[Résolu] Attaque virale (Créer un compte)

  • WordPress :6.6
  • Statut : résolu
  • Ce sujet contient 33 réponses, 5 participants et a été mis à jour pour la dernière fois par Flobogo, le il y a 2 semaines.
15 sujets de 1 à 15 (sur un total de 34)
  • Auteur
    Messages
  • #2482135
    blaireau55
    Participant
    Initié WordPress
    37 contributions

    Bonjour,

    • Ma configuration WP actuelle :
      – Version de WordPress : 6.6.2
      – Version de PHP/MySQL : 8.1.30 / 10.6.20
      – Thème utilisé : Twenty Seventeen Enfant par WP Marmite
      – Extensions en place : Advanced Excerpt (4.4.1), Caldera Forms (1.9.7), Classic Editor (1.6.5), Disable Comments (2.4.6), Eduhixy (1.4.5), Elementor (3.25.4), Forum_wordpress_fr (4.2), Media Library Categories (2.0.1), Navonisafy (2.4.5), Popup Maker (1.20.2), Really Simple Security (9.1.0), UpdraftPlus – Backup/Restore (1.24.6), W3 Total Cache (2.7.7), Wordfence Security (7.11.7), WP File Manager (8.0), WP Statistics (14.10.3), Yoast SEO (23.7)
      – Adresse du site : https://usam55.fr
      – Nom de l’hébergeur : Apache

    Problème(s) rencontré(s) :

    Le site a été mis en ligne il y a 4 ans, je suis loin d’être spécialiste, je bidouille, je devine, je teste, …… avec + ou – de réussite.

    Jusqu’à présent, je n’ai pas rencontré de problème majeur, les petits soucis ont trouvé une solution rapidement grâce au forum et à ceux qui l’animent. Merci à eux.

    Dernièrement, mon antivirus (Avast version gratuite) m’a alerté d’un problème (redirection intenpestive à la connexion au site.

    Je me suis alors inquiété de ma protection antivirus et j’ai constaté que l’extension choisie à la création du site (secupress free) n’était plus mise à jour depuis 7 mois.

    En approfondissant mes recherches, j’ai découvert plusieurs extensions avec des noms curieux, jamais installées par mes soins et toutes actives. Je me suis empressé de les désactiver et de les supprimer.

    J’ai donc modifié mon choix pour passer à Wordfence pour lequel je reçois bilans et alertes.

    A la suite de cette installation, j’ai constaté que :
    – un administrateur inconnu se connectait régulièrement
    – l’extension Wordfence avait été désactivée (je l’ai immédiatement réactivée)

    Voilà la situation, elle dépasse largement mes compétences, j’imagine qu’il va me falloir intervenir dans les fichiers (htaccess par exemple) pour soigner le malade mais je pense avoir besoin de soutien (moral et pratique).

    Je vais joindre à ce post, quelques mails reçus via l’application Wordfence qui sera probablement plus parlante que ma prose.

    Merci à ceux qui auront la patience de me lire et, j’ose espérer, me guider.

    • Ce sujet a été modifié il y a 4 semaines et 1 jour par Flobogo. Raison : déplacé en rubrique "support WordPress" (sujet sans rapport avec Gutenberg)
    • Ce sujet a été modifié le il y a 4 semaines et 1 jour par Flobogo.
    #2482142
    Flobogo
    Modérateur
    Maître WordPress
    20563 contributions

    Bonjour,

    Bien sûr, on va vous aider à vérifier tout ça.

    Curieusement, votre site semble en bonne forme d’après Sucuri, et les redirections ne sont pas visibles sur Google (pas de pages asiatiques qui apparaissent dans le listing des contenus du site).

    Bref, vous avez constaté qu’il y a un admin inconnu (qui désactive Worfeence), c’est un signal très inquiétant : il faut se débarrasser de cet inconnu avant qu’il ne fasse + de dégâts.

    Ça va se passer dans la base de données : suivez ce tuto de nettoyage de site piraté, en vous rendant directement à la 2ème étape.

    Si vous avez toujours le statut admin’, supprimez simplement l’utilisateur – admin inconnu. Et changez tous vos mots de passe, comme conseillé.

    Suivez la suite du tuto par précaution, ou selon ce que dit Wordfence. Si le pirate revient dans quelques jours (ce qui est probable car Worfence alerte sur ce qui est anormal, mais ne nettoie rien), il faudra suivre la totalité du tuto de nettoyage.

     

    #2482153
    blaireau55
    Participant
    Initié WordPress
    37 contributions

    Bonjour,

    Merci pour votre réponse rapide et votre soutien, je vais me pencher sur le problème dès que possible.

    Petite précision, l’admin inconnu évoqué par Wordfence ne fait pas partie des comptes admin visibles, je pense qu’il a été « généré » à partir d’un compte admin piraté. Quand j’ai demandé à l’administrateur concerné de modifier son mot de passe et de choisir la double authentification c’est là que cet admin inconnu (admin2backup) a été signalé par Wordfence.

    Je vous tiens informé de mes actions sitôt que j’ai trouvé un peu de temps.

    #2482168
    Li-An
    Participant
    Maître WordPress
    28865 contributions

    Bonjour, ce que vous dites est un peu problématique. Si il y a beaucoup d’admins, vous multipliez les risques de piratages – qui peuvent venir d’un matériel utilisé vérolé. Je vous conseillerai de supprimer tous les admins sauf vous-mêmes avant de nettoyer le site. Et, malheureusement, si un des admins utilise un matériel vérolé, ça va être compliqué de protéger le site sur le long terme.

    Il faut vraiment restreindre le nombre d’admin. L’idéal est d’avoir une personne chargée de la maintenance du site. Comme c’est une association, il vaut mieux que le site ne soit pas dépendant de cette seule personne et vous pouvez créer d’autres admins à la condition qu’ils ne se connectent que lorque la maintenance l’exige. Pour tout ce qui rédactionnel, vous pouvez imposer d’autres rôles moins dangereux.

    #2482226
    blaireau55
    Participant
    Initié WordPress
    37 contributions

    Bonjour,

    Le dernier message reçu de Wordfence a fini de me plomber le moral.

    Wordfence a trouvé les nouveaux problèmes suivants sur « USAM » (7 problèmes existants ont également été trouvés à nouveau).

    Alerte générée le mercredi 6 novembre 2024 à 17h00:18

     

    Consultez le détail des résultats de ces analyses sur votre site à l’adresse : <span class= »gmail-notranslate »>https://usam55.fr/wp-admin/admin.php?page=WordfenceScan</span>

    Problèmes de gravité élevée :

    * Fichier inconnu dans le noyau WordPress : wp-includes/php-compat/custom-file-5-1730832553.php

    7 problèmes existants ont été retrouvés et ne sont pas affichés.

    REMARQUE : vous utilisez la version gratuite de Wordfence. Effectuez la mise à niveau dès aujourd’hui :

    Je me sens totalement incompétent pour résoudre le problème, l’étape de recherche du fichier wp_users de ma base me pose déjà un problème qui me semble insurmontable.

    Puis-je faire appel à un service extérieur pour résoudre mon problème, avez-vous un ou plusieurs prestataires à me conseiller ?

    Merci

    #2482227
    Flobogo
    Modérateur
    Maître WordPress
    20563 contributions

    Effectivement, ce fichier ne fait pas partie des fichiers WordPress. Il faut donc intervenir rapidement, et suivre la totalité du tuto, qui n’est pas hyper compliqué.

    Il n’y a vraiment pas besoin d’être spécialiste pour suivre ce tuto. Il est justement là pour aider chacun à s’en sortir. Et on peut vous apporter les informations ou explications complémentaires dont vous aurez besoin.

    Savez-vous accéder à vos fichiers et dossiers d’installation par FTP (avec Filezilla, ou équivalent) ? (je suppose que oui, puisque vous avez su mettre en place un thème-enfant)
    Savez-vous accéder à votre base de données avec PhpMyAdmin chez votre hébergeur ?

    PhpMyAdmin est un peu délicat à manier, mais avec une ou des sauvegardes préalables, vous n’avez rien à craindre.

    Pour commencer, connectez-vous chez votre hébergeur (O2 Switch ?), vous accédez à cPanel puis au gestionnaire de base de données.
    Regardez ce tuto adapté à votre hébergeur. Tout est expliqué pour la sauvegarde d’une base de données pour WordPress (et même pour la restaurer, si besoin)

    Regardez aussi cette partie de tuto consacrée à PhpMyAdmin, (les images peuvent être légèrement différente, selon la version PhpMyAdmin disponible chez votre hébergeur). Je vous conseille de suivre la procédure de sauvegarde personnalisée, en cochant bien la case « Add DROP TABLE / VIEW / PROCEDURE / FUNCTION / EVENT / TRIGGER « .

    Faites une sauvegarde complète de votre base de données, et une sauvegarde table par table. Et revenez ensuite ici pour confirmer quand c’est fait.
    Croyez-moi, par la suite, vous irez plus vite à faire une sauvegarde que moi à écrire tout ça  😉

    #2482238
    blaireau55
    Participant
    Initié WordPress
    37 contributions

    Bonjour,

    Tout d’abord merci de votre soutien, vous m’avez donné envie d’essayer !

    J’ai fait une sauvegarde chez mon hébergeur, O2swich effectivement

    La sauvegarde de l’ensemble des tables est faite, je suis étonné de la petite taille du fichier (73 Mo), j’imagine que ça n’a rien à voir avec le contenu du site (je vous vois sourire !)

    Pour la suite, je ne vois encore rien qui ressemble à une table wp_users

    #2482239
    blaireau55
    Participant
    Initié WordPress
    37 contributions

    J’avance !

    J’ai retrouvé mon intrus (voir PJ), j’ai supprimé la ligne concernée.

    Fichiers joints :
    Vous devez être connecté pour voir les fichiers joints.
    #2482243
    blaireau55
    Participant
    Initié WordPress
    37 contributions

    Je le vois encore mentionné dans plusieurs tables :

    wp0k_usermeta

    wp0k_wfconfig

    wp0k_wflogins

    En PJ, l’état actuel de ma table wp_users

    Édit modération : PJ supprimée car elle contenait vos infos personnelles de connexion (hors mdp chiffré, mais quand même)

    • Cette réponse a été modifiée le il y a 3 semaines et 5 jours par Flobogo. Raison: édit modération
    #2482245
    blaireau55
    Participant
    Initié WordPress
    37 contributions

    Je suis un peu perdu entre les tables wp_* et wpOk_* qui apparaissent dans ma structure.

    Je n’ai pas trouvé de table wp_usermeta mais une table wp0k (voir PJ) et là, je coince

    Édit modération : idem ci-dessus

    • Cette réponse a été modifiée le il y a 3 semaines et 5 jours par Flobogo. Raison: édit modération
    #2482247
    ferman
    Modérateur
    Maître WordPress
    7279 contributions

    Bonjour,

    Pouvez-vous faire une (ou deux selon le nombre de tables) copie d’écran de votre base de données? Cela ressemblera à ce qui est en pièce jointe.

    • Cette réponse a été modifiée le il y a 3 semaines et 6 jours par ferman.
    Fichiers joints :
    Vous devez être connecté pour voir les fichiers joints.
    #2482250
    blaireau55
    Participant
    Initié WordPress
    37 contributions

    usermeta, suite et interrogations (voir PJ)

    Fichiers joints :
    Vous devez être connecté pour voir les fichiers joints.
    #2482253
    blaireau55
    Participant
    Initié WordPress
    37 contributions

    J’ai beau supprimer l’admin2backup de la table users, il réapparaît très rapidement !

    #2482254
    ferman
    Modérateur
    Maître WordPress
    7279 contributions

    Merci. Ce que vous donnez sera utile mais il serait bon également d’avoir une vue d’ensemble de la base de données montrant toutes les tables exactement comme sur la pièce jointe que j’avais jointe.

    #2482261
    Li-An
    Participant
    Maître WordPress
    28865 contributions

    Par FTP, allez récupérer le fichier wp-config.php, ouvrez-le avec un logiciel texte type Notepad (ou Notepad++ sous Windows) et regardez le préfixe des tables utilisé

    Pour cela, regardez la ligne define( ‘DB_NAME’, ‘wpquelquechose’ ) – ne nous mettez pas le contenu de ce fichier ici ou alors cachez tout ce qui est mot de passe.

15 sujets de 1 à 15 (sur un total de 34)
  • Vous devez être connecté pour répondre à ce sujet.