none
Souci de code malicieux dans HEAD RRS feed

 > 

  • Discussion générale

  • Discussion
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour,

    Je rencontre un souci sur un SharePoint 2010.

    Un code malicieux est venu se placer dans le HEAD de la page d'accueil de SharePoint (pas de soucis sur la console d'admin).

    Ce code apparait comme un script et lance des popups.

    Sous IE, quand je fais F12 et que je vais dans le deboggeur, je vois le script en question et j'ai pu bloquer l'URL destinataire dans mon Firewall.

    Cependant je ne retrouve nul part le script en question et je n'arrive donc pas à le retirer.

    J'ai voulu ouvrir un ticket chez Microsoft, mais à priori ce n'est pas du ressort du support.

    Est-ce que l'un d'entre vous aurait une idée pour m'aider à résoudre ce souci ?

    Merci d'avance

    Bonne journée


    • Modifié G.A.T mercredi 4 janvier 2017 13:17 changement du titre
    mercredi 4 janvier 2017 13:16
    |

Toutes les réponses

  • Discussion
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour,

    Le code JavaScript malicieux a pu être injecté à l'aide d'un composant de webpart, à travers la page maître, voire directement dans la page.

    Avez-vous vérifié ces emplacements ?

    Avez-vous le moyen de le mettre en téléchargement quelque part pour que je l'examine ?

    Bien à vous

    LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE.

    mercredi 4 janvier 2017 13:26
    |
  • Discussion
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour,

    Lorsque je regarde dans la page maitre, je ne vois pas le code.

    Le compte que j'utilise ne me permet pas d'accéder aux pages maitres.

    L'administrateur du site a vérifié dans la page maitre et on ne voit pas le code, je peux vous envoyer des captures écrans ?

    Est-ce que cela serait suffisant pour "avancer" ?

    Cordialement

    mercredi 4 janvier 2017 13:44
    |
  • Discussion
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    C'est bon.

    Ca sera déjà un début :-)

    LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE.


    mercredi 4 janvier 2017 13:50
    |
  • Discussion
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    J'ai essayé de poster des images, mais le forum indique qu'il ne m'autorise pas à poster des images ou des liens tan qu'ils n'ont pas vérifié mon compte.

    Comment puis-je procéder ?

    mercredi 4 janvier 2017 14:03
    |
  • Discussion
    Connectez-vous pour voter
    0
    Connectez-vous pour voter
    Utilisez un site d'hébergement d'images comme par exemple http://imgur.com/

    LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE.

    mercredi 4 janvier 2017 14:12
    |
  • Discussion
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Voici les liens vers les images

    1: Code visualisé avec un compte non admin de la batterie

    http://imgur.com/KV9sgUT

    2: Pages maitre avec un compte admin de la batterie

    http://imgur.com/0efbiKs

    Cordialement

    Guillaume


    • Modifié G.A.T mercredi 4 janvier 2017 14:51 Edit image
    mercredi 4 janvier 2017 14:19
    |
  • Discussion
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Dans la page maître, il manque le reste de la page. Ca serait mieux si vous pouviez la mettre en téléchargement.

    Pensez à masquer aussi le nom de votre société dans le fil d'ariane de SPD2010.

    LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE.


    mercredi 4 janvier 2017 14:30
    |
  • Discussion
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    La page SharePoint étant un intranet, il m'est compliqué de la mettre en téléchargement.

    Lorsque je la télécharge et que je veux l'ouvrir, SharePoint Designer m'indique que la modification est désactivée pour ce site, du coup je vais demander à l'administrateur pour récupérer la suite de la page

    PS : j'ai édité l'image

    mercredi 4 janvier 2017 14:59
    |
  • Discussion
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Si vous avez accès à SPD2010, il suffit de la glisser sur un dossier quelconque de votre poste de travail.

    Éventuellement, zipper le fichier avant de le mettre en téléchargement.

    LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE.

    mercredi 4 janvier 2017 15:09
    |
  • Discussion
    Connectez-vous pour voter
    0
    Connectez-vous pour voter
    J'ai téléchargé une copie de la page v4.master, comment puis-je retirer les informations relatives à la société si je ne peux pas l'ouvrir avec SPD2010 ? (elle pèse 32ko et donc pas forcément besoin de la zipper)
    mercredi 4 janvier 2017 15:12
    |
  • Discussion
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Voici le contenu de la page v4.master

    http://txt.do/ddfw9

    mercredi 4 janvier 2017 15:18
    |
  • Discussion
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Ne vous inquiétez pas car les pages maîtres standard comme la v4.master ne contiennent aucune information sur la société. Pour simplifier, elles servent de modèles standards pour les pages de contenu.

    En tout état de cause, il n'y a aucun code malicieux dans la page v4.master transmise.

    Le problème est ailleurs.

    Le code peut se trouver dans un composant de webpart.

    Allez sur une des pages incriminées et affichez sa page de maintenance.

    Pour accéder à la page de maintenance WebPart, il suffit que vous ajoutiez à la fin de l'URL de la page concernée, la chaine de caractères: ?contents=1

    Vérifiez si un des webparts est caché ? Ou si tous les webparts présents sont bien conformes ?

    LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE.

    mercredi 4 janvier 2017 15:37
    |
  • Discussion
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Les composants webpart ont l'air bon, que je sois en mode partagé ou personnel.

    Comment puis-je ouvrir les composants ?

    Lorsque je les sélectionne, je peux fermer, restaurer, supprimer, retourner a la page de composants webpart ou basculer en mode affichage personnel/partagé

    mercredi 4 janvier 2017 15:59
    |
  • Discussion
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Il faut modifier la page pour éditer un composant WebPart.

    Maintenant c'est difficile d'agir à travers le forum car il faudrait avoir le contenu des pages incriminées.

    Il faut aussi chercher dans les journaux Windows des avertissements, pareil dans les journaux SharePoint (LOGS). Il est possible qu'une alerte ait été mentionnée.

    Je réfléchis comment vous aider...

    LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE.

    mercredi 4 janvier 2017 16:07
    |
  • Discussion
    Connectez-vous pour voter
    0
    Connectez-vous pour voter
    Je vais regarder cela et essayer de trouver des traces dans les logs
    mercredi 4 janvier 2017 16:21
    |
  • Discussion
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Après vérifications dans les logs du SharePoint, rien ne remonte d'inhabituel.

    Le souci ne semble se produire que sur la page d'accueil et une seule fois

    Comme si le script se plaçait par dessus la page d'accueil et une fois lancé il ne se relance pas (jusqu'à ce qu'on ouvre à nouveau la page web).

    Le souci est identique sur IE, FF et Chrome

    vendredi 6 janvier 2017 10:23
    |
  • Discussion
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour,

    Le script peut être chargé par un composant webpart ou directement dans la page.

    La seule façon de le savoir est d'examiner la page.

    Ensuite, vous enlevez le script.

    Après, vous monitorez la page afin vous assurer que personne ne la modifie. SharePoint permet de le faire automatiquement grâce à une stratégie de gestion des informations dans les paramètres de la bibliothèque ou se trouve la page.

    Pour cela :

    1. Ouvrez votre site avec le navigateur web.
    2. Sur votre site, ouvrez la bibliothèque où se trouve votre page
    3. Dans le Ruban, cliquez sur l’onglet BIBLIOTHÈQUE, puis dans le groupe Paramètres, cliquez sur le lien Paramètres de la bibliothèque.
    4. Sous Autorisations et gestion, cliquez sur le lien Paramètres de la stratégie de gestion des informations
    5. Sous Stratégies de type de contenu, cliquez sur le type de contenu Document. De cette manière, vous associez cette stratégie à tous les documents de la bibliothèque qui ont le type de contenu Document.
    6. Dans la section Audit, cochez Activer Audit : des options supplémentaires apparaissent. Modifiez les paramètres comme suit :
      1. Cochez Modification des éléments
      2. Cochez Archivage ou extraction des éléments
      3. Cochez Suppression ou restauration des éléments

    Claude Couderc Consultant IIS, SharePoint, Exchange http://coudr.com


    vendredi 6 janvier 2017 10:44
    |
  • Discussion
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    J'ai finalement trouvé d'où venait le souci.

    Un composant webpart récupéré sur le net par le client était frauduleux, j'ai bloqué le webpart et cela ne pose plus de soucis

    Merci :)

    vendredi 6 janvier 2017 16:14
    |
  • Discussion
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Super !

    Je vous suggère aussi de monitorer aussi les modifications (cf. post précédent) et de mixer les anti-malwares.

    Claude Couderc Consultant IIS, SharePoint, Exchange http://coudr.com

    vendredi 6 janvier 2017 16:18
    |
  • Discussion
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Merci, je vais en parler avec l'administrateur, on voit bien qui a modifié le fichier dans le SharePoint Designer déjà.

    Merci pour votre aide :)

    vendredi 6 janvier 2017 16:40
    |