Au secours mon site a été piraté ! (Créer un compte)

  • WordPress :5.2
  • Statut : non résolu
11 sujets de 1 à 11 (sur un total de 11)
  • Auteur
    Messages
  • #2288844
    carolinetrc
    Participant
    Chevalier WordPress
    102 contributions

    Bonjour,

    Ma configuration WP actuelle

    • Version de PHP/MySQL : 7.0
    • Thème utilisé : acces mag
    • Extensions en place :
    • Nom de l’hébergeur : wordpress
    • Adresse du site : lamonteeiberique.com

    Problème(s) rencontré(s) : Bonjour, j’avais annoncé précédemment sur ce forum que mon site recevait des attaques. Aujourd’hui à 22h52, quelqu’un a trouvé mon identifiant administrateur. J’ai reçu une alerte de wordfense mais trop tard. Depuis, mon site est inaccessible. Je ne peux plus accéder à l’interface. Que faire? Merci.

    #2288848
    carolinetrc
    Participant
    Chevalier WordPress
    102 contributions

    La page de connexion est automatiquement redirigé vers des publicités.

    #2288870
    PhiLyon
    Modérateur
    Maître WordPress
    28260 contributions

    Bonjour.

    Ton « pirate » n’a sûrement pas tes identifiants OVH, essaies de faire une restauration d’avant tes problèmes et fais le nécessaire au niveau des utilisateurs indésirables.

    https://www.ovh.com/fr/hebergement-web/restauration_fichier.xml

    🙂

    #2288871
    carolinetrc
    Participant
    Chevalier WordPress
    102 contributions

    Bonjour,

    Je viens d’essayer, mais ça ne fonctionne pas, le site reste avec le problème.

    #2288885
    ferman
    Participant
    Maître WordPress
    7084 contributions

    Bonjour,

    Effectivement, il y a un problème. Aviez-vous désactivé xmlrpc?

    Il faut  suivre les étapes décrites en tête du forum wordpress (Flobogo). Je crois qu’il n’y a pas d’autre choix  d’autant plus qu’on ne sait pas quel est le type de piratage (Sucuri ne peut pas accéder au site).

    Edit: Vous n’avez pas ce plugin? « Yuzo Related Posts »

    • Cette réponse a été modifiée le il y a 4 années et 9 mois par ferman.
    • Cette réponse a été modifiée le il y a 4 années et 9 mois par ferman.
    #2288910
    carolinetrc
    Participant
    Chevalier WordPress
    102 contributions

    Bonjour,

    Merci. J’ai commencé mais je bloque à certaines étapes.

    La 1, c’est bon. En revanche,  je n’arrive pas à voir le statut de mon compte administrateur comme expliqué dans la méthode ci-dessous. D’ailleurs, c’est celui-là même qui a été piraté.

    • en urgence : connectez-vous à votre espace de gestion chez votre hébergeur, accédez à la base de données par PhpMyAdmin, sauvegardez-la par précaution (tuto dont les images sont anciennes, mais déroulement à suivre)
    • puis allez dans la table wp_users (wp_ peut-être différent chez vous), vérifiez que votre pseudo est bien présent, et vérifiez qu’il n’y a pas d’utilisateur mystérieux. Allez dans la table wp_usermeta et vérifiez si votre pseudo est bien en “admin”(colonne meta_value) au bout de la ligne qui contient les “capabilities” (colonne meta_key). Si vous n’êtes pas en mode admin, il faut absolument recréer un profil administrateur directement dans PhpMyAdmin, vous pourrez alors vous connecter et supprimer les utilisateurs indésirables.

    Enfin, le compte administrateur n’est plus le même que celui que j’avais créer sur ovh alors puis-je quand même le modifier?

    Suite aux différents soucis, j’ai supprimé Yuzo Related Posts il y a un moment.

    #2288914
    carolinetrc
    Participant
    Chevalier WordPress
    102 contributions

    J’en suis arrivée à la troisième étape. Que faut-il supprimer lorsque le tutoriel indique qu’il faut effacer toute l’installation?

    #2288916
    ferman
    Participant
    Maître WordPress
    7084 contributions

    j’ai supprimé Yuzo Related Posts il y a un moment.

    Je  me doutais  qu’il pouvait être impliqué vu ce qu’on lit à son sujet par exemple ici et . Vous l’avez supprimé mais le ver devait déjà être dans le fruit.

    Pour la suite, comme dit plus haut vous suivrez le tuto de Flobogo.

    Pour moi la première chose à faire est d’isoler la base de données et pour cela, changez le mot de passe de la base de données chez votre hébergeur.

    Ensuite, dans phpmyadmin, créez un nouvel administrateur comme indiqué dans le tuto. N’effacez pas encore l’ancien administrateur.

    Supprimez ce qui pourrait rester de Yuzo dans la base de données comme indiqué ici.

    Suivez ensuite les étapes indiquées dans le tuto. Quand vous pourrez rentrer sur le site, supprimez  immédiatement le compte pirate. Rechangez encore une fois vos mots de passe base de données/wp_config (c’est du luxe mais pourquoi s’en priver) et  administrateur depuis l’admin wordpress.

    Si vous avez des questions au cours de ce processus n’hésitez pas à les poser.

     

     

    #2288921
    carolinetrc
    Participant
    Chevalier WordPress
    102 contributions

    Je n’avais pas Yuzo Related Posts, mais Yoast SEO qui m’avait à l’époque bloqué mon accès. La situation est différente. Quelqu’un a piraté mes identifiants et redirigé le site vers de la publicité.

    Concernant le processus, je suis un peu perdue. J’ai fait l’étape 2 mais je n’arrive pas à voir le statut des utilisateurs. J’ai l’impression que la personne qui a pris le contrôle du site a changé les mots de passe de tout le monde.

    Je suis passée en PHP 7.1 et j’ai sauvegardé la base de donnée. Je ne comprends pas comment, je peux nettoyer chaque fichier dans la mesure où je ne pense pas pouvoir reconnaitre ce qui est suspect. Je sais le faire pour certains fichiers comme ht-access parce que j’avais récupérer un dossier wordpress pour comparer mais cela s’arrête là.

    Pareil, lorsque l’on parle d’installation, qu’est-ce qui est exactement à supprimer?

    J’ai déjà eu à faire des manipulations mais là c’est plus que ce que j’ai l’habitude de faire.

    #2288925
    carolinetrc
    Participant
    Chevalier WordPress
    102 contributions

    Le fichier adminer.php me parait suspect. Il y a ces longues suites :

    <div>*/error_reporting(6135);$Jc=!preg_match('~^(unsafe_raw)?$~',ini_get("filter.default"));if($Jc||ini_get("filter.default_flags")){foreach(array('_GET','_POST','_COOKIE','_SERVER')as$X){$Gh=filter_input_array(constant("INPUT$X"),FILTER_UNSAFE_RAW);if($Gh)$$X=$Gh;}}if(function_exists("mb_internal_encoding"))mb_internal_encoding("8bit");if(isset($_GET["file"])){if($_SERVER["HTTP_IF_MODIFIED_SINCE"]){header("HTTP/1.1 304 Not Modified");exit;}header("Expires: ".gmdate("D, d M Y H:i:s",time()+365*24*60*60)." GMT");header("Last-Modified: ".gmdate("D, d M Y H:i:s")." GMT");if($_GET["file"]=="favicon.ico"){header("Content-Type: image/x-icon");echo</div>
    <div>lzw_decompress("\0\0\0`\0Ñ\0\n @\0¥CÑË\"\0`E„Q∏‡ˇá?¿tvM'îJd¡d\\åb0\0ƒ\"ô¿f”à§Ós5õœÁ—AùXPaJì0Ñ•ë8Ñ#RäT©ëz`à#.©«cÌX√˛»Ä?¿-\0°Im?†.´M∂Ä\0»Ø(Ãâ˝¿/(%å\0");}elseif($_GET["file"]=="default.css"){header("Content-Type: text/css; charset=utf-8");echo</div>

    • Cette réponse a été modifiée le il y a 4 années et 9 mois par carolinetrc.
    #2288956
    ferman
    Participant
    Maître WordPress
    7084 contributions

    Je n’avais pas Yuzo Related Posts

    Bon, d’accord ce n’est pas ce plugin mais ça ne change rien à la façon de traiter le problème. Ce n’est pas vraiment une personne mais un robot qui a pris possession du site. En fait il n’a fait que l’emprunter car il n’est pas trop difficile de le faire partir.

    je n’arrive pas à voir le statut des utilisateurs.

    Il faut d’abord aller dans la table wp_users  et repérer les identités (un  nombre) de ceux-ci et les noter. Dans la pièce-jointe, le tableau en haut entouré en vert. Repérez en particulier votre id, si vous figurez toujours dans les utilisateurs.

    Ensuite dans la table usermeta, regarder en face de ces mêmes nombres. Vous voyez le rôle de l’utilisateur (deuxième tableau en exemple: il y a un client et un administrateur).

    Repérez votre id . Si vous avez toujours le rôle d’administrateur parfait. Sinon redonnez-vous ce rôle. Pour cela, le plus simple est de regarder les autres utilisateurs  et de repérer l’administrateur (ça m’étonnerait qu’il y en ait plusieurs) vous double-cliquez  dans la colonne metavalue sur le rôle de l’utilisateur « s13:administrator…etc » et vous copiez la ligne puis vous la collez dans la case meta_value  en face de votre id, en écrasant ce qui s’y trouve. Pour les autres utilisateurs qui n’ont pas le rang d’administrateur, ce n’est pas important.  Vous ferez le nettoyage depuis votre admin wp.

    Retournez dans la table users et recréez-vous un mot de passe.

    Si vous n’êtes plus dans la liste des utilisateurs recréez-vous un profil complet comme indiqué dans le tutoriel  du lien.

    C’est tout pour le moment avec la base de données

    Pour la suite:

    Je ne comprends pas comment, je peux nettoyer chaque fichier dans la mesure où je ne pense pas pouvoir reconnaitre ce qui est suspect. Je sais le faire pour certains fichiers comme ht-access parce que j’avais récupérer un dossier wordpress pour comparer mais cela s’arrête là.

    C’est justement pourquoi on ne contrôle pas chaque fichier. On supprime et remplace tout, sauf ce que je vous ai dit plus haut et qui est aussi dans le tutoriel et le lien. On ne vérifie que les fichiers .htaccess, upload et wp-config, comme expliqué plus haut

    Pareil, lorsque l’on parle d’installation, qu’est-ce qui est exactement à supprimer?

    Tout ce que je vous ai dit avant sauf ce qui est fléché en rouge dans la pièce jointe dans la précédente réponse.

    Avez-vous copié par ftp les dossiers et fichiers (le tout) sur votre pc? Il est important d’avoir fait toutes les sauvegardes , même s’il y en a aussi chez votre hébergeur.

    Précision: si vous avez énormément d’utilisateurs non désirés, il est possible de procéder autrement mais c’est plus lourd.

    Si tous les mots de passe ont été changés (à vérifier avec vos abonnés une fois le site rétabli) il n’y aura pas d’autre solution que de les remplacer.

     

     

     

     

     

     

    • Cette réponse a été modifiée le il y a 4 années et 9 mois par ferman.
    Fichiers joints :
    Vous devez être connecté pour voir les fichiers joints.
11 sujets de 1 à 11 (sur un total de 11)
  • Vous devez être connecté pour répondre à ce sujet.