Version imprimable du sujet

Cliquez ici pour voir ce sujet dans son format original

Forum osCommerce-fr _ Sécurité - Mises à jour _ les visiteurs trouvent un cheval de troie!

Écrit par : soniap 14 Sep 2011, 09:45

J'ai des amis qui sont allez sur mon site et leur antivirus trouvent un cheval de troie sur mon site. Ils ne peuvent plus y aller. Que faire? wacko.gif
J'ai crawltrack, un hatcess.
Merci de votre aide.

Écrit par : Karagan 14 Sep 2011, 09:48

Regarde dans la configuration du site.
Probablement un iframe dans le nom de ta boutique.

Écrit par : soniap 14 Sep 2011, 09:56

Merci de ta réponse. Peux tu me dire ou je vois ça et qu'est-ce qu'un iframe, stp? happy.gif

Écrit par : soniap 14 Sep 2011, 10:29

j'ai trouvé, mais non y'a apparement pas de problème de ce côté là. Qu'est-ce que ça peux être d'autre, quelqu'un a une idée? Merci.

Écrit par : Karagan 14 Sep 2011, 13:03

regarde dans le répertoire images si tu as pas des fichiers qui n'ont rien a y faire.

ou bien envois moi en MP le lien du site j'y jetterais un coup d’œil.

Écrit par : Bonbec 14 Sep 2011, 15:04

Bonjour,

Mon AV s'affole aussi et me supprime un objet figurant dans la base des URL suspectes.
Tu as un lien qui envoie vers un site (je supprime le http:// pour qu'il ne soit pas valide dans ce message) : 0077.in/1316011762.php

Malheureusement mon AV modifie le code source de ta page donc je ne peux pas voir où c'est exactement.


Écrit par : soniap 14 Sep 2011, 15:23

Merci karagan, mais rien dans les images, je t'envoi le lien du site si tu peux m'aider. Bonbec je ne trouve rien sur ce lien comment je peux retrouver sa trace? C'est dans un fichier? je cherche, si t'as une idée merci d'avance.

Écrit par : soniap 14 Sep 2011, 15:33

J'ai trouvé ce script dans mon header :

Code
code supprimé



C'est bizarre vous savez ce que c'est?

Écrit par : Bonbec 14 Sep 2011, 15:47

Re,

Ouaip ... une belle cochonnerie, à virer d'urgence mais il faut aussi trouver comment c'est arrivé là.
Regarde les autres fils de discussion dans cette partie du forum, on y trouve de nombreux cas similaires.

Écrit par : soniap 14 Sep 2011, 15:51

ok, je continu à controler les fichiers et aprés je vais voir les autres sujets. Je te dis ce que je trouve. Toujours rien sur ce lien.

Écrit par : Karagan 14 Sep 2011, 16:39

Et surtout regarde les CHMOD sur tes répertoires et fichiers.
Et aussi au niveau des failles annoncées a droite et a gauche.

Écrit par : soniap 14 Sep 2011, 22:06

Je ne trouve pas ce lien dont tu parle bonbec, "0077.in/1316011762.php"
Ca peux être ou?



Écrit par : Bonbec 15 Sep 2011, 09:15

Re,

Il est planqué dans le code que tu as copié qui commence par eval(base64_decode("aWYgK ...
D'ailleurs il serait bon que tu supprimes de ton message une bonne partie de ce code pour ne pas donner un truc tout fait aux apprentis boutonneux blink.gif

Si tu n'as pas encore été lire les discussions que je t'indiquais hier, va voir au moins http://www.oscommerce-fr.info/forum/index.php?showtopic=64834 qui te donne des trucs pour rechercher et nettoyer efficacement ton ou tes fichiers infectés.

Écrit par : soniap 15 Sep 2011, 10:21

Je te remercie, je vais mettre en pratique, je commence par le nettoyage de mes scripts avec ce code :
(eval\(base64_decode\()[^;]+;



Ensuite je me suis aperçu que lorsque j'envoi une page sur mon site par file zilla, je me retrouve avec un message d'erreur sur mon site. J'ai des problème avec file zilla. Qu'est-ce que c'est? Comment me débarrasser de ce problème?

Écrit par : Karagan 15 Sep 2011, 10:58

Commence par mettre a jour FILEZILLA.
Et en même temps change ton mot de passe FTP chez ton hébergeur.
Et surtout fait un scan sur ton PC car y a de grande chance que tu as une vérole qui traine dessus.
Ensuite regarde si y a pas des répertoires et des fichiers qui on rien a y faire sur la boutique.
J'ai eu le cas y a pas longtemps sur une des boutiques.

Écrit par : Bonbec 15 Sep 2011, 13:03

+1 avec Karagan smile.gif
Pour Filezilla, la dernière version est la 3.5.1 à la date d'aujourd'hui.

Écrit par : soniap 15 Sep 2011, 15:25

Merci a tous les deux, AV et Malwarebytes passés, 0 infection sur PC. Bonne version installée sur file zilla. Un bon nettoyage des fichiers et je crois que tous va mieux. Ouf.

Propulsé par Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)