Javascript, insertion de virus par un botRésolu/Fermé

Question

Bonjour,  


Je finis par vous demandez de l'aide suite à mon client qui ne cesse de m'appeler toutes les semaines pour un "virus" sur son site professionnel. 

En effet depuis un mois, je ne cesse d'identifier la page en question, les index, les JS, j'aperçois un script en fin de page qui n'a rien à faire dessus. 

Apparemment seul les antivirus comme AVG découvre ce genre de script et l'identifie comme un virus, du coup les clients qui naviguent sur le site sont horrifiés et partent de suite. 

Alors après vérification et suppression des scripts, j'ai du changer le mot de passe pour l'accès au serveur par FTP. 

Malgrés cela, les scripts reviennent sans cesse, j'ai pu vérifier les dossiers logs et identifier l'adresse ip d'un bot qui a pu avoir ces informations et à l'aide du .htaccess le bannir du site, j'ignore si cela à pu servir à quelque chose, je pense bien que non vu que les scripts reviennent. 

Je ne suis pas le seul à avoir cet accès FTP sur leur serveur, une femme s'en occupe également pour faire les mises à jour du site dans leur boite. 

Est-il possible que ce soir leur PC qui soit infecté par tout et n'importe quoi ? 
Cela commence à devenir très gênant pour moi, car je ne suis pas un expert en virus et leur site rapporte quand même plus de 50 000 visiteurs par mois...à ce rythme il ne restera plus grand chose si à chaque ouverture de pages, l'antivirus des clients se met à hurler... 

Si vous avez des solutions, je vous en serait très reconnaissant 
Merci d'avoir pris le temps de me lire.

Malekal_morte- · Answer

Salut, 

File le lien du site :) 
ou montre la tete du javascript.

M'enfin c'est surement Bredo/Daurso :)

Rise Against rules :D

WebDesigner · Answer

Le javascript se présente de cette façon : Je t'ai envoyé le lien du site en mp. Merci de m'avoir répondu.

Malekal_morte- · Answer

OK c'est bien du Bredolab/Daurso/Bunnix.

Lire le paragraphe Trojan.Daurso / Win32/Bubnix sur
https://forum.malekal.com/viewtopic.php?t=22837&start=

et :
https://forum.malekal.com/viewtopic.php?t=23617&start=

Donc y a des chances que ce soit par FTP, potentiellement il se peut qu'un des PC qui est utilisé pour se connecter au site soit infectée.
Donc là vu que t'as changé le pass ça doit limiter la casse, faudrait donner le nouveau mdp au compte goute et vérifier les machines qui se connectent au FTP.

PS : il peut aussi se connecter au FTP par bruteforce si le mot de passe était pas fort.

WebDesigner · Answer

Merci beaucoup pour ta réponse, je vais lire tout çà ^^

Je te tiendrais au courant durant les semaines qui suivent pour voir son évolution.


Merci encore et bonne continuation

Malekal_morte- · Answer

Si tu as un doute sur une machine, on peux regarder pour déterminer si elle est infectée :)

WebDesigner · Answer

Tes articles sont vraiment très intéressants !

J'utilise plusieurs machines en effet pour me connecter via FTP sur le serveur.

- Le premier est celui de mon client pour que la personne chargée des mises à jours puisse se connecter et uploader des fichiers PDF, images etc...

- Les deux autres sont mon ordinateur portable en cas d'absence et mon fixe pour travailler de chez moi.

En général, je fais très attention pour qu'aucun de mes outils soient infectés par quoi que se soit, j'utilise alors spybot search and destroy, j'ignore si cela est suffisant.

En revanche, la machine de mon client est utilisée un peu n'importe comment, que se soit pour naviguer sur le web, envoyer des newsletters, se charger d'envoyer des fichiers par FTP avec Filezilla, je ne me charge jamais d'un contrôle sur leur machine pour nettoyer leur disque ou vérifier un éventuel trojan, spyware etc...

Demain je dois passer chez eux pour faire le point avec leur installation informatique qui me pose un soucis, car je ne veux en aucun cas, que mon client me reproche de ne pas sécuriser leur site si leur PC est constamment soumis à des attaques.

Malekal_morte- · Answer

Good :)  
Déjà Spybot tu pourras le désinstaller, il est inefficace.  

En ce qui concerne le site, si vous avez la main sur les machines (serveurs dédiés), comme cela est dit à la fin de la page que je t'ai donnée.  
Je vous conseille très fortement de filtrer le service FTP, il est très ciblé. 

Si vos clients ont des IP fixes (et vous aussi) vous devriez ouvrir le port que pour vos IP.  
Si vos clients ont des IP dynamiques, vous devriez ajouter des règles pour filtrer les IP des pays suivants : Russie, Ukraine, Roumanie et Chine.  

Généralement les machines utilisées pour ajouter les iframes ont des IP Chinoises :)  
Si le mot de passe est récupérée, ça limitera déjà la casse.  

Rise Against rules :D

WebDesigner · Answer

Merci pour ta réponse :D
Je suis allé faire un tour sur ton forum pour sécuriser mon pc et oublier spybot de suite.

Lorsque tu conseilles de filtrer nos adresses IP, devrais-je passer par le .htaccess pour autoriser uniquement que nos adresses ou dois-je le faire ailleurs 
?

Malekal_morte- · Answer

Non, je parle de bloquer le port du FTP via des règles firewall afin de n'autoriser que vos IP (si elles sont fixes ). 
ou bloquer les IP des pays cités afin qu'ils ne puissent pas s'y connecter. 

Si le mot de passe est récupéré la connexion FTP ne pourra pas se faire et ils ne pourront pas modifier les sites. 

Donc rien à voir avec un .htaccess :)

Rise Against rules :D

WebDesigner · Answer

D'accord ^^

Donc sécuriser nos clients FTP par le mode actif avec nos adresses ip fixes, c'est çà ?

Malekal_morte- · Answer

heu non, enfin je suis pas certains que tu aies bien compris de quoi je parle.

Je parle de mettre des règles sur le firewall du serveur pour filtrer les connexions entrantes vers le FTP pour bloquer certaines plages d'IP.

Je peux pas faire plus simple comme explication :\

Javascript, insertion de virus par un bot

11 réponses

Discussions similaires

Newsletters