Site infecté par virus gifimg.php
vol4807
-
Malekal_morte- Messages postés 184348 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 184348 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
J'ai constaté que les 2 sites ( www.oab.fr et http://nedved.free.fr ) que je gère étaient infecté par un virus il y a 2 jours quand en voulant naviguer dessus google me dit "attention site malveillant" et bloque l'accès.
j'ai découvert un fichier gifimg.php dans le dossier image de chaque site.
Après il y a une ligne de script qui s'intercale entre le head et le body de chaque page htm.
ca fait deux jours de suite que je supprime ca manuellement mais ca revient chaque matin.
j'ai supprimé de nombreuses vieilles pages de peu d'importance et j'ai changé mes mots de passe ftp mais rien n'y fait.
dans un des journal des log j'ai ca en date du 10 mai, début supposé de l'infection :
oab.fr 79.98.28.12 - - [10/May/2010:08:37:47 +0200] "POST /images/gifimg.php HTTP/1.0" 200 26 "-" "-"
oab.fr 79.98.28.12 - - [10/May/2010:08:37:47 +0200] "POST /php_tmp/weru.php HTTP/1.0" 404 214 "-" "-"
oab.fr 79.98.28.12 - - [10/May/2010:08:37:47 +0200] "POST /images/gifimg.php HTTP/1.0" 200 30 "-" "-"
oab.fr 79.98.28.12 - - [10/May/2010:08:37:48 +0200] "POST /php_sessions/oyf.php HTTP/1.0" 404 218 "-" "-"
oab.fr 79.98.28.12 - - [10/May/2010:08:37:48 +0200] "POST /images/gifimg.php HTTP/1.0" 200 32 "-" "-"
oab.fr 79.98.28.12 - - [10/May/2010:08:37:49 +0200] "POST /php_sessions/wwzbj.php HTTP/1.0" 404 220 "-" "-"
oab.fr 79.98.28.12 - - [10/May/2010:08:37:49 +0200] "POST /images/gifimg.php HTTP/1.0" 200 32 "-" "-"
oab.fr 79.98.28.12 - - [10/May/2010:08:37:49 +0200] "POST /php_sessions/iuvzq.php HTTP/1.0" 404 220 "-" "-"
oab.fr 79.98.28.12 - - [10/May/2010:08:37:50 +0200] "POST /images/gifimg.php HTTP/1.0" 200 26 "-" "-"
oab.fr 79.98.28.12 - - [10/May/2010:08:37:50 +0200] "POST /php_tmp/louz.php HTTP/1.0" 404 214 "-" "-"
que faire donc ?
EMMANUEL
J'ai constaté que les 2 sites ( www.oab.fr et http://nedved.free.fr ) que je gère étaient infecté par un virus il y a 2 jours quand en voulant naviguer dessus google me dit "attention site malveillant" et bloque l'accès.
j'ai découvert un fichier gifimg.php dans le dossier image de chaque site.
Après il y a une ligne de script qui s'intercale entre le head et le body de chaque page htm.
ca fait deux jours de suite que je supprime ca manuellement mais ca revient chaque matin.
j'ai supprimé de nombreuses vieilles pages de peu d'importance et j'ai changé mes mots de passe ftp mais rien n'y fait.
dans un des journal des log j'ai ca en date du 10 mai, début supposé de l'infection :
oab.fr 79.98.28.12 - - [10/May/2010:08:37:47 +0200] "POST /images/gifimg.php HTTP/1.0" 200 26 "-" "-"
oab.fr 79.98.28.12 - - [10/May/2010:08:37:47 +0200] "POST /php_tmp/weru.php HTTP/1.0" 404 214 "-" "-"
oab.fr 79.98.28.12 - - [10/May/2010:08:37:47 +0200] "POST /images/gifimg.php HTTP/1.0" 200 30 "-" "-"
oab.fr 79.98.28.12 - - [10/May/2010:08:37:48 +0200] "POST /php_sessions/oyf.php HTTP/1.0" 404 218 "-" "-"
oab.fr 79.98.28.12 - - [10/May/2010:08:37:48 +0200] "POST /images/gifimg.php HTTP/1.0" 200 32 "-" "-"
oab.fr 79.98.28.12 - - [10/May/2010:08:37:49 +0200] "POST /php_sessions/wwzbj.php HTTP/1.0" 404 220 "-" "-"
oab.fr 79.98.28.12 - - [10/May/2010:08:37:49 +0200] "POST /images/gifimg.php HTTP/1.0" 200 32 "-" "-"
oab.fr 79.98.28.12 - - [10/May/2010:08:37:49 +0200] "POST /php_sessions/iuvzq.php HTTP/1.0" 404 220 "-" "-"
oab.fr 79.98.28.12 - - [10/May/2010:08:37:50 +0200] "POST /images/gifimg.php HTTP/1.0" 200 26 "-" "-"
oab.fr 79.98.28.12 - - [10/May/2010:08:37:50 +0200] "POST /php_tmp/louz.php HTTP/1.0" 404 214 "-" "-"
que faire donc ?
EMMANUEL
A voir également:
- Site infecté par virus gifimg.php
- Site de telechargement - Accueil - Outils
- Site x - Guide
- Site pour partager des photos - Guide
- Quel site remplace coco - Accueil - Réseaux sociaux
- Site comme coco - Accueil - Réseaux sociaux
3 réponses
ca fait deux jours de suite que je supprime ca manuellement mais ca revient chaque matin.
Salut,
Lire ça : https://forum.malekal.com/viewtopic.php?t=22837&start=
Y a de grandes chances que ce soit ça.
Madness Rox \o/
Salut,
Lire ça : https://forum.malekal.com/viewtopic.php?t=22837&start=
Y a de grandes chances que ce soit ça.
Madness Rox \o/
Peut-être que ton PC est infecté et il transmet à nouveau le mot de passe FTP :)
Pour voir :
Désactive les logiciels de protection (Antivirus, Antispywares) puis :
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Eventuellement, installe la console de récupération comme cela est conseillé
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Pour voir :
Désactive les logiciels de protection (Antivirus, Antispywares) puis :
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Eventuellement, installe la console de récupération comme cela est conseillé
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
