Forum

Bonjour



Certains membres du site Indre Poker m'ont rapportés un probleme que voici

AVAST



infection bloquée

URL : http://www.indrepoker.com/kernel/framework/js/global...

Infection : JS:Includer-AUF [Trj]



ce signalement n'est qu'avec Avast



pouvez vous m'en dire plus car je ne sais quoi repondre



Merci a l'avance pour vos reponses

Bonjour,



surement un faux positif(pour être sur vérifier que vous êtes en version 3.0.11, et si oui transférer le fichier global.js depuis l'archive fraichement télécharger ici), par contre y a une inclusion JavaScript qui n'a absolument rien à voir avec PHPBoost : http://sitecheck.sucuri.net/results/indrepoker.com



P.S. Avast est légèrement "merdique", en free edition Avira est mieux, et en payant 4 se démarque (G-Data, BiteDefender, Kaspersky, F-Secure)



Cordialement, janus57

Édité par janus57 Le 25/02/2014 à 17h57

justement sur ce site on a scanné l'url et voici ce qu'il me dit







sur le ftp par exemple il y a pas de dossier tableau dans templates/indrepoker/



franchement j'y comprends rien



dans le global.js il a bien un script

http://radmand.de



je l'ai viré et remis le global par contre je trouve pas le reste ce qui m'inquiete est de savoir comment c'est venu cette merde

Édité par PascalD36 Le 25/02/2014 à 18h31

Bonjour,



vous utiliser bien la dernière version (3.0.11) ?

Tous les admins ont-il fait un scann de leur PC à la recherche de logiciel indésirables ?





oui c'est un JavaScript de PHPBoost



Par contre vous avez une inclusion global venant de radmand[dot]de, et cette inclusion global ne peu pas venir du global.js vu que l'insclusion se fait avant les balises HTML, donc il y a eu une injection dans un voir plusieurs de vos fichiers.



Preuve : voici encore une autre inclusion :

Donc soit le site à très mal été nettoyer depuis la dernière fois (ce qui semble être le cas, vu que le script malveillant tombe en 404), soit la personne qui l'avait infectés est revenu.



Cordialement, janus57

on est bien en 3.11

depuis la derniere fois ou on a eu un prob d'injection

on a remis une intalle neuve par contre on a remis la base sql c'est le seul point commun

Bonsoir,



vu les différentes injections et leur position, cela ne viens pas de la BDD, mais cela viens de votre thème, donc installation neuve ou pas, si vous remettez votre thème qui est infectés de partout cela reviens au même.



Car si cette injection était dans la BDD elle ne se trouverais pas hors balises HTML, en plein milieu du module "en ligne" ainsi qu'en plein miliieu de vos news (oui oui il y a 3 injections de code JavaScript).



Pour le coup je ne peu que vous conseiller de vérifier votre template fichier par fichier à la recherche de code malicieux et ne provenant pas de vous.



De plus en tant que parano je limiterais l'accès FTP au maximum à 3personnes en plus de les obliger à faire un scann avec une version de démo d'un bon anti-virus (g-data ou kaspersky) pour être sur que leur PC ne soit pas infectés.



Enfin dès que tout ceci est fait de changerais le mot de passe du FTP



Edit: je viens déjà de repérer une injection dans header.tpl + une autre dans footer.tpl



Cordialement, janus57

Édité par janus57 Le 25/02/2014 à 19h26

merci pour ta reponse Janus je retransmets