Moij'ai une idée toute bete et je ne sais pas ce qu'elle vaut ,mais je la balance quand meme.
Telecharge ton site sur ton ordi (local),passe le a la moulinette d'un bon antivirus,et d'un spyware. nettoie le et recharge le sur ton site.

C'est exactectement ce que je fait un fois par mois ...
J'ai eu un petit prog malveillant comme on dite qui etait en fait une sorte de client ftp sur le serveur .
Et le seul veritable moyen de l'indetifier c'est de telecharger l'integralité du site et de le scanner à l'antivirus , de memoire il etait dans frameword et dans un sous dossier en 777 :-o .

Un fichier .php un peu gros , genre about.php ou un truc comme ca .
Depuis je vire systematiquement TOUS les fichiers n'ayants rien à faire sur le site , les readmes les info and co ...
ya deja tellements de fichiers ..

Salut tous,

Oui j'ai pensé aussi de passer l'anti-virus mais sans résultat !

ClamXav v1.1.0 - ClamAV 0.92/8150/Wed Sep 3 20:26:35 2008 - ClamXav

Aucun fichier infecté trouvé.
-----------------------

Essayez de comparer le contenue des fichiers et du bdd avec une backup precedente du temps non suspecto.

Bonsoir,

Me revoilà et toujours la même chose, je pensai avoir une copie du site sur un pc (vu que je suis passé sur mac) et non plus rien ! pas de backup non plus, je me suis connecté avec un pc et voilà ce que j'obtient:

Virus or unwanted program 'HTML/Infected.WebPage.Gen [virus]'
detected in file 'C:\Documents and Settings\Bruno\Local Settings\Temporary Internet Files\Content.IE5\FPVW5VJ8\pages[1].htm.
Action performed: Move file to quarantine


il y a pas un âme charitable qui pourrait me libérer de cette vérole ? je ne suis quand même pas le seul a avoir eu ça ???

Merci

C'est pour votre site de modelisme?
Il y a en dessous la page une iframe avec une URL suspect.
L'origine de ce code html, peut etre trouvee
dans votre theme.html ou la definition du footer dans les preferences.

Apres:
Changez tous les mots de passe (site, XOOPS, MySQL) et validez tous les utilisateurs (site, XOOPS (en groupe admin ou speciaux), MySQL) et tous les permissions des groups en XOOPS.
Mettez a jour le core et tous les modules.
Effacez les caches et eliminez tous les choses passoire comme contuedo, spaw editor, ...

Ghia, un grand merci car j'ai trouvé le code bien exactement dans le pied de page dans les préférences.

Je vais changer les passes, mais je pense que le pirate a du injecter le code.

Je respire enfin mais je pense que je vais mettre a jour ce site et bien le sécuriser, mon club va être heureux de retrouver le site !

Vraiment merci de tout coeur pour ton aide.

Spider

Citation :Quand c'est injection, il faut installer Protector toute suite.
Si Protector est deja la, il faut revoir les permissions des groups. Verifiez les utilisateurs et changez les mots de passe.
Verifiez aussi tous les permissions d'acces pour le dossiers et le fichiers de votre site.
En Protector, il y a le possibilite pour changer le prefix des tables. Utilisez le.

Merci pour ton intervention Ghia

Est-ce-qu'il y a des nouvelles pour comment le modification etait faites? Il me semble que aussi des autres sites XOOPS sont egalement touchees.