Bonjour,

durant les vacances, je me suis aperçu qu'un virus était apparu sur l'un des sites que je gère. Si j'affiche la source de mon fichier index.php, voici ce qui a été inséré à la première ligne :
Je suis donc allé télécharger le fichier index.php sur le FTP, et je trouve ceci à la première ligne : Une conséquence visible de ce virus est que mon anti-virus devient fou, dès que j'affiche la page. J'imagine qu'il fait pas mal de dégâts sur des systèmes mal protégés.

Mon site propose un formulaire d'inscription, avec des champs input de type text et un champ input de type file. J'ai utilisé mysql_real_escape_string() pour éviter les injections SQL, mais apparement, cela ne suffit pas.

Comment puis-je sécuriser mon site pour éviter que ce virus revienne ?

Question subsidiaire, comment puis-je faire pour "remonter à la source", savoir qui essaye de placer ce virus sur mon site ?

Ton type file, tu le protèges comment ?

Ton type file, tu le protèges comment ?

Je ne le protèges pas vraiment.
Je le renomme, avant de l'uploader :

$file_extension = Object_Model::file_get_extension($this->cv['name']);
		
$file_name = $this->id . '-' . Object_Model::string_rewrite_value($this->prenom_nom()) . '.' . $file_extension;
		
move_uploaded_file($this->cv['tmp_name'], ROOT_PATH . 'uploads/users/cv/' .$file_name);
		
Sql::sql_query(sprintf("UPDATE " . TABLES__USERS . " SET cv = '%s' WHERE id = %d", $file_name, $this->id));
		
$this->cv = $file_name;

Quelles protections devrai-je mettre en place ?

1/ Tu mets tout ton site en panne le temps de le purger.
2/ Vérifie les cron jobs & tâches planifiées.
3/ Tu passes tout le code en revue, en commençant par les applications tierces (CMS, forums...) en vérifiant que les versions sont bien à jour (mise à jour fortement recommandée au besoin).
4/ Tu vérifies ton propre code en faisant particulièrement attention à tout ce qui ressemble à une écriture (fichiers & uploads en particulier, bdd ensuite).
5/ Vérifie aussi ta configuration php, ça ne mange pas de pain (fait passer un maximum d'options en mode restrictif/production, safe_mode, open_basedir, display_errors, url_fopen etc).
6/ Comme tu as identifié un fichier php compromis, essaye de voir si d'autres fichiers ont été compromis dans la même tranche de temps (selon la date de modification du fichier)
7/ Tu rouvres le site progressivement, morceau par morceau, au fil des nettoyages effectués.
8/ Sois vigilant des récidives (si ça arrive c'est que tu as oublié quelquechose, il faudra recommencer).

Fais attention aussi à la configuration apache, aux .htaccess...

NB : tout ça peut te prendre du temps, ça ne sert à rien de le faire à moitié, il faut être exhaustif.

As tu trouver d'où venait l'attaque ?

Il y a des outils comme md5summer pour vérifier l'intégrité de tes fichiers sur ton serveur.

Sinon, pour sécuriser un peu l'upload, tu as des fonctions PHP sur les types MIME de fichiers :

$h = finfo_open();
$retour = finfo_file($h, $_FILES['fichier']['tmp_name']);
finfo_close($h);