Site infecté par un cheval de troie

[dehen]

Bonjour,
depuis ce matin lorsque je vais sur mon site : -http://www.esprit-rencontre.fr, Avast détecte un malware et coupe la connexion.
J'ai averti l'hébergeur (Sivit) qui me répond que je dois vérifier mes fichiers moi-même. Ce que j'ai fait avec mon antivirus, après avoir téléchargé la totalité des fichiers depuis le serveur.
Mais aucun fichier infecté. Que faire ?
Franchement je suis paumé.
Merci de votre aide potentielle...

 

[salva]

Jette un oeil ici.

 

[dehen]

Merci Salva,
j'essaie de comprendre le problème. Mais je ne suis pas bien sûr d'avoir les compétences. Je suis allé sur un scan indiqué par le site que tu m'as indiqué. Le scan a trouvé un fichier jquery infecté, mais je ne sais pas quoi faire à partir de là...

 

[salva]

Sur les sites que nous avons analysés, ils ont été piratés à travers le timthumb.php vulnérabilité qui a été publié il ya quelques jours. Les attaquants sont également la création d'un tas de portes dérobées pour maintenir leur accès à des sites piratés.

Tu dois mettre le thème à jour ou en choisir un autre.
Supprimer/remplacer les fichiers infectés.
Changer tes mots de passe.

C'est le code est généré par une instruction echo caché dans un des fichiers de base de WordPress et est toujours accompagné de portes dérobées, et même plusieurs. Redirections htaccess (pour http://generation-internet.ru et d'autres sites russes).
Les deux domaines ont été enregistrés par Archil Karsaulidze (probablement faux) et sont pointant vers 91.196.216.20:

Le hack te renvoit sur la même IP (91.196.216.20).

 

[dehen]

Merci,
je m'en vais de ce pas suivre tes conseils et je te tiens au courant...
en tout cas grand merci...

 

[Marie-Aude]

Le plugin a été forké (il y a un autre plugin avec les mêmes fonctionnalités) maintenant je pense qu'il est inutile, la fonctionnalité vignettes de Wordpress fait le même travail