Salut,
Je publie un retour d’expérience pour info, ça peut servir à d’autres. Je me suis choppé un virus sur mon serveur, qui correspond à ça : https://www.hackjungle.com/news/caution-var-0xaae8-wordpress-virus-spreading-attacking-the-jqueryjs-2017.
J’avais plusieurs apps infectées : 3 sites sous wordpress, Lutim et Opensondage. Les symptômes : quand on se connectait à une de ces applications, ça redirigeait vers des sites de pub, mais pas à chaque fois, de manière aléatoire.
La cause à priori, c’est que je n’avais pas tenu mes wordpress à jour, notamment les extensions et les thèmes. Pour Lutim et Opensondage, je pense que c’est par wordpress que ça s’est étendu, mais j’en sais rien.
Résolution :
- j’ai fait toutes les mises à jour wordpress dans l’interface admin : wordpress, extensions, thèmes. Ça a suffit pour les wordpress, à une extension près où j’ai dû effacer le bout de code infecté à la main.
- j’ai cherché tous les fichiers qui contenaient des bouts de codes infectés dans les applications web :
grep -Rl "0xaae8" /var/www/ - j’ai supprimé à la main ces bouts de codes dans les fichiers concernés. En gros c’était 2 lignes rajoutées à la fin des fichiers, du type :
var _0xaae8=["","\x6A\x6F\x69\x6E","\x72\x65\x76\x65\x72\x73\x73\x3C","\x77\x72\x69\x74\x65"];document[_0xaae8[5]](_0xaae8[4][_0xaae8[3]](_0xaae8[0])[_0xaae8[2]]()[_0xaae8[1]](_0xaae8[0]))//
Voilà, peut-être que ça servira à quelqu’un…