&d et tout va mieux.

        Commentaire


        • #5
          Même problème...

          Envoyé par Grand Schtroumpf Voir le message
          Bonjour,
          ça se passe là :
          Code:
          <script type="text/javascript">eval(String.fromCharCode(118,97,1...50,52))</script>
          juste après la balise body.
          Une fois executé l'eval, ça doit donner un iframe vers un site pourri... et tu va trouver ça dans tous les fichiers index de ton site.

          1. Tu dois avoir une saloperie sur ta machine, tant qu'elle sera là ça reviendra, passe par exemple Malwarebytes ou HijackThis (fais toi aider sur un forum spécialisé) pour l'éradiquer. Sinon dès que tu as fini le ménage, ça repasse...
          2. Change tes comptes/mots de passe FTP
          3. Arrête de stocker tes mots de passe FTP dans Filezilla ou assimilé...
          rebonjour Grand Schtroumpf, comme mentionné dans un autre post, j'ai eu la même chose fin de semaine passée, j'ai tout remis à neuf, backup clean, scan disk avec avast, désinstallé flashFXP et installé un filezilla neuf, changé pass, etc. cherché les injections avec notepad++... Mais ce matin c'était revenu!!

          La dernière fois je n'avais pas lu cette discussion, je n'avais donc pas cherché le script mentionné.. C'est un script "standard" ou il est à adapté (pour recherche) selon le site en question? C'est une ligne de code que tu avais trouvé dans la source du site infecté? Comment je peux savoir s'il reste la source des attaques ou pas?

          Merci d'avance, ça me déprime un peu...!
          www.shapenutrition.be

          Commentaire


          • #6
            Bonjour,
            là c'est le script trouvé sur ce site en particulier. En l'occurence l'iframe est masqué et apparait quand l'eval du javascript est exécuté. J'ai vu des iframe en clair, d'autres fabriqués en JS à partir de 3-4 variables... Donc pas simple pour les recherches a priori. Par contre quand un site est infecté c'est toujours la même forme...
            Pour l'éradication : ce que j'ai vu c'est tous les index.* touchés sur 3 niveaux de dossiers à partir de la racine. En dessous raz.
            Méthode manuelle/visuelle : commencer par virer les templates non utilisés, sous ftp trier les fichiers par date, les index modifiés remonte au dessus ; la date/heure de modification + la taille du fichier montrent les index.html modifiés. Les index.php sont plus rare : racine, template, administrator, et quelques extensions comme agora.
            Autre technique (ou contrôle) : une fois le poste vacciné, redescendre le site par FTP : l'antivirus couine si des fichiers ont été oubliés.
            Étant bien entendu que la meilleure méthode est de remonter la dernière sauvegarde qui comme il se doit est récente et saine
            Schtroumpfe toi le Schtroumpf t'aidera.
            Je ne schtroumpfe pas aux demandes de schtroumpf par MP.

            Commentaire


            • #7
              Mouais... J'ai fait tout ça mais le truc c'est que l'antivirus (avast) a trouvé des trojans la 1re fois mais après nettoyage ça s'est reproduit et là grand vide ; il ne trouvait plus rien au scan (pourtant minutieux). Je n'ose plus laisser filezilla ouvert plus de 10sec! Depuis dimanche, plus rien d'anormal, mais comme je dis je n'ouvre pratiquement plus filezilla. Qui ne sauvegarde évidemment pas mes login/pass. C'était exactement comme décrit ; fichiers atteints sur min 3 niveaux, et pas QUE les index.html ; j'ai trouvé des insertions dans mes fichiers default.php également et index.php index2.php ! A la fin toujours... Et étrangement depuis Crawltrack ne me donner plus le nombre de page de mon site (en haut à droite) alors que le tag est encore inséré. J'ai vu aussi, dans le pire de la 1re l'infection, du javascript comme tu expliquais, où le lien était "brisé" en plusieurs bouts "à décoder au vol"... Pas évident.
              www.shapenutrition.be

              Commentaire


              • #8
                Bonsoir,

                Le site dont je m'occupe est régulièrement piraté depuis début Juillet. Même procédure, modification de tous les fichiers index (php ou html) ainsi que du fichier mainbody.php.

                Le fichier index.php sous la racine se retrouve corrompu et le site ne s'affiche pas, mis à part une belle erreur php.

                Je confirme que l'attaque s'effectue par FTP, et ceci même si mon PC (seul poste sur lequel j'ai configuré un client FTP sans mémorisation de mdp en plus) est éteint.

                Le premier fichier a été modifié à 4h40, le dernier à 7h15.

                J'ai récupérer les logs FTP de mon hébergeur (OVH) et c'est plutot étonnant :

                Un premier client effectue un listing complet à partir de / et puis ensuite on a un client par requète d'upload ou de download des fichiers concernés.

                Impossible de déterminer l'origine de l'attaque, les IP provenant aussi bien des US, d'Afrique ou d'Asie.

                J'ai quand même changer le mot de passe FTP et passer les fichiers incriminés en 404.

                Par contre, cela fait réfléchir à la sécurité de la base SQL avec le fait que les identifiants sont en clair dans le fichier configuration.php. Est-il possible de crypter leurs valeurs ou au moins celle du mot de passe ?

                D'avance merci.

                Commentaire


                • #9
                  bonsoir

                  très bonne question au sujet du fichier de configuration qui contient les éléments de connexion en claire?

                  merci
                  Connaitre son ignorance est la meilleure part de la connaissance.

                  Commentaire


                  • #10
                    Bonsoir,

                    80% des hacks de site passe par la récup des mots de passe et les données personnels sur des pc vérolé ou mal protégé ou en utilisant des logiciels piraté ftp ou autre.

                    Pour protéger configuration.php si ca peux vous aider

                    http://extensions.joomla.org/extensi...y/7292/details
                    Impression textile

                    Commentaire

                    Annonce

                    Réduire
                    1 sur 2 < >

                    C'est [Réglé] et on n'en parle plus ?

                    A quoi ça sert ?
                    La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                    Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                    Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                    Comment ajouter la mention [Réglé] à votre discussion ?
                    1 - Aller sur votre discussion et éditer votre premier message :


                    2 - Cliquer sur la liste déroulante Préfixe.

                    3 - Choisir le préfixe [Réglé].


                    4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                    2 sur 2 < >

                    Assistance au forum - Outil de publication d'infos de votre site

                    Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                    Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                    Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                    UTILISER À VOS PROPRES RISQUES :
                    L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                    Problèmes connus :
                    FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                    Installation :

                    1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                    Archive zip : https://github.com/AFUJ/FPA/zipball/master

                    2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                    3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                    4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                    5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                    6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                    et remplacer www. votresite .com par votre nom de domaine


                    Exemples:
                    Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                    Télécharger le script fpa-fr.php dans: /public_html/
                    Pour executer le script: http://www..com/fpa-fr.php

                    Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                    Télécharger le script fpa-fr.php dans: /public_html/cms/
                    Pour executer le script: http://www..com/cms/fpa-fr.php

                    En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                    Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                    Voir plus
                    Voir moins
                    Travaille ...
                    X