Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

SOS mon blog dotclear a chopé un ver : HTML:Iframe.inf

libellul333
 Partager

Messages recommandés

libellul333 Member

libellul333

Posté(e)
Posté(e)

Depuis 3 jours mes 2 blogs dotclear sur free affichent ceci :

Parse error: syntax error, unexpected '<' in /mnt/102/sdb/7/f/leblogdeluna/index.php on line 54

Parse error: syntax error, unexpected '<' in /mnt/108/free.fr/c/e/libellul/blog/index.php on line 73

alors que je ne suis pas allée dessus pour modifier quoi que ce soit depuis 10 jours!

j'ai ouvert mon logiciel ftp (cute ftp) et j'ai copié le contenu du blog de luna dans un dossier sur mon PC.

Avast a trouvé 2 vers sur 2 fichiers infestés donc index.php à la racine et index.php dans le dossier install.

Le nom du ver est: HTML:Iframe.inf

je l'ai mis en quarantaine, mais je ne sais pas quoi faire, j'ai peur d'ouvrir le fichier index.php sur mon pc de peur de choper ce ver et je n'y connais rien en langage php. le blog de luna est un blog que je fais depuis quelques mois pour mon bébé de 6 mois, avec des photos souvenirs de avant la naissance jusqu'à maintenant et je suis dégoutée de l'avoir perdu, quelqu'un pourrait il me guider pour récupérer ces 2 index.php si c'est possible? comment est ce possible d'attraper un ver sur un blog free?

adresse blog http://leblogdeluna.free.fr (blog de mon bébé)

http://libellul.free.fr/blog/index.php (blog de photos de voyage)

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Bonjour,

 

comme je l'ai dit ailleurs, il faut déjà regarder le contenu de ton fichier à la ligne dite (ou poster la ligne elle-même dans une balise "Code". :P

Poste la ligne, ça peut se voir, un < en trop. Cette portion du code n'est pas confidentielle a priori. Ne poste pas si un mot de passe apparaît en clair quoi. :P

 

Ton problème de virus, ça ne flingue pas ton blog, et on a fait du nettoyage. :P

libellul333 Member

libellul333

Posté(e)
  • Auteur
Posté(e)

Quand je veux transférer le fichier index.php de ma page perso sur mon pc, une alerte antivir s'ouvre : virus trouvé : HTML/Infected.WebPage.Gen - Malware et veut que je refuse l'accès. j'ai peur d'attrper un autre virus si j'ignore ça

j'ai pliens de messages d'online armor auxquel je ne sais pas quoi répondre par exemple Keylogger détecté (enregistreur de touches) il est localisé dans antivir desktop je ne sais pas quoi faire je panique un peu!

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Envoie ton fichier sur virustotal on va voir ce que ça dit :

 

 

Rends toi sur ce lien : Virus Total

  • Clique sur le bouton Parcourir...
  • Copie colle ce chemin dans la boite de dialogue qui s'ouvre, ou parcours tes dossiers jusque à ton fichier.
     
  • Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  • Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
  • Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche)
  • Une nouvelle fenêtre de ton navigateur va apparaître
  • Clique alors sur cette image : txtvt.jpg
  • Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  • Enfin colle le résultat dans ta prochaine réponse.
    NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes.

 

Tu peux avoir besoin d'afficher les fichiers cachés et masqués du système, temporairement.

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Pas de problème. :P

Désactive Antivir (clic droit sur son icône près de l'horloge et désactive le module "Guard"), le temps de faire les manips : rappatrier le fichier sur ton PC, et l'envoyer sur VirusTotal.

libellul333 Member

libellul333

Posté(e)
  • Auteur
Posté(e)
Pas de problème. :P

Désactive Antivir (clic droit sur son icône près de l'horloge et désactive le module "Guard"), le temps de faire les manips : rappatrier le fichier sur ton PC, et l'envoyer sur VirusTotal.

 

Fichier index.php reçu le 2009.08.17 22:14:18 (UTC)

Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.24 2009.08.17 -

AhnLab-V3 5.0.0.2 2009.08.17 -

AntiVir 7.9.1.1 2009.08.17 HTML/Infected.WebPage.Gen

Antiy-AVL 2.0.3.7 2009.08.17 -

Authentium 5.1.2.4 2009.08.17 -

Avast 4.8.1335.0 2009.08.17 HTML:Iframe-inf

AVG 8.5.0.406 2009.08.17 HTML/Framer

BitDefender 7.2 2009.08.17 -

CAT-QuickHeal 10.00 2009.08.17 -

ClamAV 0.94.1 2009.08.17 Trojan.Iframe-9

Comodo 2005 2009.08.18 -

DrWeb 5.0.0.12182 2009.08.17 -

eSafe 7.0.17.0 2009.08.17 -

eTrust-Vet 31.6.6681 2009.08.17 -

F-Prot 4.4.4.56 2009.08.16 -

F-Secure 8.0.14470.0 2009.08.17 -

Fortinet 3.120.0.0 2009.08.17 -

GData 19 2009.08.17 HTML:Iframe-inf

Ikarus T3.1.1.68.0 2009.08.17 -

Jiangmin 11.0.800 2009.08.17 -

K7AntiVirus 7.10.820 2009.08.17 -

Kaspersky 7.0.0.125 2009.08.17 -

McAfee 5712 2009.08.17 -

McAfee+Artemis 5712 2009.08.17 -

McAfee-GW-Edition 6.8.5 2009.08.17 Heuristic.Script.Infected.WebPage

Microsoft 1.4903 2009.08.17 -

NOD32 4343 2009.08.17 -

Norman 6.01.09 2009.08.17 -

nProtect 2009.1.8.0 2009.08.17 -

Panda 10.0.0.14 2009.08.17 -

PCTools 4.4.2.0 2009.08.17 -

Prevx 3.0 2009.08.18 -

Rising 21.43.04.00 2009.08.17 -

Sophos 4.44.0 2009.08.17 Mal/Iframe-F

Sunbelt 3.2.1858.2 2009.08.17 -

Symantec 1.4.4.12 2009.08.17 -

TheHacker 6.3.4.3.383 2009.08.13 -

TrendMicro 8.950.0.1094 2009.08.17 -

VBA32 3.12.10.9 2009.08.17 -

ViRobot 2009.8.17.1887 2009.08.17 -

VirusBuster 4.6.5.0 2009.08.17 -

Information additionnelle

File size: 1979 bytes

MD5...: 445f708be9dcadc1563b77855522cd8d

SHA1..: ee1f4d9a62b6f825aaffd6567a7ca4fa9c1ab106

SHA256: 2a5a62d39fd3ebc1c5796725e377928c433badee4fef1ec475d4cf8f2a2d3c8c

ssdeep: 48:uVNyFqCHXy5HW2ABQiU2BKnv4WaR7GYGI77h7igekgcce:uV0cikzAWrAWygI<br>X/ePcf<br>

PEiD..: -

TrID..: File type identification<br>HyperText Markup Language (100.0%)

PEInfo: -

PDFiD.: -

RDS...: NSRL Reference Data Set<br>-

 

Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.24 2009.08.17 -

AhnLab-V3 5.0.0.2 2009.08.17 -

AntiVir 7.9.1.1 2009.08.17 HTML/Infected.WebPage.Gen

Antiy-AVL 2.0.3.7 2009.08.17 -

Authentium 5.1.2.4 2009.08.17 -

Avast 4.8.1335.0 2009.08.17 HTML:Iframe-inf

AVG 8.5.0.406 2009.08.17 HTML/Framer

BitDefender 7.2 2009.08.17 -

CAT-QuickHeal 10.00 2009.08.17 -

ClamAV 0.94.1 2009.08.17 Trojan.Iframe-9

Comodo 2005 2009.08.18 -

DrWeb 5.0.0.12182 2009.08.17 -

eSafe 7.0.17.0 2009.08.17 -

eTrust-Vet 31.6.6681 2009.08.17 -

F-Prot 4.4.4.56 2009.08.16 -

F-Secure 8.0.14470.0 2009.08.17 -

Fortinet 3.120.0.0 2009.08.17 -

GData 19 2009.08.17 HTML:Iframe-inf

Ikarus T3.1.1.68.0 2009.08.17 -

Jiangmin 11.0.800 2009.08.17 -

K7AntiVirus 7.10.820 2009.08.17 -

Kaspersky 7.0.0.125 2009.08.17 -

McAfee 5712 2009.08.17 -

McAfee+Artemis 5712 2009.08.17 -

McAfee-GW-Edition 6.8.5 2009.08.17 Heuristic.Script.Infected.WebPage

Microsoft 1.4903 2009.08.17 -

NOD32 4343 2009.08.17 -

Norman 6.01.09 2009.08.17 -

nProtect 2009.1.8.0 2009.08.17 -

Panda 10.0.0.14 2009.08.17 -

PCTools 4.4.2.0 2009.08.17 -

Prevx 3.0 2009.08.18 -

Rising 21.43.04.00 2009.08.17 -

Sophos 4.44.0 2009.08.17 Mal/Iframe-F

Sunbelt 3.2.1858.2 2009.08.17 -

Symantec 1.4.4.12 2009.08.17 -

TheHacker 6.3.4.3.383 2009.08.13 -

TrendMicro 8.950.0.1094 2009.08.17 -

VBA32 3.12.10.9 2009.08.17 -

ViRobot 2009.8.17.1887 2009.08.17 -

VirusBuster 4.6.5.0 2009.08.17 -

 

Information additionnelle

File size: 1979 bytes

MD5...: 445f708be9dcadc1563b77855522cd8d

SHA1..: ee1f4d9a62b6f825aaffd6567a7ca4fa9c1ab106

SHA256: 2a5a62d39fd3ebc1c5796725e377928c433badee4fef1ec475d4cf8f2a2d3c8c

ssdeep: 48:uVNyFqCHXy5HW2ABQiU2BKnv4WaR7GYGI77h7igekgcce:uV0cikzAWrAWygI<br>X/ePcf<br>

PEiD..: -

TrID..: File type identification<br>HyperText Markup Language (100.0%)

PEInfo: -

PDFiD.: -

RDS...: NSRL Reference Data Set<br>-

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Bien joué, tu l'as bien posté. :P

 

Ca ne fait pas très faux-positif, par contre comme rapport.

C'est du dotclear, tu avais la dernière version du blog ?

 

C'est le moment d'avoir un backup pour tester, ou de restaurer (puisque c'est le fichier index à partir de l'installateur.

Sauvegarde tout ce que tu modifies ou écrases/remplaces.

libellul333 Member

libellul333

Posté(e)
  • Auteur
Posté(e)
Bien joué, tu l'as bien posté. :P

 

Ca ne fait pas très faux-positif, par contre comme rapport.

C'est du dotclear, tu avais la dernière version du blog ?

 

C'est le moment d'avoir un backup pour tester, ou de restaurer (puisque c'est le fichier index à partir de l'installateur.

Sauvegarde tout ce que tu modifies ou écrases/remplaces.

 

Alors là tu me parles chinois malheureusement.

c'est dotclear 1 si c'est ça que tu me demandes

pas très faux positif, ça veut dire quoi? c'est quoi un backup (oup's désolée, je suis novice) et l'installateur? je sens que là tu t'arraches les cheveux :P)

je ne peux plus accéder à cette page là non plus :

http://leblogdeluna.free.fr/ecrire/ message :Parse error: syntax error, unexpected $end in /mnt/102/sdb/7/f/leblogdeluna/ecrire/index.php on line 364

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Oups : un faux positif, c'est une erreur de détection d'un antivirus, qui croit voir une infection là où en fait le fichier est sain.

Je ne m'arrache pas les cheveux, pas de souci.

 

Tu es restée à dotclear 1 sans passer au 2, ça c'est dommage, parce que le 2 est vraiment mieux.

La version 1 est encore là, tu avais la 1.2.8 ?

http://fr.dotclear.org/download

 

Si tu télécharges l'instalalteur du 1 (marqué fichier zip, en dessous de "Ancienne version, 1.2.8"), tu dois pouvoir décompresser le zip, et uploader/envoyer sur le FTP le fichier index.php qui serait propre, issu du zip téléchargé. Ca mettrait un fichier clean en place dans ton blog. Par contre si tu décides de faire ça, renomme ton fichier index.php actuel (celui à problème) en index_old.php pour ne pas le supprimer quoi.

 

Pose des questions, pas de problème, c'est fait pour. :P

 

Tu as un backup des bases de données ?

 

Il peut être judicieux par ailleurs de demander un coup de main sur le forum de dotclear (ils sont sympas, j'y suis déjà allé) car ça relève d'autre chose que d'infections à proprement parler apparemment.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...