Il y a en ce moment une vague d'attaques sur Dotclear, je viens d'en faire les frais :

  • le malware est inséré en première ligne des fichiers PHP
  • il insère une unique ligne qui décode une cochonnerie en base 64
  • les pages vérolées montrent en vue source un script vers le domaine rr.nu ajouté en fin de fichier
  • décodé, le malware c'est ça
  • j'ai adapté l'excellent rrnuVaccine pour le mettre à jour ; vous pouvez le trouver ici ; il suffit de le mettre à la racine de votre site Web par exemple sous le nom rrnuVaccine.php et de l'appeler dans votre navigateur, il vous délivrera un rapport complet d'action, très rapidement, très efficacement

Bonne chance à tous.