Virus Blackhole Exploit Kit sur mon site

[sheitaneb]

bonjour,
je subit depuis debut aout une attaque d'injection de code dans mon CMS,
lorsque je vais sur mon site je tombe sur une page blanche puisque bloqué par mon antivirus AVG qui detecte le trojan Blackhole Exploit Kit.
j'ai supprimer 3 fois tout le code malicieux (c'est très long il faut faire rechercher ce code dans chaque page du cms)
il en met vraiment partout, il faut environ deux à trois heures et de l'huile de coude pour remettre le code au propre via FTP, à chaque fois que je remet le code au propre il faut compter moins d'une semaine pour qu'il soit de nouveau attaquer, toujours le même type de code malicieux, j'ai instaler crawlprotect pour proteger mon site, il m'a mis un htaccess censé bloqué toutes intrusion, une semaine après le site est de nouveaux infecter, je ne sais plus quoi faire,
je suis au bord de la crise de nerf, j'ai bien penser à prendre un nouveau CMS et refaire entièrement le site internet mais bon y'a du boulot donc j'aimerais pouvoir trouver une solution un peu moins extreme..

j'espère que vous pourrez m'aider et je vous en remercie par avance.

pour info, le CMS est cmsmadesimple qui est un open source
et l'adresse du site web http://www.westweb.fr/
(attention à ne pas cliquer si vous n'avez pas d'antivirus à jour !!! )

PS: histoire de ne rien arranger, j'ai un autre site fait avec le même CMS et qui est infecter de la même façon,
comme si que le hacker derrière tout ça m'en voulait personnellement ^^

deuxième site infecté: http://concierge-privileges.fr/index.php

[Malekal_morte]

Salut,

le premier redirige vers du kit différent :/

Code : Tout sélectionner

http://multidea.net/aruba/relay.php
http://firstdevoted.biz:7761/log/dig/itunes.php?desktop=1
http://www.multidea.net/aruba/relay.php
http://glidkruidlorrewer.relapsedata.com:1024/swift_cause-amateur.htm

Même chose pour le second :

Code : Tout sélectionner

http://hotelspigadoro.it/clicker.php
http://firstdevoted.biz:7761/titles/itunes.php?desktop=1
http://www.hotelspigadoro.it/clicker.php
http://firstdevoted.biz:7761/titles/NepHt.jar
http://firstdevoted.biz:7761/titles/eanGlgEU.jar
http://fastwolf.mymapdata.com:1024/spoon_feather-inevitably.jar

Y a pas d'iframe rien, donc peut-etre que ta jquery a été pourrie.

A mon avis, tu devrais revenir sur une sauvegarde et changer tes mots de passe du site et FTP.
Fais un scan Malwarebytes sur ton PC.

[Malekal_morte]

Y aurait moyen de récupérer le code malicieux, si tu sais l'identifier ?

[Kafeine]

Bonjour,

Dans ta page index, le code est la :

(juste une illustration inexacte car mon image inclus d'autres appels, mais ca montre surtout ou est situé le code redirecteur.
Il se traduit par une injection d'iframe vers: http://hotelspigadoro .it/clicker.php selon jsunpack)
Peux tu le voir dans le source de ta page ?

[sheitaneb]

mon antivirus AVG refuse de me montrer le code source mais par FTP je peux l'avoir,
et oui je sais l'identifier puisque je l'ai enlever sur plus d'une centaine page du site et cela plusieurs fois...
je vous poste le code non decoder:

je doit l'heberger car impossible de le mettre sur le forum même dans la balise code ^^

https://hotfile.com/dl/246249306/1d63764/redir.txt.html

[Malekal_morte]

Ce serait top, après tu le vires et ça doit plus générer le javascript qui provoque les redirections!

[sheitaneb]

de quoi qui serait top ?
le souci c'est que je c'est comment enlever le code malicieux mails cela me prend 3 heures à chaque fois donc 6 heures pour les deux sites, cela vaudrait le coup si le code n'était pas réintegrer dans sa totalité quelques jours après avoir tout nettoyer et la au bout de trois fois je sature, je préfère ne pas nettoyer avant d'avoir trouver une solution durable et definitive, je pensais que crawlprotect serait suffisant pour proteger mon site mais je crois que ce malware est vraiment puissant..

[Malekal_morte]

Ben de récupérer le code malicieux dans les pages, celui qui génère le javascript, ce serait génial.

Tu as changé ton mot de passe FTP ?
Tu as changé les mots de passe des comptes admin ?
Ton CMS Simple est à jour ?
Pas de plugings exotiques ?
Faudrait vérifier qu'il n'y a pas de backdoor PHP.

[sheitaneb]

voici le lien du code malicieux je l'ai heberger avec un bloc notes

Tu as changé ton mot de passe FTP ? oui
Tu as changé les mots de passe des comptes admin ? oui
Ton CMS Simple est à jour ? oui
Pas de plugings exotiques ? rien d'exotique ^^ j'ai un script qui en js /ajax qui permet de pas rafraichir la page mais pas de danger je pense
Faudrait vérifier qu'il n'y a pas de backdoor PHP. comment tu fait ça ?

[Malekal_morte]

Faudrait vérifier qu'il n'y a pas de backdoor PHP. comment tu fait ça ?

Regarde là : http://www.emposha.com/security/php-she ... -tool.html

Tu n'as pas mis le lien du code ;)

Après, tu n'as pas de sauvegarde ?
Sinon sauvegarde les pages sans le code malicieux et tu remets à chaque fois au lieu de nettoyer.
Aussi, essaye de pousser aux maximums les logs, afin de savoir comment ils font.
si tu n'es pas sur un mutu, mets modsecurity.

[sheitaneb]

malheureusement je suis sur un mutualiser offre perso OVH

voici le lien du code malicieux désolé ;)

https://hotfile.com/dl/246249306/1d63764/redir.txt.html

[Malekal_morte]

ha, le javascript est en brut dans le code des pages ?

[sheitaneb]

oui il est coder comme ça dans toutes les pages,
ils appellent ce trojan "cookiebomb"
en voila une explication, mais cela ne me dit pas comment le virer definitivement de mon site..
il est vraiment tenace le salaud !!

http://malwaremustdie.blogspot.fr/2013/ ... ttack.html
http://urlquery.net/report.php?id=4720564
http://blogs.cisco.com/security/crumbli ... ookiebomb/

[Malekal_morte]

oui, je sais ce que c'est...
Cf : https://www.malekal.com/2013/08/12/en-r ... d-website/
J'ai eu a faire à eux (c'est une longue histoire).

Et ils contrôlent les sites qu'ils infectent, car ils sont capables de modifier le javascript sur tous les sites en quelques minutes. Ne serait que pour changer le redirector ou le désactiver.
Le fait qu'ils soit encore balise, ça doit permettre de l'identifier.
Ca se trouve le compteur, c'est un numéro de version.

Tu devrais faire une recherche récursif dans le contenu des pages sur les GET /POST / base64_decode / eval
Au départ, il y avait des backdoors très simple du style : http://pastebin.com/wTh3gWey

Y a peut-être un truc dans ce style qui traine qq part sur ton site.

[sheitaneb]

la tu commence à me parler chinois je doit t'avouer... va me falloir plusieurs minute pour décoder ta phrase ^^