Bonjour,
Ce soir, je viens d’aider mon ami, Fred, qui est le webmaster de Conseils Marketing car ses sites ont tous été infectés par des virus ! des milliers de fichiers infectés !
On ne le rappelle jamais assez mais il faut toujours vérifier le code source d’un template, plugin ou modules avant de l’installer et vérifier si il y a du code caché !
Une petite recherche sur votre serveur vous permettra de vérifier que le code téléchargé est sain :
for i in $(find . -name "*.php") ; do cat $i | grep base64_decode | grep eval && echo "Infected $i" ; done
Si la commande retourne quelque chose du genre:
eval(base64_decode('JHNoX2lkID0gIlQzZHVaV1FnWW5rZ2IzQmgiOwokc2hfbmFtZSA9IGJhc2U2NF9kZWNvZGUoJHNoX2lkKTsKJHNoX21haW51cmwgPSAiaHR0cDovL3d3dy5vcGEub3JnIjsKJGh0bWxfc3RhnQgPSAn...)
Pour effacer ce code dissimulé, vous pouvez essayer les commandes suivantes:
for i in $(find . -name "*.php") ; do grep base64_decode $i > /dev/null && echo "patching $i …" && sed -i -e 's/^<?php eval(gzinflate(base64_decode[^>]*>//g' "$i" ; done
for i in $(find . -name "*.php") ; do grep base64_decode $i > /dev/null && echo "patching $i …" && sed -i -e 's/^<?php eval(base64_decode[^>]*>//g' "$i" ; done
for i in $(find . -name "*.php") ; do grep base64_decode $i > /dev/null && echo "patching $i …" && sed -i -e 's/^<?php eval(gzuncompress(base64_decode[^>]*>//g' "$i" ; done
Un conseil: faites une sauvegarde avant ces modifications !
Voila et faites attention avant de télécharger un template gratuit !
Voir le lien vers ma boutique : MyStockPhoto !
N’hésitez pas à me laisser un commentaire si vous avez des questions,
Voila,
Nicolas Portais
