Virus hacker (PHP ou JavaScript)

  Réparer votre site, en mode rapide !

De nouvelles formes d’attaques se répandent sur le web, ciblées sur les sites Internet et non plus sur les PC clients.....

Si vous voyez apparaitre des liens bizarres, une alerte ou suspension de votre site chez Gogol notemment, des fenetres de pop-up...
_il est possible que votre site en soit victime....

Article publié le 1er avril 2015, et actualisé en avril 2019

 
 
 
 
 
 
 
 
 
 
Attention, cette page est encore en  

En général, il s’agit d’une attaque par récupération de mot de passe FTP [1].

Et pour eviter la détection directe, le script de modification est encodé : voyez si vous auriez une ligne du genre :
echo(gzinflate(base64_decode("JYxRCoAgEAWvIvufC31G1lk2kzJKF31E3b6oz... !

Pallier le problème consiste à :
- éliminer toutes les localisations Spip qui pourraient encore comporter un code malicieux
- éliminer toutes les "portes d’entrée" qui pourraient rester (mots de passe FTP dérober => à changer, failles de sécurité => serveur à mettre a jour, vieille version de SPIP => mise-à-jour et écran de sécurité ....),
- changer tous les mots de passe (et d’abord vérifier les adresses mails des administrateurs...).

Mais il est possible aussi qu’un virus ait infecté le SPIP chargé sur la machine client utilisée par votre webmestre ; il peut devenir préférable de recharger votre site "proprement" avec spip_loader, qui a gagné beaucoup de souplesse depuis 2014...

Réparer

Le principe sera toujours de vérifier que vous disposez des moyens de Sauvegarder SPIP sur un ordinateur non pollué, et de le faire avant toute chose, y compris Sauvegarder sa base de données SPIP. Ensuite, vous êtes ramené à Mettre SPIP à jour : comment ?....


Enfin, voici aussi un détecteur de problèmes https://sitecheck.sucuri.net/ [2] ...


Merci de nous signaler les coquilles, imprécisions ou erreurs qui figureraient dans cette page.

[1Récupéré sur le PC d’un utilisateur, bien plus rarement par exploitation d’une faille du serveur...

[2Merci Gilles.


Liens A2A visibles seulement pour les inscrits.
Liens visibles seulement pour les inscrits.

Article publié le 1er avril 2015, et actualisé en avril 2019 Provisoire (à compléter...) .

Répondre à cet article