tsaadi Posté(e) le 10 juillet 2009 Share Posté(e) le 10 juillet 2009 bojour, Permettez moi d'exposer mon probleme qui est le suivant: il y a quelque temps, un message de google me signal la presence d'un code malicieux sur mon site: http://www.santalgerie.com et qu'il va inclure dans les résultats de la recherche pour mon site la mention -Ce site risque d'endommager votre ordinateur.-. Apres verification de code de mes pages j'ai trouvé le code intrus, il s'agit d'un ifram juste apres la balise dont le contenant est le suivant: . pour remidier a cela et dans la folie, j'ai suprimé tout le site de la racine de serveur de mon hebergeur, et j'ai mis une page index pour dire aux internautes que mon site est en travaux, jusqu'a maintenant tout va bien car google a enlevé son alerte des resultats de recherche pour mon site. apres quelques jours et en visitant ma page d'accueil (index), le code malicieux est la!!!! j'ai supprimé la page et j'ai refai le travail, le lendemain c'est la meme chose, l'ifram est la apres la balise body. Pour cela, en sachant que je ne suis qu'un amateur, je tourne vers vous pour me donner un remede, que dois-je faire? par ailleur sachez que j'ai supprimé tout le site de serveur via un client FTP mais j'ai pas supprimé les bases de donnés (mysqel). Je serai la pour tout autre éclaircissement. Nb: je suis aussi le webmaster de site de mon association http://www.association-tazmart.org , le site est aussi infecté avec le meme code (ifram), mais dans ce cas, apres suppression de site infecté (statique et sans base de donnés), je l'est remis sous joomla mais le probleme perciste le code malicieux reviens apres son élimination. Merci pour votre aide a l'avance. Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Invité HAVOC Posté(e) le 10 juillet 2009 Share Posté(e) le 10 juillet 2009 Au début j'ai pensé que c'était le serveur qui était contaminé mais visiblement tu es hébergé chez hostbled sous un serveur LAMP (Linux Apache MySQL PHP) donc il est peu probable que cela vienne de là. Ce que je te conseille de faire : 1/ Scanner ta machine personnelle. (L'infection vient probablement de là). 2/ Modifier ton mot de passe ftp. 3/ Corriger toutes les pages puis re-uploader tes sites. Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
tsaadi Posté(e) le 10 juillet 2009 Auteur Share Posté(e) le 10 juillet 2009 salut, Merci pour une reponse aussi rapide (j'adore ce forum), oui j'ai pensé a cette eventualité le fait que les deux sites sont infectés, mais y'a aussi le faite que j'ai supprimé le code enligne via mon espace de controle a savoir Pleask !!!!, j'ai scanné mon pc ( je suis sous Avira antivir personnel -free antivirus). que me conseillez vous? y a t-il un antivirus particulier pour ce genre de codes malicieux?? merci Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Invité HAVOC Posté(e) le 10 juillet 2009 Share Posté(e) le 10 juillet 2009 Normalement Avira devrait suffire il me semble, essai de vérifier s'il n'y a pas de script CGI ou PHP sur ton espace FTP qui se charge de contaminer tes pages web. Surtout comme je te l'ai dis, pense à changer ton mot de passe ftp. Contact aussi ton hebergeur car ils ont des fichiers LOG qui peuvent permettre d'identifier l'origine du problème. Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
tsaadi Posté(e) le 10 juillet 2009 Auteur Share Posté(e) le 10 juillet 2009 merci encore une fois, je vais suivre tes instructions et je posterais le resultat Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
beeriz Posté(e) le 10 juillet 2009 Share Posté(e) le 10 juillet 2009 Commences par vérifier seulement tes fichiers index.(php/html) tsaadi, à chaque racine de tous tes dossiers et efface l'iframe. et après penses à changer le mot de passe de ton FTP . Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
NumberOne Posté(e) le 10 juillet 2009 Share Posté(e) le 10 juillet 2009 J'avais eu également le même problème d'injection de code dans toutes les pages contenant le mot 'index', la cause provenait du forum phpbb qui étaient installé. Cela peut également provenir de là. Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
tsaadi Posté(e) le 10 juillet 2009 Auteur Share Posté(e) le 10 juillet 2009 Beeriz, j'ai supprimé tout le site de l'association (http://www.association-tazmart.org) de la racine de seveur, y'a plus de dossier ni de fichier index, j'ai uploadé et installé joomla pour la premiere fois sur ce serveur!!!! - dois-je revenir a l'eventualité de l'infection de mon pc?? NumberOne? C'est vrai j'avais installé sur l'autre site (http://www.santalgerie.com) un forum punbb, que j'avai supprimé avec le reste de site, sauf les bases de donnés ET les dossiers contenant dans les sous domaines (cela j'ai omis de le mentionner sur le premier poste), ces dernier peuvent ils etre la cause de la recrudescence de code malicieux (sachant que l'autre site n'a pas de sous domaine ni BDD)?? merci pour toutes vous reponses Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Walid. Posté(e) le 10 juillet 2009 Share Posté(e) le 10 juillet 2009 Regarde la date/heure de dernière modification des fichiers infectés si ça correspond à l'heure de l'upload ou avant ou après. comme ça tu saura où ont été modifiés tes fichiers. C'est vrai que la date peut être falsifiée mais c'est peu probable! Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
tsaadi Posté(e) le 10 juillet 2009 Auteur Share Posté(e) le 10 juillet 2009 merci walid, je suis attentivement tous vous conseil Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
assilabox Posté(e) le 10 juillet 2009 Share Posté(e) le 10 juillet 2009 Salam, Vraisemblablement, il ne s'agit pas du résultat d'une tentative de piratage mais d'une injection automatique. A ma connaissance il s'agit d'un script qui s'incruste dans les clients FTP c r a k é s. Le script rajoute le iframes à toutes les pages transférées par FTP sans que le webmestre ne se rende compte! J'ai également rencontré ce phénomène lors de l'audit de sécurité du site web d'une université, cette fois il ne s'agissait pas de clients FTP c r a k é s mais d'un virus qui touchait une machine du réseau local. Cette fois le script snifait continuellement le réseau à l'attente du moindre transfert par FTP et à ce moment la il se connectait en parallèle sur le FTP et rajoutait le code iframe dans toutes les pages qui portent le nom index. Cette fois c'est le fait d'utiliser un protocole FTP non sécurisé qui a permit au script de récupérer les identifiants FTP qui voyagent en claire. Afin d'éviter ce genre de problème il est indiqué d'amener tous les webmestres à utiliser un client FTP libre d'une part et d'utiliser un protocole de transfert FTP sécurisé par exemple SFTP sinon de passer uniquement par le SSH pour la mise à jour des sites. J'espère que ca va t'aider Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
tsaadi Posté(e) le 10 juillet 2009 Auteur Share Posté(e) le 10 juillet 2009 En se qui me concerne, le client ftp que j'utilise est FileZilla qui est biensur libre, mais je suis pas sous la derniere version (j'ai pas encore fais la mise a jour). Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
tsaadi Posté(e) le 13 juillet 2009 Auteur Share Posté(e) le 13 juillet 2009 (modifié) slt, voila je vais faire le point sur la situation a laquelle je suis arrivé: vraissemblablement (je dirai plutot surement) le probleme viens de l'infection de mon pc puisque apres avoir desinstallé mon ancien avira free, je me suis procuré kasperski 2010 (version d'evaluation, pour que certains n'auront pas a penser au ***** ;-) ) ce dernier a mis en evidence quelque virus et trojans dont voici quelques uns: - heur: trojans.script.iframer -heur: exploit.script.generic -trojan-dawnloader.win32.agent.chjt -trojan-dawnloader.js.iframer.dba -worm.win32.autoIT.oa j'espere que le probleme de code malicieux sur mes site viens de la, au moment ou kasperski s'est chargé de les nettoyé. j'aurai la confirmation lorsque je finirai d'uploader mes sites de nouveaux merci ps: je modifier car je me suis etonné de voir les etoiles a la place de c r a c k ;-) Modifié le 13 juillet 2009 par tsaadi Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.