Salut à tous,
Suite à un virus sur un pc qui a récupérer les codes FTP certainement via le fichier XML de filezilla, j'ai plusieurs sites infectés par un script js crypté.
Ce script était ajouté sur toutes les pages .HTML et .htm, j'ai donc changer les codes ftp et supprimer manuellement le code sur toutes les pages infectées.
Ce sont des sites sur wordpress et joomla , sur wordpress une fois le code supprimé dans les pages html plus de soucis...
Par contre sur joomla il y a toujours un code js qui est présent.
Le code supprimé dans les pages html était de cette forme
Le code qui apparait toujours sur joomla est de la forme :
Code : Sélectionner tout - Visualiser dans une fenêtre à part <script>var s=new String().....</script>
Et il apparait tout en haut de la page, avant même le doctype...
Code : Sélectionner tout - Visualiser dans une fenêtre à part <script>w=Window;aa....</script>
J'ai fait une recherche avec notepad++ dans tous les fichiers à la recherche de ce fameux code mais je n'ai rien trouvé...
Quelqu'un à t'il une idée ? Comment savoir d'ou vient ce code ?
Joomla charge des modules et des templates donc pas évident de remonter tout le code pour savoir qu'elles sont les pages chargées....
Quand on affiche la source de la page, on voit bien ce code, y a t'il un module firefox ou autre qui permet de savoir de quelle page provient ce code ?
Merci pour votre aide.
Partager