[Résolu] Attaque virale (Créer un compte)

  • WordPress :6.6
  • Statut : résolu
  • Ce sujet contient 33 réponses, 5 participants et a été mis à jour pour la dernière fois par Flobogo, le il y a 2 semaines.
15 sujets de 16 à 30 (sur un total de 34)
  • Auteur
    Messages
  • #2482273
    blaireau55
    Participant
    Initié WordPress
    37 contributions

    Voici les copies d’écran demandées (liste de mes tables)

    Fichiers joints :
    Vous devez être connecté pour voir les fichiers joints.
    #2482279
    blaireau55
    Participant
    Initié WordPress
    37 contributions

    Voici la liste des tables

    Fichiers joints :
    Vous devez être connecté pour voir les fichiers joints.
    #2482283
    blaireau55
    Participant
    Initié WordPress
    37 contributions

    Suite

    Fichiers joints :
    Vous devez être connecté pour voir les fichiers joints.
    #2482289
    ferman
    Modérateur
    Maître WordPress
    7279 contributions

    En vous plaçant dans la table wpOk_usermeta, pouvez-vous cliquer l’onglet SQL et y coller le code suivant:

    SELECT user_id FROM wpOk_usermeta WHERE meta_key = 'wpOk_capabilities' AND meta_value LIKE '%administrator%';

    Auparavant vérifiez si dans la base de données le préfixe est bien wpO(lettre O)k (c’est ce que j’ai mis) ou wp0(zéro)k et modifiez si besoin est.

    Vous devriez avoir une série de numéros d’identification qui correspondent aux administrateurs présents.; notez-les puis allez dans la table wpOk_users et regardez à quoi ça correspond. Il doit y avoir l’ID des administrateurs légitimes  + les intrus. L’intrus amin2backup est-il revenu? Y-a-t-il d’autres intrus?

    #2482290
    blaireau55
    Participant
    Initié WordPress
    37 contributions

    J’ai déjà une ligne :

    SELECT * FROM wp0k_usermeta WHERE 1

    Dois-je copier le code fourni à la suite ou à la place de cette ligne ?

    L’admin2backup revient dans les 5 à 10 minites qui suivent la suppression de la table users

    #2482291
    ferman
    Modérateur
    Maître WordPress
    7279 contributions

    Dois-je copier le code fourni à la suite ou à la place de cette ligne ?

    A la place.

    #2482292
    blaireau55
    Participant
    Initié WordPress
    37 contributions

    La requête me renvoie les Id 1-16 et 18 à 33 alors que je n’ai dans la table users que 2 ID, la mienne (1) et celle de l’admin2backup (33), les autres ID ne seraient-elles pas les anciennes ID d’admin supprimés de la table ? (très majoritairement le fameux intrus)

    #2482294
    ferman
    Modérateur
    Maître WordPress
    7279 contributions

    Oui, chaque fois que vous supprimez l’intrus, il revient avec une identité différente. Actuellement seule  33 est active. Inutile de s’occuper de la base de données actuellement; il faudra faire un petit nettoyage de base de données pour enlever tout ça plus tard mais pour le moment vous n’avez pas d’autre choix que de suivre le tuto de @flobogo comme elle le disait précédemment:

    Si le pirate revient dans quelques jours (ce qui est probable car Worfence alerte sur ce qui est anormal, mais ne nettoie rien), il faudra suivre la totalité du tuto de nettoyage.

     

    #2482296
    blaireau55
    Participant
    Initié WordPress
    37 contributions

    3ème étape du tuto

    chez votre hébergeur, passez en PHP 7.4.x si vous êtes encore sur un PHP inférieur ???

    Où voit-on la version actuelle ? CPanel/gestionnaire de fichiers ?

    #2482298
    blaireau55
    Participant
    Initié WordPress
    37 contributions

    FTP (Filezilla) ? et oui, j’avais bien dit que ce serait compliqué !

    #2482301
    blaireau55
    Participant
    Initié WordPress
    37 contributions

    J’ai téléchargé FileZilla, je suppose que je dois me connecter au serveur, où, comment ?

    #2482302
    Flobogo
    Modérateur
    Maître WordPress
    20563 contributions

    Il est urgent d’agir … mais sans précipitation, car vous risquez de faire des bêtises en allant trop vite sur des choses que vous ne maîtrisez pas.

    Quelques petits points :

    • ne mettez pas de capture d’écran contenant des infos confidentielles vous concernant (comme votre adresse mail) : j’ai supprimé plusieurs captures d’écran. Si besoin, masquez les infos confidentielles par un trait noir (au lieu du jaune pour surligner ^^) sur la capture écran
    • votre préfixe de base de données n’est pas wp_ (celui par défaut), mais wp0k ou wpok(avec zéro ou la lettre O) comme indiqué par @ferman
    • vous avez fait la sauvegarde de toute la base de données, c’est bien. Je vous avais conseillé de la faire aussi table par table, mais je vois que vous en avez des dizaines ! Si vous n’avez pas sauvegardé table par table, faites au moins ceci : préparez une nouvelle sauvegarde de base de données, mais décochez toutes les tables, pour ne cocher ensuite que les 12 suivantes (je mets xxxx comme préfixe exemple)
      xxxx_commentmeta
      xxxx_comments
      xxxx_links
      xxxx_options
      xxxx_postmeta
      xxxx_posts
      xxxx_termmeta
      xxxx_terms
      xxxx_term_relationships
      xxxx_term_taxonomy
      xxxx_usermeta
      xxxx_users

    Ce sont les 12 tables de base indispensables au fonctionnement de votre site, avec ces contenus.

    • la version de PHP se vérifie chez votre hébergeur, dans le cPanel : il y a  « Sélectionner une version PHP » dans l’onglet « Logiciel »
      Vous arrivez sur la page « PHP Selector », et vous avez le numéro de version courante (current en anglais) : si vous êtes en PHP 7.4 ou en PHP 8.0 ou 8.1 ou plus, ne touchez à rien. Par contre, si jamais vous êtes en PHP 7.2 ou 7.3 ou moins, il faut passer en PHP 7.4 → cliquez simplement sur 7.4 et c’est tout.
      Vérifiez juste que dans la liste d’extensions (juste en-dessous), la case « imagick » soit cochée.
    • Pour info pour la suite, Filezilla sert pour accéder aux fichiers et dossiers.
      La base de données, et le « moteur » PHP/SQL est accessible via le cPanel
    #2482303
    ferman
    Modérateur
    Maître WordPress
    7279 contributions

    Bon @flobogo est de retour je me contente de compléter.

    j’ai téléchargé FileZilla, je suppose que je dois me connecter au serveur, où, comment ?

    Voir tuto 02switch.

    • Cette réponse a été modifiée le il y a 3 semaines et 5 jours par ferman.
    • Cette réponse a été modifiée le il y a 3 semaines et 5 jours par ferman.
    #2482305
    Flobogo
    Modérateur
    Maître WordPress
    20563 contributions

    Merci @ferman pour le complément d’infos, j’avais oublié ces 2 points 😉

    #2482308
    blaireau55
    Participant
    Initié WordPress
    37 contributions

    Vous m’excuserez mais je dois impérativement faire une pause jusqu’à dimanche pour cause d’obligations familiales.

    Merci pour votre patience et votre bienveillance.

15 sujets de 16 à 30 (sur un total de 34)
  • Vous devez être connecté pour répondre à ce sujet.