Re : singature "base64_decode" potentiellement dangereux

Bonjour

Surtout ne supprime rien !

Ces seuls mots-là ne sont pas forcément dangereux, il faut les voir dans le contexte où ils sont placés. Un eval(base64_decode( est probablement dangereux (je dis bien probablement).

Maintenant, si ton hébergeur a bloqué ton site, oui, il y a des virus qui s'y trouvent mais, une fois encore, les seuls mots clefs que tu as mentionné ne sont pas suffisant que pour déterminer si virus il y a.

aeSecure QuickScan te donne une partie du contexte.

Bonne journée.

Re : singature "base64_decode" potentiellement dangereux

Bonjour,
je suis ravi de parler avec le développeur d'aeSecure. Je vous remercie pour votre réponse rapide. Voici les examples de code en question. Pouvez-vous m'aider pour y voir claire? Je ne vois pas le danger dans ce code.

Re : singature "base64_decode" potentiellement dangereux

Bonjour

Un rapide survol (à l'oeil nu, sans outil) ne m'a pas permis de voir un vrai virus. De ce que j'ai survolé, tout me semble à priori, sur base de ce qui a été copié/collé ci-dessus correct.

Note bien que je n'affirme pas que c'est sain; juste que je pense que tout est ok. Pour avoir la garantie que ton site est propre, il faudrait le scanner de manière profonde. Ton hébergeur ayant détecté un virus, il est possible que QuickScan (quick => ce n'est pas un scan profond) ne l'ait pas détecté.

Note : je peux scanner ton site avec mon scanner professionnel (=deep scan) et le cas échéant confirmer que ton site est virusé mais, comme tu le comprendras aisément, je ne pourrais que dire "Oui, j'ai détecté des virus" (ce qu'OVH a fait en fait) et au final tu ne seras pas vraiment plus avancé. Si cette proposition te tente, contacte-moi par message privé et communique-moi un accès à ton FTP et l'URL de ton site. J'en prends alors une copie sur ma machine, je le scanne et je te confirme si oui ou non j'ai trouvé des (vrais) virus.

Bonne journée.

Re : singature "base64_decode" potentiellement dangereux

Bonsoir

J'ai pu télécharger l'archive de ton site et oui, les virus n'y manquent pas. P.ex. le fichier blog.php à la racine du site qui ne contient aucun base64 mais du code obfusqué permettant de récupérer une valeur envoyé par formulaire (et lue donc via $_POST) puis de l'exécuter avec un eval().

Autre exemple non détecté par ton hébergeur : images/data/actions/sw_pool/ini.php

Ton hébergeur a donc raison, ton site nécessiterait un nettoyage. Va voir le troisième et dernier lien dans ma signature pour avoir des conseils afin que tu puisses tenter cela par toi-même.

Bonne soirée.

[Edit] J'ai dénombré 44 fichiers vérolés dans le ZIP que tu m'as transmis [/Edit]