Bonjour,
 
Depuis quelques temps, j'ai des pages qui s'infectent d'elles-mêmes.
 
Cela concerne les pages index.php ou index.html.
 
Sans que je n'envoie mes pages par ftp, ces fameuses pages index sont infectées par une balise <iframe>, qui se situe juste après la balise <body>, qui ressemble à cela :
 

 
Je remarque que la page se modifie dans le ftp sans que je n'y touche ! J'ai beau changer les mots de passe d'accès au serveur sans arrêt, elles sont toujours modifiées plus ou moins rapidement...
 
Que faire ??? Grand merci à qui pourra m'aider ...

As-tu essayé de protéger le fichier en écriture une fois qu'il est posé sur le serveur ?

Non, je n'ai pas essayé ... Comment peut-on faire ça ?

En changeant la valeur du CHMOD.
Si tu utilises un client ftp généralement c'est dans le menu affiché par clic droit sur le fichier.

N'utilise pas de logiciel de créations de site / client FTP crackés !

Non c'est moi qui m'occupe de créer mes propres sites, mais avec cette infection là, j'ai un peu du mal ...

 
L'iframe "apparaît" quand exactement ?
Tu utilises quoi pour créer tes pages ?

L'iframe apparait sans que je ne sois devant mon pc ! Et sur le serveur, je vois que la page a été modifée dans la nuit ou à une heure durant laquelle je n'étais pas sur le site !
 
J'utilise PSPad pour créer mes pages. Je pars d'un document vide à chaque fois ...

Et par rapport à la remarque de jagstang tu utilises quoi comme client FTP ?

La mjorité du temps, j'utilise WS Ftp Pro ...
 
Et de temps en temps via Internet Explorer si je ne suis pas sur mon ordi.

OK, donc c'est un problème sur le serveur si je suis bien...
 
- L'iframe est bien écrite dans la page index (si tu la récupères via FTP tu as bien l'iframe ?)
- Quel hébergeur ?
- Tu as essayé avec une page index vierge ?
- Tu as regardé le .htaccess - si tu y as accès ?
- Tu as vérifié les droits en lecture/ecriture ?
- Rien d'autre pour le moment  

c'est souvent une manie des hébergeur gratuits

@macgawel
 
Déjà, merci de tes réponses.
 
L'iframe est bien écrite dans la page index, en effet. J'ai bien l'iframe quand je la récupère
 

Je suis hébergé par Infomaniak (suisse).
 
J'ai bien accès au .htaccess.
 
J'ai vérifié les droits en lecture et écriture. Seul l'utilisateur y a accès. J'ai décoche "groupe".
 
 
Et j'ai encore eu le cas dernièrement ... :S

vérifie ton fichier avant et après transfert. Regarde aussi la date de dernière modification. ça peut aussi venir de ton browser infecté par un malware. essaie un autre browser ou donne l'url ici

La date de modification change quelques heures/jours après transfert, sans que je ne touche à quoi que ce soit ...
 
J'ai beau changer le mot de passe du serveur toutes les semaines ...

Est-ce possible que ca vienne de mon code ?
J'ai un nouveau site depuis hier, et la page index.php est déjà infectée alors qu'il s'agit d'un tout autre serveur !!! Et non, je n'ai pas un dossier sur le web avec les serveurs et mots de passe.
 
Voici le code de la page avant qu'elle ne soit infectée :
 

 
L'iframe vient toujours après la balise <body> ... Il me faut vite une solution ...

Bonjour,
je viens d'être infecté à mon tour    
Ce n’est pas un problème de code oli1987.
Moi j'ai 4 sites sur hébergeur gratuit (FREE) et 1 site sur hébergeur payant (1AND1), ils sont tous infectés.
Comme a dit jagstang, il s’agit d'un malware qui cause le problème.
Ce malware récupère le login et mot de passe FTP (dans mon cas sur le logiciel FilleZilla) puis il injecte l'iframe après le body des pages index.
J'ai donc nettoyé le pc avec Malwarebytes.
Supprimé tous les login et mot de passe sur FilleZilla.
et j'ai changé tous les mots de passe des comptes FTP.
Bon courage  
 
http://www.topsurf.fr

c'est un virus, j'ai déjà eu ca. EN fait au moment ou tu enregistres, il vérifie que le document contient la balise </body> et rajoute avant l'iframe.
Celui que j'avais pour faire pire est passé sur tout mon DD et à effectué cette manip sur tous mes fichiers HTML.
 
Bon scan

Merci de vos conseils. Ca me rassure dans le sens ou je ne suis pas le seul a avoir connu cela. J'ai donc scanné l'ordi (malwarebytes, nod, ...). Il y avait quelques intrus, de fait. J'ai changé les mots de passe, et pour l'instant, tout va bien. Je redirai quoi dans quelques jours.
 
Merci à vous !

Rebonjour,
 
Le fichier qui posait (et pose encore) problème se nomme wiaserva.log (c:\documents and settings\user\Application Data\wiaserva.log).
 
Si je le supprime, il fait son retour à chaque redémarrage de pc. Je viens de le supprimer de nouveau, mais ça ne peut pas durer éternellement ...
 
Y a-t-il une solution autre que le formatage ?

As-tu cherché déjà "wiaserva.log" sur Google pour trouver le nom du virus ? Car à mon avis tu ne dois pas être le seul à l'avoir eu.
Mais à mon avis il n'y a pas que ce fichier car un .log je vois pas trop ce qu'il peut faire seul.

T'as fait un scan de ton pc avec quel AV ?

 
Une recherche sur le fichier wiaserva.log donne en deuxième résultat le site de Symantec...

J'ai fait un scan avec Nod32, mais rien trouvé ...

En gros :
1. Le troyen se copie en %System%\wbem\grpconv.exe et crée le fichier %UserProfile%\Application Data\wiaserva.log
2. Il supprime les fichiers %System%\grpconv.exe et %System%\dllcache\grpconv.exe
3. Il crée la clé de registre HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\"RunGrpConv" = "1"
 
=>
1. Démarrage en mode "sans echec"
2. Suppression de la clé de registre
3. Suppression des fichiers corrompus
4. Récupération du fichier sain (à partir du cd/dvd d'installation).
 
Là encore, il suffit de lire la fiche de Symantec    
 
Sinon, tu devrais peut-être ouvrir un topic sur Virus-Spywares...

Bonjour,
 
Une solution détaillée pour ce problème d'injection iframe:
 
Solution pour le problème d'attaque par injection iframe
 
.
 

SPAM

edit : homepage+first post

ok c'est son site, mais l'info qu'il donne est en rapport avec le sujet du topic, et il n'essaie pas de vendre quoi que ce soit
Objection rejetée votre honneur

ouais mais c'est plutôt :  
1) je fais un article
2) je cherche comment le faire connaitre
3) je trouve un forum, je m'inscrit et je poste sur ce sujet...
 
c'est limite mais j'accepte la sentence