En général, il s’agit d’une attaque par récupération de mot de passe FTP [1].
Et pour eviter la détection directe, le script de modification est encodé : voyez si vous auriez une ligne du genre :
echo(gzinflate(base64_decode("JYxRCoAgEAWvIvufC31G1lk2kzJKF31E3b6oz...
!
Pallier le problème consiste à :
éliminer toutes les localisations Spip qui pourraient encore comporter un code malicieux
éliminer toutes les "portes d’entrée" qui pourraient rester (mots de passe FTP dérober => à changer, failles de sécurité => serveur à mettre a jour, vieille version de SPIP => mise-à-jour et écran de sécurité ....),
changer tous les mots de passe (et d’abord vérifier les adresses mails des administrateurs...).
Mais il est possible aussi qu’un virus ait infecté le SPIP chargé sur la machine client utilisée par votre webmestre ; il peut devenir préférable de recharger votre site "proprement" avec spip_loader, qui a gagné beaucoup de souplesse depuis 2014...
Réparer
Le principe sera toujours de vérifier que vous disposez des moyens de Sauvegarder SPIP sur un ordinateur non pollué, et de le faire avant toute chose, y compris Sauvegarder sa base de données SPIP. Ensuite, vous êtes ramené à Mettre SPIP à jour : comment ?....
Enfin, voici aussi un détecteur de problèmes https://sitecheck.sucuri.net/ [2] ...
Article publié le 1er avril 2015, et actualisé en avril 2019 Provisoire (à compléter...) .
Répondre à cet article