Jump to content
tsaadi

code malicieux sur mes sites

Recommended Posts

bojour,

 

Permettez moi d'exposer mon probleme qui est le suivant: il y a quelque temps, un message de google me signal la presence d'un code malicieux sur mon site: http://www.santalgerie.com et qu'il va inclure dans les résultats de la recherche pour mon site la mention -Ce site risque d'endommager votre ordinateur.-.

Apres verification de code de mes pages j'ai trouvé le code intrus, il s'agit d'un ifram juste apres la balise

dont le contenant est le suivant:

. pour remidier a cela et dans la folie, j'ai suprimé tout le site de la racine de serveur de mon hebergeur, et j'ai mis une page index pour dire aux internautes que mon site est en travaux, jusqu'a maintenant tout va bien car google a enlevé son alerte des resultats de recherche pour mon site. apres quelques jours et en visitant ma page d'accueil (index), le code malicieux est la!!!! j'ai supprimé la page et j'ai refai le travail, le lendemain c'est la meme chose, l'ifram est la apres la balise body.

 

Pour cela, en sachant que je ne suis qu'un amateur, je tourne vers vous pour me donner un remede, que dois-je faire?

par ailleur sachez que j'ai supprimé tout le site de serveur via un client FTP mais j'ai pas supprimé les bases de donnés (mysqel).

Je serai la pour tout autre éclaircissement.

 

Nb: je suis aussi le webmaster de site de mon association http://www.association-tazmart.org , le site est aussi infecté avec le meme code (ifram), mais dans ce cas, apres suppression de site infecté (statique et sans base de donnés), je l'est remis sous joomla mais le probleme perciste le code malicieux reviens apres son élimination.

Merci pour votre aide a l'avance.

Share this post


Link to post
Share on other sites
Guest HAVOC

Au début j'ai pensé que c'était le serveur qui était contaminé mais visiblement tu es hébergé chez hostbled sous un serveur LAMP (Linux Apache MySQL PHP) donc il est peu probable que cela vienne de là.

 

Ce que je te conseille de faire :

1/ Scanner ta machine personnelle. (L'infection vient probablement de là).

2/ Modifier ton mot de passe ftp.

3/ Corriger toutes les pages puis re-uploader tes sites.

Share this post


Link to post
Share on other sites

salut,

Merci pour une reponse aussi rapide (j'adore ce forum), oui j'ai pensé a cette eventualité le fait que les deux sites sont infectés, mais y'a aussi le faite que j'ai supprimé le code enligne via mon espace de controle a savoir Pleask !!!!, j'ai scanné mon pc ( je suis sous Avira antivir personnel -free antivirus). que me conseillez vous? y a t-il un antivirus particulier pour ce genre de codes malicieux??

 

merci

Share this post


Link to post
Share on other sites
Guest HAVOC

Normalement Avira devrait suffire il me semble, essai de vérifier s'il n'y a pas de script CGI ou PHP sur ton espace FTP qui se charge de contaminer tes pages web.

 

Surtout comme je te l'ai dis, pense à changer ton mot de passe ftp. Contact aussi ton hebergeur car ils ont des fichiers LOG qui peuvent permettre d'identifier l'origine du problème.

Share this post


Link to post
Share on other sites

Commences par vérifier seulement tes fichiers index.(php/html) tsaadi, à chaque racine de tous tes dossiers et efface l'iframe. et après penses à changer le mot de passe de ton FTP .

Share this post


Link to post
Share on other sites

J'avais eu également le même problème d'injection de code dans toutes les pages contenant le mot 'index', la cause provenait du forum phpbb qui étaient installé.

Cela peut également provenir de là.

Share this post


Link to post
Share on other sites

Beeriz, j'ai supprimé tout le site de l'association (http://www.association-tazmart.org) de la racine de seveur, y'a plus de dossier ni de fichier index, j'ai uploadé et installé joomla pour la premiere fois sur ce serveur!!!! - dois-je revenir a l'eventualité de l'infection de mon pc??

NumberOne? C'est vrai j'avais installé sur l'autre site (http://www.santalgerie.com) un forum punbb, que j'avai supprimé avec le reste de site, sauf les bases de donnés ET les dossiers contenant dans les sous domaines (cela j'ai omis de le mentionner sur le premier poste), ces dernier peuvent ils etre la cause de la recrudescence de code malicieux (sachant que l'autre site n'a pas de sous domaine ni BDD)??

 

merci pour toutes vous reponses

Share this post


Link to post
Share on other sites

Regarde la date/heure de dernière modification des fichiers infectés si ça correspond à l'heure de l'upload ou avant ou après. comme ça tu saura où ont été modifiés tes fichiers. C'est vrai que la date peut être falsifiée mais c'est peu probable!

Share this post


Link to post
Share on other sites

Salam,

 

Vraisemblablement, il ne s'agit pas du résultat d'une tentative de piratage mais d'une injection automatique. A ma connaissance il s'agit d'un script qui s'incruste dans les clients FTP c r a k é s. Le script rajoute le iframes à toutes les pages transférées par FTP sans que le webmestre ne se rende compte!

 

J'ai également rencontré ce phénomène lors de l'audit de sécurité du site web d'une université, cette fois il ne s'agissait pas de clients FTP c r a k é s mais d'un virus qui touchait une machine du réseau local. Cette fois le script snifait continuellement le réseau à l'attente du moindre transfert par FTP et à ce moment la il se connectait en parallèle sur le FTP et rajoutait le code iframe dans toutes les pages qui portent le nom index. Cette fois c'est le fait d'utiliser un protocole FTP non sécurisé qui a permit au script de récupérer les identifiants FTP qui voyagent en claire.

 

Afin d'éviter ce genre de problème il est indiqué d'amener tous les webmestres à utiliser un client FTP libre d'une part et d'utiliser un protocole de transfert FTP sécurisé par exemple SFTP sinon de passer uniquement par le SSH pour la mise à jour des sites.

 

J'espère que ca va t'aider

Share this post


Link to post
Share on other sites

En se qui me concerne, le client ftp que j'utilise est FileZilla qui est biensur libre, mais je suis pas sous la derniere version (j'ai pas encore fais la mise a jour).

Share this post


Link to post
Share on other sites

slt,

voila je vais faire le point sur la situation a laquelle je suis arrivé: vraissemblablement (je dirai plutot surement) le probleme viens de l'infection de mon pc puisque apres avoir desinstallé mon ancien avira free, je me suis procuré kasperski 2010 (version d'evaluation, pour que certains n'auront pas a penser au ***** ;-) ) ce dernier a mis en evidence quelque virus et trojans dont voici quelques uns:

- heur: trojans.script.iframer

-heur: exploit.script.generic

-trojan-dawnloader.win32.agent.chjt

-trojan-dawnloader.js.iframer.dba

-worm.win32.autoIT.oa

 

j'espere que le probleme de code malicieux sur mes site viens de la, au moment ou kasperski s'est chargé de les nettoyé.

 

j'aurai la confirmation lorsque je finirai d'uploader mes sites de nouveaux

 

merci

 

ps: je modifier car je me suis etonné de voir les etoiles a la place de c r a c k ;-)

Edited by tsaadi

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.




  • Posts

    • Il y a des lois cher ami, comme celle de la limite de valeur ou alors celle sur les droits douaniers que t'as citer, on ne peut donc pas te saisir comme on veut, mis a part encore une fois encore quand la LOI interdit l'importation d'un objet en particulier (les téléviseurs par exemple, les caméras de surveillances...etc), c'est la deuxième fois que je commande de ce site, la 1ere fois c'était des barettes de ram + nVme + SSD + NAS et on ne m'a pas saisi non plus, ils doivent saisir les petits malins qui reçoivent beaucoup (et qui sont sûrement répertoriés dans leurs système) et dont l'objectif est clairement la revente...
    • @subseven ou @GoLLuM13 ou @malouki @leghmoh une idée ? j'ai besoin de l'info...
    • @Gt3Dz bravo, moi je ne prendrai JAMAIS de JAMAIS un risque a faire un achat depuis l'etranger via courrier ! j'ai vu pleins de gens se faire saisir la marchandise; c'est aleatoire, ni regle ni rien....hamdoullah que tu as vu cela arriver normalement ! sinon 20 jours c'est super bien...le transport est moins cher qu'un colis alger-oran hahaha ! dans la LF2021 pour un particulier la limite sera de 50.000DA helas...c'est une catastrophe...on ne pourra rien acheter sans payer de DD de 30% a 100% !!!!!!!!  
    • Pour être franc , je n’ai jamais entendu parler de vente de pièces en euro.    mais ça doit exister 
    • @yacine230je dois me rendre a l'évidence donc, c'est foutu  je vais aller a AT demain, je vais prendre des screenshots de mes stats pour étayer mes propos, en espérant que ça fasse bouger les choses, car là j'en peux plus des coupures a répétitions ! et merci d'avoir prit la peine de répondre si clairement, faut dire que c'est pas tout le monde qui sait le faire  @1conito on n'utilise tellement jamais le tel fixe qu'il ne marche plus, mais bon de ce que m'a dit yacine et de ce que tu suggère toi, la solution serait de changer ma ligne ! encore merci en tout cas pour ta réponse claire et précise !
×
×
  • Create New...