Le Mon, Jul 28, 2014 at 10:14:57AM +0200, Fernando Lagrange [fernando+frsag@demo-tic.org] a écrit: [...]
Mes recherches sur le net arrivent surtout sur comment se prémunir (mettre en place la sécurité), je n'ai pas trouvé grand-chose sur « l'après ». L'après non-technique, j'entends.
Comme Bragon l'a dit, le "mieux", mais pas toujours faisable, c'est réinstaller le système et remettre à partir de sauvegardes.
Sinon, la relative chance qu'on a, c'est que dans la très grande majorité des cas, le casse-pied qui a troué le site ne cherchait que un lieu confortable pour envoyer du spam ou autre bricole du genre. On peut dans ce cas limiter la "réinstallation" aux applicatifs web.
Sinon, pour faire la chasse aux fichiers compromis, recherche tous les fichiers PHP contenant l'inistruction eval() Il y a certaines utilisations legitimes, mais des eval(base64decode($POST['_xyz13'])) c'est un bon signe de trou :)