Complément d'infos : le site était en 3.9.0 et JCE en 2.6.33

Personne n'a d'idée sur comment de tels fichiers ont pu être ajoutés sur le serveur ni comment du code a pu être injecté dans certains fichiers ?

Le scan antivirus de l'hébergeur n'a trouvé ces fichiers anormaux que sur un seul site hier matin (je ne sais pas à quelle fréquence il est lancé sur chaque serveur).
Il y a 23 sites Joomla! sur le serveur, dont une bonne partie avait open_basedir bloqué sur leur propre dossier, d'autres sans limitation à leur dossier.
Dans la mesure où l'accès aux sites est bloqué, impossible de tester avec aesecure_quickscan sinon en rapatriant en local plus de 12 Go de données... Et chercher dans les logs des 23 sites sans avoir de quand datent ces ajouts me semble impossible.

Salut Robert

Je pense que la réponse à ta question est "Comment peut-on savoir ?".

Certains virus sont déposés et activés seulement après un certain laps de temps histoire de bien pourrir tes sauvegardes et de rendre compliqué la recherche de "par où" puisqu'il te faudrait remonter les logs Apache entre aujourd'hui et ..... (une semaine, un mois, ... ?).

En déposant un virus et en ne l'activant que deux mois plus tard p.ex., le pirate te complique oh combien la tâche de l'enquête. Et ici tu dis, si je comprends bien, que tu as 23 sites sur le même FTP ? Peut-être même plus puisqu'il n'est pas rare d'oublier un site "/demo", "/new" ou encore "/ancien" dans le dossier d'un site de production. Et ces sites-là, puisqu'oubliés, ne sont plus dans le radar des mises-à-jour et deviennent des portes béantes.

Personnellement, j'ai rarement cherché "par où" excepté à des fins pédagogiques et dans le cadre du développement d'aeSecure. J'ai développé un outil pour cela : https://github.com/cavo789/apache_logreader; outil que j'ai libéré dans le monde Open Source.

Reste que, dans ton cas, même avec mon outil, tu vas devoir analyser xxxx sites multipliés par xxxx jours de logs et c'est un travail démentiel.

"Par où" est une enquête dont le coût est impayable.

Juste un rappel :

* openbase_dir est une directive PHP qui n'est pas forcément reconnue par les hébergeurs et qui ne concerne que du code PHP (si ton virus est un script Korn shell p.ex. la restriction n'est pas activée)
* je ne connais pas personnellement d'hébergeurs qui isole les sites d'un même client sur un même FTP (il semble de mes lectures que PlanetHoster le fait) => plus tu as de sites sur le même FTP plus tu exploses le risque.

Bonne journée.

Merci Christophe !
Il y a bien seulement 23 sites sur le serveur, dont effectivement probablement deux anciens seulement accessibles en sous-dossiers du sous-domaine par défaut.
La gestion de l'open_basedir est faite dans les paramétrages de chaque site depuis la gestion du compte chez l'hébergeur.
Le scan par l'hébergeur étant régulier (ces temps-ci il a fallu que je me batte pour qu'ils se décident à ne plus considérer jamss.php comme un virus, je recevais souvent des alertes), l'activation est en effet récente.
Mais ce qui est curieux, c'est que ce n'est pas la présence de ces fichiers qui a déclenché l'alerte de l'hébergeur à l'intention de sa cliente, mais la présence de mails, alors qu'ils n'ont été que 57 entre le 13 0h et le 14 11h !
Et comme je l'ai dit, les sites (peut-être pas tous, je n'ai pas tout vérifié, j'ai dans un premier temps passé beaucoup de temps à récupérer une sauvegarde du site signalé piraté pour pouvoir la vérifier avant de vider le dossier distant et de renvoyer une sauvegarde a priori propre qu'il faudra déployer lorsque l'accès aux sites sera rétabli), les sites donc sont protégés par aeSecure version free, idem pour la racine "www" qui a son propre .htaccess d'aeSecure depuis plus de deux ans, ce qui fait que j'ai du mal à comprendre comment les pirates ont pu passer.

Juste une info, peut-être pas applicable dans ton cas : si ton utilisatrice installe une extension (composant, module, plugins, ...) qui est malsaine; elle installe elle-même un virus et une protection sur base d'un .htaccess ne bloquera pas le virus.

J'ai déjà eu un client qui avait trouvé un plugin de captcha sur internet (pas dans le JED), il avait pris un plugin sur un site "quelconque". C'était un virus. Oui, il y avait un captcha mais oui le code du plugin contenait un virus et cela sur le site de téléchargement.

Bien vu, Christophe ! il faudra que je lui demande de préciser.
Mais a priori, depuis que je la seconde, je ne pense pas qu'elle se soit servie ailleurs que sur les sites officiels.
Un nouveau scan lancé par l'hébergeur tout à l'heure est revenu négatif. Il reste à supprimer ce qui est inutile, deux anciens dossiers de sites, et demander la réouverture de l'accès aux sites pour pouvoir en vérifier les mises à jour et espérer qu'il n'y a pas quelque part de fichier malsain.