Virus Trojan signalé par Avast dans les JS

Bonjour,

Je viens de mettre en place un nouveau site http://www.countrysaintesbuffalodancers17.com
avec Spip 2.0.10 + Zpip + ZenGarden

Et quand je le visite avec un poste sous AVAST familial, j'ai plein d'alertes TROJAN JS:Illredir-C [Trj] dans les fichiers :

http://www.countrysaintesbuffalodancers17.com/prive/javascript/ajaxCallback.js
http://www.countrysaintesbuffalodancers17.com/plugins/auto/thickbox2/javascript/thickbox.js
http://www.countrysaintesbuffalodancers17.com/plugins/auto/porte_plume/javascript/jquery.markitup_pour_spip.js
http://www.countrysaintesbuffalodancers17.com/plugins/auto/porte_plume/javascript/jquery.previsu_spip.js
http://www.countrysaintesbuffalodancers17.com/prive/javascript/jquery.js
ww.countrysaintesbuffalodancers17.com/prive/javascript/jquery.js
http://www.countrysaintesbuffalodancers17.com/prive/javascript/jquery.form.js
...

Je pense que c'est une fausse alerte mais je voulais quand même le signaler.

Merci

Stéphane Santon a écrit :

Bonjour,

Je viens de mettre en place un nouveau site http://www.countrysaintesbuffalodancers17.com
avec Spip 2.0.10 + Zpip + ZenGarden

Et quand je le visite avec un poste sous AVAST familial, j'ai plein d'alertes TROJAN JS:Illredir-C [Trj] dans les fichiers :

http://www.countrysaintesbuffalodancers17.com/prive/javascript/ajaxCallback.js
http://www.countrysaintesbuffalodancers17.com/plugins/auto/thickbox2/javascript/thickbox.js
http://www.countrysaintesbuffalodancers17.com/plugins/auto/porte_plume/javascript/jquery.markitup_pour_spip.js
http://www.countrysaintesbuffalodancers17.com/plugins/auto/porte_plume/javascript/jquery.previsu_spip.js
http://www.countrysaintesbuffalodancers17.com/prive/javascript/jquery.js
ww.countrysaintesbuffalodancers17.com/prive/javascript/jquery.js
http://www.countrysaintesbuffalodancers17.com/prive/javascript/jquery.form.js
...

Je pense que c'est une fausse alerte mais je voulais quand même le signaler.

Merci

_______________________________________________
  

je confirme idem avec l'antivirus du boulot qui n'est pas avast

--
@micalement stéphane
http://bachant.free.fr/?Merci-Qui

Le 11/01/10 18:50, assobachant a écrit :
   > Stéphane Santon a écrit :
   >> Je pense que c'est une fausse alerte

je confirme idem avec l'antivirus du boulot qui n'est pas avast

heu...
et en bas des pages :

xxxxxxxxx

c'est qui c'est quoi ?

Le 12/01/10 00:05, denisb a écrit :

src="http://multiply-com.icq.com.livescore-com.funwebmail.ru:8080/
c'est qui c'est quoi ?

bon.
on sait maintenant :
http://safeweb.norton.com/report/show?name=funwebmail.ru

donc :
vérifier les fichiers du site (tous ?) qui sont susceptibles d'être
contaminés ;

installer l'écran de sécurité (dans config/) ;

vérifier les accès ftp de ces derniers temps (heures ? jours ?) ;

peut-être (sûrement ?) changer les pass ftp et spip ;

...

Le 12/01/10 00:36, denisb a écrit :

on sait maintenant :
Safeweb

et c'est du tout récent tout neuf tout beau...

Bonjour,

denisb a écrit :

src="http://multiply-com.icq.com.livescore-com.funwebmail.ru:8080/
c'est qui c'est quoi ?

bon.
on sait maintenant :
Safeweb

Euh... on sait quoi par rapport à SPIP ??

donc :
vérifier les fichiers du site (tous ?) qui sont susceptibles d'être
contaminés ;
installer l'écran de sécurité (dans config/) ;
vérifier les accès ftp de ces derniers temps (heures ? jours ?) ;
peut-être (sûrement ?) changer les pass ftp et spip ;

Tu parles de mon site ? Ou de quoi.
Perso c'est un site tout nouveau dont l'hébergement était juste réservé...

--
Stéphane

Jeune Chambre Economique : se former en servant la communauté
  http://www.jce-saintes.org - http://www.jce-poitoucharentes.org

    BTS Electrotechnique *** http://enselec.santonum.eu

On 09/01/2010 17:03, Stéphane Santon wrote:

Bonjour,

Je viens de mettre en place un nouveau site http://www.countrysaintesbuffalodancers17.com
avec Spip 2.0.10 + Zpip + ZenGarden

Rien à voir... mais j'aime bien ton adaptation du thème.

Par contre tu as bel et bien un trojan qui est arrivé au moins dans tmp/cache/skel (du coup tous les caches générés par SPIP l'ont aussi). Si le trojan n'a pas été introduit via SPIP (y a peu de chance) (je me suis amusé à tester le compte admin/admin, il existe pas, c'est déjà ça ^^)(les squelettes ont l'air clean aussi), c'est que quelqu'un est entré par une autre porte... Faut donc changer les serrures ; et essayer d'analyser les logs pour trouver comment le gars est entré...

--
MM.

On 12/01/2010 00:44, Stéphane Santon wrote:

Bonjour,

Tu parles de mon site ? Ou de quoi.
Perso c'est un site tout nouveau dont l'hébergement était juste réservé...

Ça fera moins de logs à analyser Voit le bon coté des choses ^^

--
MM.

Le 12/01/10 00:44, Stéphane Santon a écrit :

Tu parles de mon site ? Ou de quoi.

oui. de ton site, de ton ordi, de ton logiciel de ftp, de
acrobat reader... (comme pour gumblar l'année dernière) :
   Home - Broadcom Community - VMTN - Discussion Forums, Technical Docs, Ideas and Blogs

Matthieu Marcillaud a écrit :

On 09/01/2010 17:03, Stéphane Santon wrote:

Bonjour,

Je viens de mettre en place un nouveau site http://www.countrysaintesbuffalodancers17.com
avec Spip 2.0.10 + Zpip + ZenGarden

Rien à voir... mais j'aime bien ton adaptation du thème.

ne pas tester le lien, la page est violemment vérolée

Par contre tu as bel et bien un trojan qui est arrivé au moins dans tmp/cache/skel (du coup tous les caches générés par SPIP l'ont aussi). Si le trojan n'a pas été introduit via SPIP (y a peu de chance) (je me suis amusé à tester le compte admin/admin, il existe pas, c'est déjà ça ^^)(les squelettes ont l'air clean aussi), c'est que quelqu'un est entré par une autre porte... Faut donc changer les serrures ; et essayer d'analyser les logs pour trouver comment le gars est entré...

Bonjour,

Matthieu Marcillaud a écrit :

Je viens de mettre en place un nouveau site http://www.countrysaintesbuffalodancers17.com
avec Spip 2.0.10 + Zpip + ZenGarden

Par contre tu as bel et bien un trojan qui est arrivé au moins dans tmp/cache/skel (du coup tous les caches générés par SPIP l'ont aussi). Si le trojan n'a pas été introduit via SPIP (y a peu de chance)
(les squelettes ont l'air clean aussi), c'est que quelqu'un est entré par une autre porte... Faut donc changer les serrures ; et essayer d'analyser les logs pour trouver comment le gars est entré...

J'ai relancé SPIP_loader, ça a l'air d'avoir écrasé les fichiers JS vérolés.

Dans les logs, que dois-je chercher ?

Je vois en http :

- des GET et de POST depuis des IP 8x. 9x. qui doivent être des Orange.

- des GET depuis 66.249.65.229 Googlebot
66.249.65.229 www.countrysaintesbuffalodancers17.com - [10/Jan/2010:02:53:17 +0100] "GET /spip.php?page=backend HTTP/1.1" 200 4534 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +What Is Googlebot | Google Search Central  |  Documentation  |  Google for Developers)"

- un HEAD bizarre :
194.72.238.62 www.countrysaintesbuffalodancers17.com - [10/Jan/2010:02:53:41 +0100] "HEAD / HTTP/1.0" 200 - "http://www.netcraft.com/survey/" "Mozilla/4.0 (compatible; Netcraft Web Server Survey)"

En FTP :

[2010 Jan 8 14:30:26] vsftpd: Fri Jan 8 14:30:26 2010 [pid 21137] [countrys] FTP response: Client "74.208.166.27", "150 Opening BINARY mode data connection for ajaxCallback.js (10558 bytes)."
[2010 Jan 8 14:30:27] vsftpd: Fri Jan 8 14:30:27 2010 [pid 21137] [countrys] OK DOWNLOAD: Client "74.208.166.27", "/www/prive/javascript/ajaxCallback.js", 10558 bytes, 27.18Kbyte/sec
[2010 Jan 8 14:30:27] vsftpd: Fri Jan 8 14:30:27 2010 [pid 21137] [countrys] FTP response: Client "74.208.166.27", "226 File send OK."
[2010 Jan 8 14:30:27] vsftpd: Fri Jan 8 14:30:27 2010 [pid 21137] [countrys] FTP command: Client "74.208.166.27", "QUIT"
[2010 Jan 8 14:30:27] vsftpd: Fri Jan 8 14:30:27 2010 [pid 21137] [countrys] FTP response: Client "74.208.166.27", "221 Goodbye."
[2010 Jan 8 14:31:51] vsftpd: Fri Jan 8 14:31:51 2010 [pid 14586] [countrys] FTP response: Client "212.34.138.195", "331 Please specify the password."
[2010 Jan 8 14:31:52] vsftpd: Fri Jan 8 14:31:52 2010 [pid 14586] [countrys] FTP command: Client "212.34.138.195", "PASS <password>"
[2010 Jan 8 14:31:52] vsftpd: Fri Jan 8 14:31:52 2010 [pid 14585] [countrys] OK LOGIN: Client "212.34.138.195"
[2010 Jan 8 14:31:52] vsftpd: Fri Jan 8 14:31:52 2010 [pid 14610] [countrys] FTP response: Client "212.34.138.195", "230 Login successful."
[2010 Jan 8 14:31:52] vsftpd: Fri Jan 8 14:31:52 2010 [pid 14610] [countrys] FTP command: Client "212.34.138.195", "PWD"
[2010 Jan 8 14:31:52] vsftpd: Fri Jan 8 14:31:52 2010 [pid 14610] [countrys] FTP response: Client "212.34.138.195", "257 "/""
[2010 Jan 8 14:31:52] vsftpd: Fri Jan 8 14:31:52 2010 [pid 14610] [countrys] FTP command: Client "212.34.138.195", "CWD www"
[2010 Jan 8 14:31:52] vsftpd: Fri Jan 8 14:31:52 2010 [pid 14610] [countrys] FTP response: Client "212.34.138.195", "250 Directory successfully changed."
[2010 Jan 8 14:31:52] vsftpd: Fri Jan 8 14:31:52 2010 [pid 14610] [countrys] FTP command: Client "212.34.138.195", "CWD prive"
[2010 Jan 8 14:31:52] vsftpd: Fri Jan 8 14:31:52 2010 [pid 14610] [countrys] FTP response: Client "212.34.138.195", "250 Directory successfully changed."
[2010 Jan 8 14:31:53] vsftpd: Fri Jan 8 14:31:53 2010 [pid 14610] [countrys] FTP command: Client "212.34.138.195", "CWD javascript"
[2010 Jan 8 14:31:53] vsftpd: Fri Jan 8 14:31:53 2010 [pid 14610] [countrys] FTP response: Client "212.34.138.195", "250 Directory successfully changed."
[2010 Jan 8 14:31:53] vsftpd: Fri Jan 8 14:31:53 2010 [pid 14610] [countrys] FTP command: Client "212.34.138.195", "EPSV"
[2010 Jan 8 14:31:53] vsftpd: Fri Jan 8 14:31:53 2010 [pid 14610] [countrys] FTP response: Client "212.34.138.195", "229 Entering Extended Passive Mode (|||34384|)"
[2010 Jan 8 14:31:54] vsftpd: Fri Jan 8 14:31:54 2010 [pid 14610] [countrys] FTP command: Client "212.34.138.195", "TYPE I"
[2010 Jan 8 14:31:54] vsftpd: Fri Jan 8 14:31:54 2010 [pid 14610] [countrys] FTP response: Client "212.34.138.195", "200 Switching to Binary mode."
[2010 Jan 8 14:31:54] vsftpd: Fri Jan 8 14:31:54 2010 [pid 14610] [countrys] FTP command: Client "212.34.138.195", "SIZE jquery.ifixpng.js"
[2010 Jan 8 14:31:54] vsftpd: Fri Jan 8 14:31:54 2010 [pid 14610] [countrys] FTP response: Client "212.34.138.195", "213 3885"
[2010 Jan 8 14:31:54] vsftpd: Fri Jan 8 14:31:54 2010 [pid 14610] [countrys] FTP command: Client "212.34.138.195", "RETR jquery.ifixpng.js"
[2010 Jan 8 14:31:54] vsftpd: Fri Jan 8 14:31:54 2010 [pid 14610] [countrys] FTP response: Client "212.34.138.195", "150 Opening BINARY mode data connection for jquery.ifixpng.js (3885 bytes)."
[2010 Jan 8 14:31:54] vsftpd: Fri Jan 8 14:31:54 2010 [pid 14610] [countrys] OK DOWNLOAD: Client "212.34.138.195", "/www/prive/javascript/jquery.ifixpng.js", 3885 bytes, 80.55Kbyte/sec
[2010 Jan 8 14:31:54] vsftpd: Fri Jan 8 14:31:54 2010 [pid 14610] [countrys] FTP response: Client "212.34.138.195", "226 File send OK."
[2010 Jan 8 14:31:54] vsftpd: Fri Jan 8 14:31:54 2010 [pid 14610] [countrys] FTP command: Client "212.34.138.195", "QUIT"
[2010 Jan 8 14:31:54] vsftpd: Fri Jan 8 14:31:54 2010 [pid 14610] [countrys] FTP response: Client "212.34.138.195", "221 Goodbye."
[2010 Jan 8 14:30:27] vsftpd: Fri Jan 8 14:30:27 2010 [pid 10315] [countrys] FTP response: Client "91.135.229.250", "331 Please specify the password."
[2010 Jan 8 14:30:27] vsftpd: Fri Jan 8 14:30:27 2010 [pid 10315] [countrys] FTP command: Client "91.135.229.250", "PASS <password>"
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10314] [countrys] OK LOGIN: Client "91.135.229.250"
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10322] [countrys] FTP response: Client "91.135.229.250", "230 Login successful."
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10322] [countrys] FTP command: Client "91.135.229.250", "PWD"
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10322] [countrys] FTP response: Client "91.135.229.250", "257 "/""
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10322] [countrys] FTP command: Client "91.135.229.250", "CWD www"
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10322] [countrys] FTP response: Client "91.135.229.250", "250 Directory successfully changed."
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10322] [countrys] FTP command: Client "91.135.229.250", "CWD prive"
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10322] [countrys] FTP response: Client "91.135.229.250", "250 Directory successfully changed."
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10322] [countrys] FTP command: Client "91.135.229.250", "CWD javascript"
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10322] [countrys] FTP response: Client "91.135.229.250", "250 Directory successfully changed."
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10322] [countrys] FTP command: Client "91.135.229.250", "EPSV"
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10322] [countrys] FTP response: Client "91.135.229.250", "229 Entering Extended Passive Mode (|||24170|)"
[2010 Jan 8 14:30:29] vsftpd: Fri Jan 8 14:30:29 2010 [pid 10322] [countrys] FTP command: Client "91.135.229.250", "TYPE I"
[2010 Jan 8 14:30:29] vsftpd: Fri Jan 8 14:30:29 2010 [pid 10322] [countrys] FTP response: Client "91.135.229.250", "200 Switching to Binary mode."
[2010 Jan 8 14:30:29] vsftpd: Fri Jan 8 14:30:29 2010 [pid 10322] [countrys] FTP command: Client "91.135.229.250", "STOR ajaxCallback.js"
[2010 Jan 8 14:30:29] vsftpd: Fri Jan 8 14:30:29 2010 [pid 10322] [countrys] FTP response: Client "91.135.229.250", "150 Ok to send data."
[2010 Jan 8 14:30:29] vsftpd: Fri Jan 8 14:30:29 2010 [pid 10322] [countrys] OK UPLOAD: Client "91.135.229.250", "/www/prive/javascript/ajaxCallback.js", 11713 bytes, 27.73Kbyte/sec
[2010 Jan 8 14:30:29] vsftpd: Fri Jan 8 14:30:29 2010 [pid 10322] [countrys] FTP response: Client "91.135.229.250", "226 File receive OK."
[2010 Jan 8 14:30:29] vsftpd: Fri Jan 8 14:30:29 2010 [pid 10322] [countrys] FTP command: Client "91.135.229.250", "QUIT"
[2010 Jan 8 14:30:29] vsftpd: Fri Jan 8 14:30:29 2010 [pid 10322] [countrys] FTP response: Client "91.135.229.250", "221 Goodbye."

On dirait que ajaxCallback.js est envoyé une première fois à 14:30:27 avec 10558 octets,
puis une seconde fois à 14:30:29 avec 11713 octets... avec un "Client" différent...

Et après cette liste de logs, les logs suivants reviennent à 14:27:58...

Des explications pour moi ??

Merci

Stéphane G. a écrit :

Bonjour,

Matthieu Marcillaud a écrit :

Je viens de mettre en place un nouveau site http://www.countrysaintesbuffalodancers17.com
avec Spip 2.0.10 + Zpip + ZenGarden

Par contre tu as bel et bien un trojan qui est arrivé au moins dans tmp/cache/skel (du coup tous les caches générés par SPIP l'ont aussi). Si le trojan n'a pas été introduit via SPIP (y a peu de chance)
(les squelettes ont l'air clean aussi), c'est que quelqu'un est entré par une autre porte... Faut donc changer les serrures ; et essayer d'analyser les logs pour trouver comment le gars est entré...

J'ai relancé SPIP_loader, ça a l'air d'avoir écrasé les fichiers JS vérolés.

Dans les logs, que dois-je chercher ?

Je vois en http :

- des GET et de POST depuis des IP 8x. 9x. qui doivent être des Orange.

- des GET depuis 66.249.65.229 Googlebot
66.249.65.229 www.countrysaintesbuffalodancers17.com - [10/Jan/2010:02:53:17 +0100] "GET /spip.php?page=backend HTTP/1.1" 200 4534 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +Googlebot 簡介 | Google 搜尋中心  |  說明文件  |  Google for Developers)"

- un HEAD bizarre :
194.72.238.62 www.countrysaintesbuffalodancers17.com - [10/Jan/2010:02:53:41 +0100] "HEAD / HTTP/1.0" 200 - "http://www.netcraft.com/survey/&quot; "Mozilla/4.0 (compatible; Netcraft Web Server Survey)"

En FTP :

[2010 Jan 8 14:30:26] vsftpd: Fri Jan 8 14:30:26 2010 [pid 21137] [countrys] FTP response: Client "74.208.166.27", "150 Opening BINARY mode data connection for ajaxCallback.js (10558 bytes)."
[2010 Jan 8 14:30:27] vsftpd: Fri Jan 8 14:30:27 2010 [pid 21137] [countrys] OK DOWNLOAD: Client "74.208.166.27", "/www/prive/javascript/ajaxCallback.js", 10558 bytes, 27.18Kbyte/sec
[2010 Jan 8 14:30:27] vsftpd: Fri Jan 8 14:30:27 2010 [pid 21137] [countrys] FTP response: Client "74.208.166.27", "226 File send OK."
[2010 Jan 8 14:30:27] vsftpd: Fri Jan 8 14:30:27 2010 [pid 21137] [countrys] FTP command: Client "74.208.166.27", "QUIT"
[2010 Jan 8 14:30:27] vsftpd: Fri Jan 8 14:30:27 2010 [pid 21137] [countrys] FTP response: Client "74.208.166.27", "221 Goodbye."
[2010 Jan 8 14:31:51] vsftpd: Fri Jan 8 14:31:51 2010 [pid 14586] [countrys] FTP response: Client "212.34.138.195", "331 Please specify the password."
[2010 Jan 8 14:31:52] vsftpd: Fri Jan 8 14:31:52 2010 [pid 14586] [countrys] FTP command: Client "212.34.138.195", "PASS <password>"
[2010 Jan 8 14:31:52] vsftpd: Fri Jan 8 14:31:52 2010 [pid 14585] [countrys] OK LOGIN: Client "212.34.138.195"
[2010 Jan 8 14:31:52] vsftpd: Fri Jan 8 14:31:52 2010 [pid 14610] [countrys] FTP response: Client "212.34.138.195", "230 Login successful."
[2010 Jan 8 14:31:52] vsftpd: Fri Jan 8 14:31:52 2010 [pid 14610] [countrys] FTP command: Client "212.34.138.195", "PWD"
[2010 Jan 8 14:31:52] vsftpd: Fri Jan 8 14:31:52 2010 [pid 14610] [countrys] FTP response: Client "212.34.138.195", "257 "/""
[2010 Jan 8 14:31:52] vsftpd: Fri Jan 8 14:31:52 2010 [pid 14610] [countrys] FTP command: Client "212.34.138.195", "CWD www"
[2010 Jan 8 14:31:52] vsftpd: Fri Jan 8 14:31:52 2010 [pid 14610] [countrys] FTP response: Client "212.34.138.195", "250 Directory successfully changed."
[2010 Jan 8 14:31:52] vsftpd: Fri Jan 8 14:31:52 2010 [pid 14610] [countrys] FTP command: Client "212.34.138.195", "CWD prive"
[2010 Jan 8 14:31:52] vsftpd: Fri Jan 8 14:31:52 2010 [pid 14610] [countrys] FTP response: Client "212.34.138.195", "250 Directory successfully changed."
[2010 Jan 8 14:31:53] vsftpd: Fri Jan 8 14:31:53 2010 [pid 14610] [countrys] FTP command: Client "212.34.138.195", "CWD javascript"
[2010 Jan 8 14:31:53] vsftpd: Fri Jan 8 14:31:53 2010 [pid 14610] [countrys] FTP response: Client "212.34.138.195", "250 Directory successfully changed."
[2010 Jan 8 14:31:53] vsftpd: Fri Jan 8 14:31:53 2010 [pid 14610] [countrys] FTP command: Client "212.34.138.195", "EPSV"
[2010 Jan 8 14:31:53] vsftpd: Fri Jan 8 14:31:53 2010 [pid 14610] [countrys] FTP response: Client "212.34.138.195", "229 Entering Extended Passive Mode (|||34384|)"
[2010 Jan 8 14:31:54] vsftpd: Fri Jan 8 14:31:54 2010 [pid 14610] [countrys] FTP command: Client "212.34.138.195", "TYPE I"
[2010 Jan 8 14:31:54] vsftpd: Fri Jan 8 14:31:54 2010 [pid 14610] [countrys] FTP response: Client "212.34.138.195", "200 Switching to Binary mode."
[2010 Jan 8 14:31:54] vsftpd: Fri Jan 8 14:31:54 2010 [pid 14610] [countrys] FTP command: Client "212.34.138.195", "SIZE jquery.ifixpng.js"
[2010 Jan 8 14:31:54] vsftpd: Fri Jan 8 14:31:54 2010 [pid 14610] [countrys] FTP response: Client "212.34.138.195", "213 3885"
[2010 Jan 8 14:31:54] vsftpd: Fri Jan 8 14:31:54 2010 [pid 14610] [countrys] FTP command: Client "212.34.138.195", "RETR jquery.ifixpng.js"
[2010 Jan 8 14:31:54] vsftpd: Fri Jan 8 14:31:54 2010 [pid 14610] [countrys] FTP response: Client "212.34.138.195", "150 Opening BINARY mode data connection for jquery.ifixpng.js (3885 bytes)."
[2010 Jan 8 14:31:54] vsftpd: Fri Jan 8 14:31:54 2010 [pid 14610] [countrys] OK DOWNLOAD: Client "212.34.138.195", "/www/prive/javascript/jquery.ifixpng.js", 3885 bytes, 80.55Kbyte/sec
[2010 Jan 8 14:31:54] vsftpd: Fri Jan 8 14:31:54 2010 [pid 14610] [countrys] FTP response: Client "212.34.138.195", "226 File send OK."
[2010 Jan 8 14:31:54] vsftpd: Fri Jan 8 14:31:54 2010 [pid 14610] [countrys] FTP command: Client "212.34.138.195", "QUIT"
[2010 Jan 8 14:31:54] vsftpd: Fri Jan 8 14:31:54 2010 [pid 14610] [countrys] FTP response: Client "212.34.138.195", "221 Goodbye."
[2010 Jan 8 14:30:27] vsftpd: Fri Jan 8 14:30:27 2010 [pid 10315] [countrys] FTP response: Client "91.135.229.250", "331 Please specify the password."
[2010 Jan 8 14:30:27] vsftpd: Fri Jan 8 14:30:27 2010 [pid 10315] [countrys] FTP command: Client "91.135.229.250", "PASS <password>"
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10314] [countrys] OK LOGIN: Client "91.135.229.250"
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10322] [countrys] FTP response: Client "91.135.229.250", "230 Login successful."
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10322] [countrys] FTP command: Client "91.135.229.250", "PWD"
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10322] [countrys] FTP response: Client "91.135.229.250", "257 "/""
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10322] [countrys] FTP command: Client "91.135.229.250", "CWD www"
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10322] [countrys] FTP response: Client "91.135.229.250", "250 Directory successfully changed."
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10322] [countrys] FTP command: Client "91.135.229.250", "CWD prive"
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10322] [countrys] FTP response: Client "91.135.229.250", "250 Directory successfully changed."
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10322] [countrys] FTP command: Client "91.135.229.250", "CWD javascript"
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10322] [countrys] FTP response: Client "91.135.229.250", "250 Directory successfully changed."
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10322] [countrys] FTP command: Client "91.135.229.250", "EPSV"
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10322] [countrys] FTP response: Client "91.135.229.250", "229 Entering Extended Passive Mode (|||24170|)"
[2010 Jan 8 14:30:29] vsftpd: Fri Jan 8 14:30:29 2010 [pid 10322] [countrys] FTP command: Client "91.135.229.250", "TYPE I"
[2010 Jan 8 14:30:29] vsftpd: Fri Jan 8 14:30:29 2010 [pid 10322] [countrys] FTP response: Client "91.135.229.250", "200 Switching to Binary mode."
[2010 Jan 8 14:30:29] vsftpd: Fri Jan 8 14:30:29 2010 [pid 10322] [countrys] FTP command: Client "91.135.229.250", "STOR ajaxCallback.js"
[2010 Jan 8 14:30:29] vsftpd: Fri Jan 8 14:30:29 2010 [pid 10322] [countrys] FTP response: Client "91.135.229.250", "150 Ok to send data."
[2010 Jan 8 14:30:29] vsftpd: Fri Jan 8 14:30:29 2010 [pid 10322] [countrys] OK UPLOAD: Client "91.135.229.250", "/www/prive/javascript/ajaxCallback.js", 11713 bytes, 27.73Kbyte/sec
[2010 Jan 8 14:30:29] vsftpd: Fri Jan 8 14:30:29 2010 [pid 10322] [countrys] FTP response: Client "91.135.229.250", "226 File receive OK."
[2010 Jan 8 14:30:29] vsftpd: Fri Jan 8 14:30:29 2010 [pid 10322] [countrys] FTP command: Client "91.135.229.250", "QUIT"
[2010 Jan 8 14:30:29] vsftpd: Fri Jan 8 14:30:29 2010 [pid 10322] [countrys] FTP response: Client "91.135.229.250", "221 Goodbye."

On dirait que ajaxCallback.js est envoyé une première fois à 14:30:27 avec 10558 octets,
puis une seconde fois à 14:30:29 avec 11713 octets... avec un "Client" différent...

Et après cette liste de logs, les logs suivants reviennent à 14:27:58...

Des explications pour moi ??

Merci

_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Infos et archives : http://listes.rezo.net/mailman/listinfo/spip
Discuter chez rezo.net

Documentation de SPIP : http://www.spip.net/

Irc : de l'aide à toute heure : http://spip.net/irc

désoler mon anti virus sonne encore 4 fois avant d'arriver a la page ...............

--
@micalement stéphane
http://bachant.free.fr/?Merci-Qui

Stéphane G. a écrit :

Bonjour,

Matthieu Marcillaud a écrit :

Je viens de mettre en place un nouveau site http://www.countrysaintesbuffalodancers17.com
avec Spip 2.0.10 + Zpip + ZenGarden

Par contre tu as bel et bien un trojan qui est arrivé au moins dans tmp/cache/skel (du coup tous les caches générés par SPIP l'ont aussi). Si le trojan n'a pas été introduit via SPIP (y a peu de chance)
(les squelettes ont l'air clean aussi), c'est que quelqu'un est entré par une autre porte... Faut donc changer les serrures ; et essayer d'analyser les logs pour trouver comment le gars est entré...

J'ai relancé SPIP_loader, ça a l'air d'avoir écrasé les fichiers JS vérolés.

Dans les logs, que dois-je chercher ?

Je vois en http :

- des GET et de POST depuis des IP 8x. 9x. qui doivent être des Orange.

- des GET depuis 66.249.65.229 Googlebot
66.249.65.229 www.countrysaintesbuffalodancers17.com - [10/Jan/2010:02:53:17 +0100] "GET /spip.php?page=backend HTTP/1.1" 200 4534 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +什么是 Googlebot | Google 搜索中心  |  文档  |  Google for Developers)"

- un HEAD bizarre :
194.72.238.62 www.countrysaintesbuffalodancers17.com - [10/Jan/2010:02:53:41 +0100] "HEAD / HTTP/1.0" 200 - "http://www.netcraft.com/survey/&quot; "Mozilla/4.0 (compatible; Netcraft Web Server Survey)"

En FTP :

[2010 Jan 8 14:30:26] vsftpd: Fri Jan 8 14:30:26 2010 [pid 21137] [countrys] FTP response: Client "74.208.166.27", "150 Opening BINARY mode data connection for ajaxCallback.js (10558 bytes)."
[2010 Jan 8 14:30:27] vsftpd: Fri Jan 8 14:30:27 2010 [pid 21137] [countrys] OK DOWNLOAD: Client "74.208.166.27", "/www/prive/javascript/ajaxCallback.js", 10558 bytes, 27.18Kbyte/sec
[2010 Jan 8 14:30:27] vsftpd: Fri Jan 8 14:30:27 2010 [pid 21137] [countrys] FTP response: Client "74.208.166.27", "226 File send OK."
[2010 Jan 8 14:30:27] vsftpd: Fri Jan 8 14:30:27 2010 [pid 21137] [countrys] FTP command: Client "74.208.166.27", "QUIT"
[2010 Jan 8 14:30:27] vsftpd: Fri Jan 8 14:30:27 2010 [pid 21137] [countrys] FTP response: Client "74.208.166.27", "221 Goodbye."
[2010 Jan 8 14:31:51] vsftpd: Fri Jan 8 14:31:51 2010 [pid 14586] [countrys] FTP response: Client "212.34.138.195", "331 Please specify the password."
[2010 Jan 8 14:31:52] vsftpd: Fri Jan 8 14:31:52 2010 [pid 14586] [countrys] FTP command: Client "212.34.138.195", "PASS <password>"
[2010 Jan 8 14:31:52] vsftpd: Fri Jan 8 14:31:52 2010 [pid 14585] [countrys] OK LOGIN: Client "212.34.138.195"
[2010 Jan 8 14:31:52] vsftpd: Fri Jan 8 14:31:52 2010 [pid 14610] [countrys] FTP response: Client "212.34.138.195", "230 Login successful."
[2010 Jan 8 14:31:52] vsftpd: Fri Jan 8 14:31:52 2010 [pid 14610] [countrys] FTP command: Client "212.34.138.195", "PWD"
[2010 Jan 8 14:31:52] vsftpd: Fri Jan 8 14:31:52 2010 [pid 14610] [countrys] FTP response: Client "212.34.138.195", "257 "/""
[2010 Jan 8 14:31:52] vsftpd: Fri Jan 8 14:31:52 2010 [pid 14610] [countrys] FTP command: Client "212.34.138.195", "CWD www"
[2010 Jan 8 14:31:52] vsftpd: Fri Jan 8 14:31:52 2010 [pid 14610] [countrys] FTP response: Client "212.34.138.195", "250 Directory successfully changed."
[2010 Jan 8 14:31:52] vsftpd: Fri Jan 8 14:31:52 2010 [pid 14610] [countrys] FTP command: Client "212.34.138.195", "CWD prive"
[2010 Jan 8 14:31:52] vsftpd: Fri Jan 8 14:31:52 2010 [pid 14610] [countrys] FTP response: Client "212.34.138.195", "250 Directory successfully changed."
[2010 Jan 8 14:31:53] vsftpd: Fri Jan 8 14:31:53 2010 [pid 14610] [countrys] FTP command: Client "212.34.138.195", "CWD javascript"
[2010 Jan 8 14:31:53] vsftpd: Fri Jan 8 14:31:53 2010 [pid 14610] [countrys] FTP response: Client "212.34.138.195", "250 Directory successfully changed."
[2010 Jan 8 14:31:53] vsftpd: Fri Jan 8 14:31:53 2010 [pid 14610] [countrys] FTP command: Client "212.34.138.195", "EPSV"
[2010 Jan 8 14:31:53] vsftpd: Fri Jan 8 14:31:53 2010 [pid 14610] [countrys] FTP response: Client "212.34.138.195", "229 Entering Extended Passive Mode (|||34384|)"
[2010 Jan 8 14:31:54] vsftpd: Fri Jan 8 14:31:54 2010 [pid 14610] [countrys] FTP command: Client "212.34.138.195", "TYPE I"
[2010 Jan 8 14:31:54] vsftpd: Fri Jan 8 14:31:54 2010 [pid 14610] [countrys] FTP response: Client "212.34.138.195", "200 Switching to Binary mode."
[2010 Jan 8 14:31:54] vsftpd: Fri Jan 8 14:31:54 2010 [pid 14610] [countrys] FTP command: Client "212.34.138.195", "SIZE jquery.ifixpng.js"
[2010 Jan 8 14:31:54] vsftpd: Fri Jan 8 14:31:54 2010 [pid 14610] [countrys] FTP response: Client "212.34.138.195", "213 3885"
[2010 Jan 8 14:31:54] vsftpd: Fri Jan 8 14:31:54 2010 [pid 14610] [countrys] FTP command: Client "212.34.138.195", "RETR jquery.ifixpng.js"
[2010 Jan 8 14:31:54] vsftpd: Fri Jan 8 14:31:54 2010 [pid 14610] [countrys] FTP response: Client "212.34.138.195", "150 Opening BINARY mode data connection for jquery.ifixpng.js (3885 bytes)."
[2010 Jan 8 14:31:54] vsftpd: Fri Jan 8 14:31:54 2010 [pid 14610] [countrys] OK DOWNLOAD: Client "212.34.138.195", "/www/prive/javascript/jquery.ifixpng.js", 3885 bytes, 80.55Kbyte/sec
[2010 Jan 8 14:31:54] vsftpd: Fri Jan 8 14:31:54 2010 [pid 14610] [countrys] FTP response: Client "212.34.138.195", "226 File send OK."
[2010 Jan 8 14:31:54] vsftpd: Fri Jan 8 14:31:54 2010 [pid 14610] [countrys] FTP command: Client "212.34.138.195", "QUIT"
[2010 Jan 8 14:31:54] vsftpd: Fri Jan 8 14:31:54 2010 [pid 14610] [countrys] FTP response: Client "212.34.138.195", "221 Goodbye."
[2010 Jan 8 14:30:27] vsftpd: Fri Jan 8 14:30:27 2010 [pid 10315] [countrys] FTP response: Client "91.135.229.250", "331 Please specify the password."
[2010 Jan 8 14:30:27] vsftpd: Fri Jan 8 14:30:27 2010 [pid 10315] [countrys] FTP command: Client "91.135.229.250", "PASS <password>"
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10314] [countrys] OK LOGIN: Client "91.135.229.250"
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10322] [countrys] FTP response: Client "91.135.229.250", "230 Login successful."
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10322] [countrys] FTP command: Client "91.135.229.250", "PWD"
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10322] [countrys] FTP response: Client "91.135.229.250", "257 "/""
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10322] [countrys] FTP command: Client "91.135.229.250", "CWD www"
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10322] [countrys] FTP response: Client "91.135.229.250", "250 Directory successfully changed."
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10322] [countrys] FTP command: Client "91.135.229.250", "CWD prive"
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10322] [countrys] FTP response: Client "91.135.229.250", "250 Directory successfully changed."
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10322] [countrys] FTP command: Client "91.135.229.250", "CWD javascript"
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10322] [countrys] FTP response: Client "91.135.229.250", "250 Directory successfully changed."
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10322] [countrys] FTP command: Client "91.135.229.250", "EPSV"
[2010 Jan 8 14:30:28] vsftpd: Fri Jan 8 14:30:28 2010 [pid 10322] [countrys] FTP response: Client "91.135.229.250", "229 Entering Extended Passive Mode (|||24170|)"
[2010 Jan 8 14:30:29] vsftpd: Fri Jan 8 14:30:29 2010 [pid 10322] [countrys] FTP command: Client "91.135.229.250", "TYPE I"
[2010 Jan 8 14:30:29] vsftpd: Fri Jan 8 14:30:29 2010 [pid 10322] [countrys] FTP response: Client "91.135.229.250", "200 Switching to Binary mode."
[2010 Jan 8 14:30:29] vsftpd: Fri Jan 8 14:30:29 2010 [pid 10322] [countrys] FTP command: Client "91.135.229.250", "STOR ajaxCallback.js"
[2010 Jan 8 14:30:29] vsftpd: Fri Jan 8 14:30:29 2010 [pid 10322] [countrys] FTP response: Client "91.135.229.250", "150 Ok to send data."
[2010 Jan 8 14:30:29] vsftpd: Fri Jan 8 14:30:29 2010 [pid 10322] [countrys] OK UPLOAD: Client "91.135.229.250", "/www/prive/javascript/ajaxCallback.js", 11713 bytes, 27.73Kbyte/sec
[2010 Jan 8 14:30:29] vsftpd: Fri Jan 8 14:30:29 2010 [pid 10322] [countrys] FTP response: Client "91.135.229.250", "226 File receive OK."
[2010 Jan 8 14:30:29] vsftpd: Fri Jan 8 14:30:29 2010 [pid 10322] [countrys] FTP command: Client "91.135.229.250", "QUIT"
[2010 Jan 8 14:30:29] vsftpd: Fri Jan 8 14:30:29 2010 [pid 10322] [countrys] FTP response: Client "91.135.229.250", "221 Goodbye."

On dirait que ajaxCallback.js est envoyé une première fois à 14:30:27 avec 10558 octets,
puis une seconde fois à 14:30:29 avec 11713 octets... avec un "Client" différent...

Et après cette liste de logs, les logs suivants reviennent à 14:27:58...

Des explications pour moi ??

Merci

_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net

Infos et archives : http://listes.rezo.net/mailman/listinfo/spip
Discuter chez rezo.net

Documentation de SPIP : http://www.spip.net/

Irc : de l'aide à toute heure : http://spip.net/irc

pour etre plus precis ça se passe avec porte plume

--
@micalement stéphane
http://bachant.free.fr/?Merci-Qui

Stéphane G. a écrit :

En FTP :

[2010 Jan 8 14:30:26] vsftpd: Fri Jan 8 14:30:26 2010 [pid 21137] [countrys] FTP response: Client "74.208.166.27", "150 Opening BINARY mode data connection for ajaxCallback.js (10558 bytes)."
[2010 Jan 8 14:30:27] vsftpd: Fri Jan 8 14:30:27 2010 [pid 21137] [countrys] OK DOWNLOAD: Client "74.208.166.27", "/www/prive/javascript/ajaxCallback.js", 10558 bytes, 27.18Kbyte/sec
[2010 Jan 8 14:30:27] vsftpd: Fri Jan 8 14:30:27 2010 [pid 21137] [countrys] FTP response: Client "74.208.166.27", "226 File send OK."
[2010 Jan 8 14:30:27] vsftpd: Fri Jan 8 14:30:27 2010 [pid 21137] [countrys] FTP command: Client "74.208.166.27", "QUIT"
[2010 Jan 8 14:30:27] vsftpd: Fri Jan 8 14:30:27 2010 [pid 21137] [countrys] FTP response: Client "74.208.166.27", "221 Goodbye."
[2010 Jan 8 14:31:51] vsftpd: Fri Jan 8 14:31:51 2010 [pid 14586] [countrys] FTP response: Client "212.34.138.195", "331 Please specify the password."
[2010 Jan 8 14:31:52] vsftpd: Fri Jan 8 14:31:52 2010 [pid 14586] [countrys] FTP command: Client "212.34.138.195", "PASS <password>"
[2010 Jan 8 14:31:52] vsftpd: Fri Jan 8 14:31:52 2010 [pid 14585] [countrys] OK LOGIN: Client "212.34.138.195"
[2010 Jan 8 14:31:52] vsftpd: Fri Jan 8 14:31:52 2010 [pid 14610] [countrys] FTP response: Client "212.34.138.195", "230 Login successful."

Des explications pour moi ??

connexion avec login/password valide sur ton compte depuis plusieurs adresses.
Il est probable qu'une machine contenant ton login et ton mot de passe FTP se soit fait piraté.
J'ai vu ca au mois d'aout dernier deja : un virus a circulé, une fois la machine infectée, il cherchait les fichiers de parametrages des clients FTP les plus courant et balancait ce qu'il trouvait à un serveur.
Dans un deuxieme temps, d'autres machines infectées utilisaient ces identifiant pour aller glisser une iframe dans toutes les pages index des sites qu'il arrivait à ouvrir.

=> 1- changer les mots de passe (y compris mysql car ils sont compromis, le fichier /conf/connect.php ayant été exposé)
2- trouver par ou les identifiants ont été volés, sinon, ca risque de se reproduire....

@++

Stéphane Santon a écrit :

Bonjour,

Je viens de mettre en place un nouveau site http://www.countrysaintesbuffalodancers17.com
avec Spip 2.0.10 + Zpip + ZenGarden

Et quand je le visite avec un poste sous AVAST familial, j'ai plein d'alertes TROJAN JS:Illredir-C [Trj] dans les fichiers :

En marge de ce problème : Vous avez une solution assez simple d'utilisation pour tester les virus/Trojan sur les sites, quand on n'est pas sous Windows ? (je suis sous Linux et mon co-webmaster sous Mac...).

--
Sergio
Éditions Touchalon: htpp://touchalon.free.fr
Soutenez le libre: http://www.framasoft.org

En marge de ce problème : Vous avez une solution assez simple d'utilisation pour tester les virus/Trojan sur les sites, quand on n'est pas sous Windows ? (je suis sous Linux et mon co-webmaster sous Mac...).

Beuh, clamav est un antivirus sous linux, il devrait s'il est à jour être capable de détecter ce genre de soucis.
Histoire d'automatiser un peu le tout, tu peux programmer une tache cron qui scanne périodiquement ton répertoire web et t'envoie un rapport.
( ou scripter un petit peu pour avoir un rapport uniquement en cas de scan positif ).
genre :
clamscan --quiet -i -r /var/www/ | mail -s 'rapport clamav' monadresse@mail.org

Euh, rectification, ca, c'est pour scanner les fichiers si tu as un serveur à protéger.
Si tu te contentes de naviguer, sous linux ou mac os, les virus de ce type ne peuvent rien faire à ta machine ( les virus en question étant conçu pour windows ).
Le système de droits sous linux est également moins permissif que sous windows, donc a moins de naviguer avec le compte root,
les risques sont cantonnés essentiellement à ton utilisateur courant. Par contre, je ne connais pas d'antivirus résidents sous linux.
Clamav peut te permettre à date fixe de scanner ton disque mais ne te permettra pas à ma connaissance d'intercepter les objets pointés par des urls vérolées.

Vincent a écrit :

En marge de ce problème : Vous avez une solution assez simple d'utilisation pour tester les virus/Trojan sur les sites, quand on n'est pas sous Windows ? (je suis sous Linux et mon co-webmaster sous Mac...).

Beuh, clamav est un antivirus sous linux, il devrait s'il est à jour être capable de détecter ce genre de soucis.
Histoire d'automatiser un peu le tout, tu peux programmer une tache cron qui scanne périodiquement ton répertoire web et t'envoie un rapport.
( ou scripter un petit peu pour avoir un rapport uniquement en cas de scan positif ).
genre :
clamscan --quiet -i -r /var/www/ | mail -s 'rapport clamav' monadresse@mail.org

Ouais, mais il faut que j'ai un accès shell à mon hébergeur. Je suppose que sur les pages persos de Free, ça ne le fait pas

J'ai fait un scan (avec clamav) de mon "cache" de Firefox. Il m'a bien trouvé un code malicieux (je suppose celui du site de Stéphane). Mais impossible de faire un lien direct entre le nom du fichier et le site incriminé.

--
Sergio
Éditions Touchalon: htpp://touchalon.free.fr
Soutenez le libre: http://www.framasoft.org

Ouais, mais il faut que j'ai un accès shell à mon hébergeur. Je suppose que sur les pages persos de Free, ça ne le fait pas

Ah oui, fatalement, vu comme ca

J'ai fait un scan (avec clamav) de mon "cache" de Firefox. Il m'a bien trouvé un code malicieux (je suppose celui du site de Stéphane). Mais impossible de faire un lien direct entre le nom du fichier et le site incriminé.

Oui, normal, d'autant plus que les url sont planqués dans le javascript qui les appelle ... Pour pouvoir traquer les blagouzes dans ce genre, le mieux sous linux est encore de passer par un proxy: les fichiers peuvent être mis en cache et scannés au niveau du proxy. Ca te permettrait de détecter ce genre de choses malgré tout ( tu peux regarder du coté de squid et dansguardian + clamav par exemple ). Outre la détection/flitrage, tu as aussi des logs, ce qui est pratique pour traquer des contenus cachés.

Sergio a écrit :

Stéphane Santon a écrit :

Bonjour,

Je viens de mettre en place un nouveau site http://www.countrysaintesbuffalodancers17.com
avec Spip 2.0.10 + Zpip + ZenGarden

Et quand je le visite avec un poste sous AVAST familial, j'ai plein d'alertes TROJAN JS:Illredir-C [Trj] dans les fichiers :

En marge de ce problème : Vous avez une solution assez simple d'utilisation pour tester les virus/Trojan sur les sites, quand on n'est pas sous Windows ? (je suis sous Linux et mon co-webmaster sous Mac...).

On m'a donné la bonne réponse dans fcol. Je transmets à ceux qui ne lisent pas ce groupe, ça peut être utile) :
(de Renaud Merle)
--------------------------
Bonjour Sergio.

Voici des outils en ligne qui peuvent vous aider à détecter des bouts de
code indésirables sur votre site :

- AVG Online Virus Scanner : www.avg.com.au/resources/web-page-scanner/
- Explabs Link Scanner : linkscanner.explabs.com/linkscanner/default.aspx
- Finjan Malware Scanner : www.finjan.com/Content.aspx?id=574
- Google Safe Browsing [Dans l'URL, remplacer www.MyWebsite.com par son
domaine] : www.google.com/safebrowsing/diagnostic?site=www.MyWebsite.com
- McAfee SiteAdvisor : McAfee SiteAdvisor Software – Website Safety Ratings and Secure Search
writeComments?firstTry=1&section=domainSuggestion
- Norton Safe Web : safeweb.norton.com
- Qualys FreeScan : www.qualys.com/forms/trials/qualysguard_free_scan/
- Unmask Parasites : www.unmaskparasites.com
- Wepawet : wepawet.iseclab.org
--------------------------

--
Sergio
Éditions Touchalon: htpp://touchalon.free.fr
Soutenez le libre: http://www.framasoft.org