[problème] code malicieux sur mes sites

[tsaadi]

bojour,

 

Permettez moi d'exposer mon probleme qui est le suivant: il y a quelque temps, un message de google me signal la presence d'un code malicieux sur mon site: http://www.santalgerie.com et qu'il va inclure dans les résultats de la recherche pour mon site la mention -Ce site risque d'endommager votre ordinateur.-.

Apres verification de code de mes pages j'ai trouvé le code intrus, il s'agit d'un ifram juste apres la balise

dont le contenant est le suivant:

. pour remidier a cela et dans la folie, j'ai suprimé tout le site de la racine de serveur de mon hebergeur, et j'ai mis une page index pour dire aux internautes que mon site est en travaux, jusqu'a maintenant tout va bien car google a enlevé son alerte des resultats de recherche pour mon site. apres quelques jours et en visitant ma page d'accueil (index), le code malicieux est la!!!! j'ai supprimé la page et j'ai refai le travail, le lendemain c'est la meme chose, l'ifram est la apres la balise body.

 

Pour cela, en sachant que je ne suis qu'un amateur, je tourne vers vous pour me donner un remede, que dois-je faire?

par ailleur sachez que j'ai supprimé tout le site de serveur via un client FTP mais j'ai pas supprimé les bases de donnés (mysqel).

Je serai la pour tout autre éclaircissement.

 

Nb: je suis aussi le webmaster de site de mon association http://www.association-tazmart.org , le site est aussi infecté avec le meme code (ifram), mais dans ce cas, apres suppression de site infecté (statique et sans base de donnés), je l'est remis sous joomla mais le probleme perciste le code malicieux reviens apres son élimination.

Merci pour votre aide a l'avance.

[Invité HAVOC]

Au début j'ai pensé que c'était le serveur qui était contaminé mais visiblement tu es hébergé chez hostbled sous un serveur LAMP (Linux Apache MySQL PHP) donc il est peu probable que cela vienne de là.

 

Ce que je te conseille de faire :

1/ Scanner ta machine personnelle. (L'infection vient probablement de là).

2/ Modifier ton mot de passe ftp.

3/ Corriger toutes les pages puis re-uploader tes sites.

[tsaadi]

salut,

Merci pour une reponse aussi rapide (j'adore ce forum), oui j'ai pensé a cette eventualité le fait que les deux sites sont infectés, mais y'a aussi le faite que j'ai supprimé le code enligne via mon espace de controle a savoir Pleask !!!!, j'ai scanné mon pc ( je suis sous Avira antivir personnel -free antivirus). que me conseillez vous? y a t-il un antivirus particulier pour ce genre de codes malicieux??

 

merci

[Invité HAVOC]

Normalement Avira devrait suffire il me semble, essai de vérifier s'il n'y a pas de script CGI ou PHP sur ton espace FTP qui se charge de contaminer tes pages web.

 

Surtout comme je te l'ai dis, pense à changer ton mot de passe ftp. Contact aussi ton hebergeur car ils ont des fichiers LOG qui peuvent permettre d'identifier l'origine du problème.

[tsaadi]

merci encore une fois, je vais suivre tes instructions et je posterais le resultat

[beeriz]

Commences par vérifier seulement tes fichiers index.(php/html) tsaadi, à chaque racine de tous tes dossiers et efface l'iframe. et après penses à changer le mot de passe de ton FTP .

[NumberOne]

J'avais eu également le même problème d'injection de code dans toutes les pages contenant le mot 'index', la cause provenait du forum phpbb qui étaient installé.

Cela peut également provenir de là.

[tsaadi]

Beeriz, j'ai supprimé tout le site de l'association (http://www.association-tazmart.org) de la racine de seveur, y'a plus de dossier ni de fichier index, j'ai uploadé et installé joomla pour la premiere fois sur ce serveur!!!! - dois-je revenir a l'eventualité de l'infection de mon pc??

NumberOne? C'est vrai j'avais installé sur l'autre site (http://www.santalgerie.com) un forum punbb, que j'avai supprimé avec le reste de site, sauf les bases de donnés ET les dossiers contenant dans les sous domaines (cela j'ai omis de le mentionner sur le premier poste), ces dernier peuvent ils etre la cause de la recrudescence de code malicieux (sachant que l'autre site n'a pas de sous domaine ni BDD)??

 

merci pour toutes vous reponses

[Walid.]

Regarde la date/heure de dernière modification des fichiers infectés si ça correspond à l'heure de l'upload ou avant ou après. comme ça tu saura où ont été modifiés tes fichiers. C'est vrai que la date peut être falsifiée mais c'est peu probable!

[tsaadi]

merci walid, je suis attentivement tous vous conseil

[assilabox]

Salam,

 

Vraisemblablement, il ne s'agit pas du résultat d'une tentative de piratage mais d'une injection automatique. A ma connaissance il s'agit d'un script qui s'incruste dans les clients FTP c r a k é s. Le script rajoute le iframes à toutes les pages transférées par FTP sans que le webmestre ne se rende compte!

 

J'ai également rencontré ce phénomène lors de l'audit de sécurité du site web d'une université, cette fois il ne s'agissait pas de clients FTP c r a k é s mais d'un virus qui touchait une machine du réseau local. Cette fois le script snifait continuellement le réseau à l'attente du moindre transfert par FTP et à ce moment la il se connectait en parallèle sur le FTP et rajoutait le code iframe dans toutes les pages qui portent le nom index. Cette fois c'est le fait d'utiliser un protocole FTP non sécurisé qui a permit au script de récupérer les identifiants FTP qui voyagent en claire.

 

Afin d'éviter ce genre de problème il est indiqué d'amener tous les webmestres à utiliser un client FTP libre d'une part et d'utiliser un protocole de transfert FTP sécurisé par exemple SFTP sinon de passer uniquement par le SSH pour la mise à jour des sites.

 

J'espère que ca va t'aider

[tsaadi]

En se qui me concerne, le client ftp que j'utilise est FileZilla qui est biensur libre, mais je suis pas sous la derniere version (j'ai pas encore fais la mise a jour).

[tsaadi]

slt,

voila je vais faire le point sur la situation a laquelle je suis arrivé: vraissemblablement (je dirai plutot surement) le probleme viens de l'infection de mon pc puisque apres avoir desinstallé mon ancien avira free, je me suis procuré kasperski 2010 (version d'evaluation, pour que certains n'auront pas a penser au ***** ;-) ) ce dernier a mis en evidence quelque virus et trojans dont voici quelques uns:

- heur: trojans.script.iframer

-heur: exploit.script.generic

-trojan-dawnloader.win32.agent.chjt

-trojan-dawnloader.js.iframer.dba

-worm.win32.autoIT.oa

 

j'espere que le probleme de code malicieux sur mes site viens de la, au moment ou kasperski s'est chargé de les nettoyé.

 

j'aurai la confirmation lorsque je finirai d'uploader mes sites de nouveaux

 

merci

 

ps: je modifier car je me suis etonné de voir les etoiles a la place de c r a c k ;-)

Modifié le 13 juillet 2009 par tsaadi