- Statut : non résolu
- Ce sujet contient 18 réponses, 5 participants et a été mis à jour pour la dernière fois par devilyann, le il y a 13 années et 5 mois.
-
AuteurMessages
-
28 mars 2011 à 16 h 48 min #493194
Bonjour,
Ma configuration WP actuelle
– Version de WordPress : 3.1
– Nom de l’hebergeur : OVH
– Adresse du site : http://www.thomas.cabrol.comProblème(s) rencontré(s) :
J’ai un client qui voulait installer le thème BigFeature (http://www.vfxdude.com/) qui est payant.
L’installation s’est passée sans problème.
Par contre on a remarqué que sur certaines pages, il y avait environ 200 liens cachés en fin de code, juste avant la fermeture de la balise body.
Jamais vu sur la page d’accueil, mais parfois sur certaines pages ces liens s’affichent.Je ne sais pas si le compte a été piraté ou bien si ce thème les installe de lui-même mais impossible de trouver comment il fait, rien de spécial dans le footer, et les recherches sur le code affiché dans n’importe quel type de document ne retourne rien…
Si quelqu’un a une idée, je suis preneur… 😉
Merci d’avance
28 mars 2011 à 23 h 27 min #763465Il y avait un article consacré au sujet il y a peut de temps sur le site wordpress lui même. Tu pourras le retrouver dans les archives. En résumé, il y était dit que des petits malins avaient trouvé le moyen de dissimuler du code malicieux dans des thêmes (ici il s’agissait de thêmes gratuits).
Puisque le tien est payant, il serait logique de te retourner contre celui qui te l’a vendu, non ?29 mars 2011 à 5 h 50 min #763466Les créateurs de thème fournissant gratuitement des thèmes mettent parfois des liens publicitaires en les cryptant dans le code pour éviter leur retrait. Ces liens restent visibles.
Si les liens sont cachés (dans un div avec display none par exemple), c’est plus probablement un piratage. Essaye d’identifier le point commun des pages infectées pour trouver le script infecté (si c’était le footer ce serait sur toutes les pages).29 mars 2011 à 8 h 56 min #763467Merci à vous deux pour vos réponses
@Johnofthetower : peux tu me donner le lien des archives stp ? 🙂
@fge :
en fait il y a ce code #xxlz {position:absolute;overflow:auto;height:0;width:0;}
et tous les liens sont entourés par le blocSachant que l’id du font change régulièrement, actuellement c’est xxlz…
Ce n’est pas dans le footer, puisque juste après la fermeture du commentaire
Ce code apparait souvent, la première fois que l’on arrive sur le site, sur la page catégories :
http://www.thomas-cabrol.com/category/mes-degustations-de-vins/30 mars 2011 à 11 h 47 min #763468plus d’infos ?…
30 mars 2011 à 13 h 27 min #76346931 mars 2011 à 6 h 00 min #763470Le code en cause semble être dans le css dans le fichier http://www.thomas-cabrol.com/wp-content/themes/bigfeature/library/css/optionstyles.php.
Reste à savoir ou est appelé ce script. Il faut commencer par regarder dans les fichiers du thème.31 mars 2011 à 9 h 14 min #763471wasicu wrote:Merci pour tes extensions 😉
– Wp Security scan : installé, à part des problèmes de chmod sur des dossiers que j’ai corrigé, rien de spécial
– WP Malwatch : il ne se passe rien pendant le scan, je n’ai pas le rapport détaillé…31 mars 2011 à 9 h 18 min #763472fge wrote:Le code en cause semble être dans le css dans le fichier http://www.thomas-cabrol.com/wp-content/themes/bigfeature/library/css/optionstyles.php.
Reste à savoir ou est appelé ce script. Il faut commencer par regarder dans les fichiers du thème.Pourquoi penses tu que cela vienne de ce fichier ?
Ce fichier est appelé pour générer le fichier css. Si le fichier css existe en cache, il prend celui-ci sinon il le génère avec ce fichier php :<link rel="stylesheet" href="/library/css/ » type= »text/css » media= »screen » />
De plus vu le code ajouté en bas de page, le code css est intégré directement dans la page, juste avant l’ensemble des liens
1 avril 2011 à 5 h 47 min #763473Il me semble qu’en désactivant ce fichier les liens disparaissent. As-tu essayé de le désactiver pour voir ce que cela donnait ?
Maintenant, il n’y a qu’avec le code source PHP, JS & CSS) que tu peux en trouver l’origine. Je ne peux que t’indiquer des pistes pour t’aider à partir de ce que je vois.1 avril 2011 à 9 h 02 min #763474fge wrote:Il me semble qu’en désactivant ce fichier les liens disparaissent. As-tu essayé de le désactiver pour voir ce que cela donnait ?
Maintenant, il n’y a qu’avec le code source PHP, JS & CSS) que tu peux en trouver l’origine. Je ne peux que t’indiquer des pistes pour t’aider à partir de ce que je vois.Qu’appelles tu désactiver ?
Je l’ai renommé, il y a toujours les liens qui apparaissent…Donc toi tu penses que cela vient du code source PHP, JS & CSS ? Parce que j’avais cherché avec notepad++ dans l’ensemble des fichiers depuis la racine avec comme requête des bouts de code rajouté à la fin, je n’ai strictement rien trouvé…
En tout cas merci de te pencher dessus, c’est sympa de ta part 😉
2 avril 2011 à 9 h 23 min #763475Il est fort probable que le code soit encrypté pour ne pas le trouver. Les pirates (et les programmeurs voulant protéger les liens qu’ils mettent dans les footers) utilisent des fonctions comme
eval
ou
base64decode
(tu peux faire une recherche là dessus). Il peut-être intéressant de contrôler aussi les dates de modifications des fichiers.
Ce fichier apparaît pour moi comme du css malgré son extension PHP. Je l’ai simplement désactivé avec firebug. Ce n’est pas forcément l’origine de l’infection, mais il y participe et dans un premier temps, il faut au moins que les liens n’apparaissent plus, sinon, cela pourrait avoir des répercussion sur le référencement (pas sûr que les moteurs de recherche apprécient).
Sinon, le plus simple autrement est de repartir sur une sauvegarde propre et pas trop ancienne si c’est possible et sécuriser le site.
2 avril 2011 à 17 h 39 min #763476J’ai cherché dans l’ensemble des fichiers les fonctions base64_decode et eval, rien pour la première fonction, la deuxième n’est utilisée qu’en javascript
Faut il chercher uniquement dans les fichiers du thème ou bien dans tout le dossier wordpress du site ?
Car je ne sais pas si le thème modifie les fichiers en dehors de son dossier prédéfini…Question bête : comment désactives tu un fichier css pour un site dans firebug ?…
4 avril 2011 à 9 h 02 min #763477Perso j’ai été confronté à ce problème, et la seule solution avait été de reprendre chaque page pour modifier le code.
Par contre cela prend du temps, leurs pages sont très compliquées, mais c’est réalisable.5 avril 2011 à 19 h 40 min #763478waloukern wrote:Perso j’ai été confronté à ce problème, et la seule solution avait été de reprendre chaque page pour modifier le code.
Par contre cela prend du temps, leurs pages sont très compliquées, mais c’est réalisable.Quand tu dis chaque page, tu prends en compte les fichiers header, footer et compagnie ?…
Modifier quelle partie des pages ? -
AuteurMessages
- Vous devez être connecté pour répondre à ce sujet.