Que signifient ces paramètres php et qui les a mis là?

Un site sur lequel je travaille a récemment été piraté et du code php malveillant a été trouvé dans la page. Même en essayant de télécharger le code, MSE l'a étiqueté comme un cheval de Troie. J'ai supprimé le php et changé les mots de passe ftp / shell. Les outils pour les webmasters de Google ont signalé la présence de code malveillant sur plusieurs pages, dont certains avec ces paramètres:

?publisher=localcom_rbl&placement=octane360

J'ai googlé ceci et je l'ai trouvé sur des tonnes de sites, mais je ne sais pas ce que cela signifie. Ce n'est certainement pas le mien.

Est-ce que cela pointe vers un coupable particulier? Et puis-je prendre d'autres mesures pour protéger le site? Auraient-ils pu laisser quelque chose en plus de leur code php?

Je n’avais jamais vu cela auparavant. C’est donc une spéculation fondée sur des preuves circonstancielles - mais j’imagine qu’elles sont aussi bonnes que nous allons obtenir sans connaître le nom du cheval de Troie et d’autres détails (par exemple les adresses IP associées à ces appels URL). ).

Il semblerait que cela ait quelque chose à voir avec "local.com" et avec un "fournisseur de solutions" de publicité appelé Octane 360 ​​(voir ici ). À mon avis, cette agence de publicité sert des logiciels malveillants. Qu'il s'agisse de le servir et d'utiliser votre ordinateur pour vous aider (ce qui pourrait être le cas si le script que vous avez supprimé gère ces paramètres et que l'adresse IP qui le frappe provient d'Internet au sens large) ou si Google ou un autre bot vérifie la présence de Malware et En l'utilisant comme indice pour vous aider à localiser la cause (dans ce cas, la ligne de référence dans le journal pourrait vous donner un indice) ne peut pas être déterminée avec les informations dont vous disposez.

Il est impossible de dire s’ils ont oublié quelque chose - vous auriez vraiment besoin de savoir comment ils ont réussi à injecter le code dans votre site et à éliminer ce vecteur. En fonction du vecteur, vous devez déterminer le dommage qu’ils ont pu causer et ce qu’ils ont pu modifier exactement, puis vérifier.

Lorsqu'un RBL a été informé, vous devriez vérifier votre adresse IP et votre nom de domaine par rapport à une liste de contrôle multi-RBL pour voir si son nom figure sur la liste noire et prendre des mesures pour le désélectionner, le cas échéant. Cela pourrait également fournir un indice utile sur la manière dont le site est compromis si le RBL fournit des informations supplémentaires.

De manière réaliste, à moins que vous ayez les connaissances nécessaires pour savoir ce qu’ils ont fait et comment ils l’ont fait, vous devriez faire appel à un professionnel pour vous aider - personne ne peut, de manière réaliste, vous répondre sans une connaissance beaucoup plus approfondie de votre environnement et de vos circonstances.