Page 1 sur 1

PB infection site JS:Decode-AHR [Trj] ou S/Exploit-Blacole.

Publié : 13 juin 2013 00:17
par machdeux
Bonsoir,

Voilà, depuis hier plusieurs personnes m'ont signalées un pb avec mon site internet (CMS Joomla). Pb d'infection à priori avec JS:Decode-AHR [Trj] ou S/Exploit-Blacole en fonction des AV.

Je suis équipé de ZoneAlarm qui lui ne détecte rien.

Quelqu'un pourrait il m'aider et me transmettre les procédures pour désinfecter mon site web ?

Je suis assez novice sur cette partie.

merci d'avance pour vos réponses

Machdeux

Re: PB infection site JS:Decode-AHR [Trj] ou S/Exploit-Blac

Publié : 13 juin 2013 09:26
par Malekal_morte
Salut,

Quelle est l'adresse de ton site ?

Re: PB infection site JS:Decode-AHR [Trj] ou S/Exploit-Blac

Publié : 13 juin 2013 12:38
par machdeux
Bonjour,

http://www.rscbo.fr que j'ai pour le moment "désactivé". j'ai en premier lieu vérifié mon poste avec Hitmanpro et malwarebyte. aucun des 2 ne m'a détecté ce trj mais par contre j'ai installé trend micro web protection addon qui me signale régulièrement qu'il a bloqué accés à hitmanpro htpp//cloud.hitmanpro.com hash.ashx et htpp//cloud.hitmanpro.com/Gossi p.ashx?guid=%..(serie de nombre). il m'a aussi bloqué l'accès à mon site donc maintenant je n'arrive plus à y accéder.

Pour le moment ce trj a été détecté avec norton internet security et avast mais pas zonealarm.

je ne sais pas comment faire pour nettoyer mon site. PDT_013


machdeux

Re: PB infection site JS:Decode-AHR [Trj] ou S/Exploit-Blac

Publié : 13 juin 2013 12:48
par Malekal_morte

Re: PB infection site JS:Decode-AHR [Trj] ou S/Exploit-Blac

Publié : 13 juin 2013 13:34
par machdeux
c'est justement le nettoyage de mon site qui me pose problème.

J'ai lancé virustotal qui ne détecte rien mais ne peut analyser le contenu (Le contenu de la réponse de l'URL ne peut pas être récupéré ou il s'agit d'un format texte (HTML, XML, CSV, TXT, etc.), cela n'a donc pas été ajouté à la file d'attente).
J'ai lancé http://sitecheck.sucuri.net rien non plus mais un messge dans l'onglet détail que je ne comprend pas.
System Details:
Running on: Apache/2.2.X
System info: (OVH)
Powered by: PHP/5.3.16
Unable to properly scan your site. Site returning error: HTTP/1.1 503 Service Temporarily Unavailable

J'ai lance jsunpack.jeek.org vu dans l'article mais le résultat me parle complètement chinois (cf ex fichier joint) PDT_014

comment donc puis je faire pour donc arriver à nettoyer mon site ? j'ai vu qu'il existait une façon manuelle (
Pour trouver ce qui génère le script malicieux, il faut donc faire une recherche dans les pages PHP du site sur les mots eval ou base_64) mais comment j'ouvre ses pages et que dois je faire si je trouve ces mots ?

merci pour votre aide

Re: PB infection site JS:Decode-AHR [Trj] ou S/Exploit-Blac

Publié : 13 juin 2013 14:17
par Malekal_morte
C'est la lib Jquery ton truc.

Ca sert à rien de faire des tests sur ton site s'il est désactivé.
Pour trouver ce qui génère le script malicieux, il faut donc faire une recherche dans les pages PHP du site sur les mots eval ou base_64) mais comment j'ouvre ses pages et que dois je faire si je trouve ces mots ?
Ouaip voir si des pages n'ont pas été touchées.
Faut regarder aussi le .htaccess à la racine du site.

et pendant qu'on y est, ça retourne quoi cette commande ?
ls -lhtr /etc/apache2/mods-enabled/
Bon en espérant que ce soit le bon chemin, il change selon la distrib.

Re: PB infection site JS:Decode-AHR [Trj] ou S/Exploit-Blac

Publié : 13 juin 2013 14:27
par machdeux
j'avais réactivé le site avant de lancer les différents scan PDT_015

la commande je la lance comment et ou ?

machdeux

Re: PB infection site JS:Decode-AHR [Trj] ou S/Exploit-Blac

Publié : 13 juin 2013 15:00
par Malekal_morte
Laisse tomber, c'est du mutualisé ton site.

Bref faut inspecter les pages.
Sinon repart sur une sauvegarde.

Re: PB infection site JS:Decode-AHR [Trj] ou S/Exploit-Blac

Publié : 14 juin 2013 10:26
par machdeux
Bonjour,

Etant en période d'examen j'ai pas eu le temps de travailler hier sur mon site. Suite à ton message et pour être moins bête j'ai encore quelques questions sur le sujet :

Que dois je chercher exactement dans mes fichiers ? dois je ouvrir tous les fichiers PHP, HTMl et autre ?

Sinon ça change quoi le fait que ce soit mutualisé par rapport aux analyses effectuées ?

Merci pour tes réponses

machdeux

Re: PB infection site JS:Decode-AHR [Trj] ou S/Exploit-Blac

Publié : 14 juin 2013 15:48
par Malekal_morte
Je ne peux pas te dire exactement ce que tu dois chercher.
Faut que tu trouves le code qui génère le javascript qui provique les redirections vers l'Exploit Kit.

Si tu sais pas faire, fais toi aider.

Re: PB infection site JS:Decode-AHR [Trj] ou S/Exploit-Blac

Publié : 14 juin 2013 16:40
par machdeux
Ben heu c'est pour ça que je poste mon pb sur les forums ... PDT_014

machdeux

Re: PB infection site JS:Decode-AHR [Trj] ou S/Exploit-Blac

Publié : 14 juin 2013 17:07
par Malekal_morte
Mais c'est pas possible de t'aider sur un forum.
Faut trouver le code malicieux et l'enlever des pages WEB de ton site.
Ca peux pas se faire par forum interposé.

Quand je te dis de te faire aider, c'est soit un amis compétent qui peux aller en FTP sur ton site avec toi et qui va virer le code malicieux.
Soit tu fais payer une prestation à une entreprise ou OVH.

Soit tu remets une sauvegarde saine de ton site.

Re: PB infection site JS:Decode-AHR [Trj] ou S/Exploit-Blac

Publié : 14 juin 2013 19:41
par machdeux
J'ai récupéré le message d'avast en rapport au trj et le lien de renvoi : treasurestexta .... donc ma question maintenant c'est : il y a t-il un moyen de rechercher dans une série de fichier un texte d'une façon automatique plutôt que d'ouvrir chacun les uns après les autres ?

est-ce que le trj peut renvoyer à plusieurs URL différents d'une façon aléatoire ?

machdeux

Re: PB infection site JS:Decode-AHR [Trj] ou S/Exploit-Blac

Publié : 14 juin 2013 20:14
par Malekal_morte
Comme là : https://forum.malekal.com/probleme-viru ... 43685.html

Je pense que tu n'as pas le minimum de connaissances pour te désinfecter ton site.
Pour la 3e fois : remets une sauvegarde ou fais toi aider.

Tu peux toujours me contacter en privé avec les identifiants FTP pour que je regarde, si tu le souhaites.

Re: PB infection site JS:Decode-AHR [Trj] ou S/Exploit-Blac

Publié : 22 juin 2013 10:38
par Malekal_morte
Grâce à un sujet identique : site-web-infeste-par-blackhole-exploit-kit-t43779.html
On a la portion de code utilisé pour créer le Javascript.
Ca peux donc aider les webmaster pour nettoyer leur site.

J'ai mis à jour la page : https://www.malekal.com/2012/08/28/pirat ... malicieux/

Ca ressemble à cela :

Image

ATTENTION :
Changez vos mots de passe FTP.
j'en profite aussi pour signaler qu'il y a une mise à jour de sécurité pour WordPress : http://blog.sucuri.net/2013/06/wordpres ... lease.html