Blog wordpress piraté ? (Créer un compte)

  • Statut : non résolu
15 sujets de 1 à 15 (sur un total de 19)
  • Auteur
    Messages
  • #493194
    devilyann
    Participant
    Padawan WordPress
    98 contributions

    Bonjour,

    Ma configuration WP actuelle
    – Version de WordPress : 3.1
    – Nom de l’hebergeur : OVH
    – Adresse du site : http://www.thomas.cabrol.com

    Problème(s) rencontré(s) :

    J’ai un client qui voulait installer le thème BigFeature (http://www.vfxdude.com/) qui est payant.
    L’installation s’est passée sans problème.
    Par contre on a remarqué que sur certaines pages, il y avait environ 200 liens cachés en fin de code, juste avant la fermeture de la balise body.
    Jamais vu sur la page d’accueil, mais parfois sur certaines pages ces liens s’affichent.

    Je ne sais pas si le compte a été piraté ou bien si ce thème les installe de lui-même mais impossible de trouver comment il fait, rien de spécial dans le footer, et les recherches sur le code affiché dans n’importe quel type de document ne retourne rien…

    Si quelqu’un a une idée, je suis preneur… 😉

    Merci d’avance

    #763465
    Johnofthetower
    Membre
    Initié WordPress
    30 contributions

    Il y avait un article consacré au sujet il y a peut de temps sur le site wordpress lui même. Tu pourras le retrouver dans les archives. En résumé, il y était dit que des petits malins avaient trouvé le moyen de dissimuler du code malicieux dans des thêmes (ici il s’agissait de thêmes gratuits).
    Puisque le tien est payant, il serait logique de te retourner contre celui qui te l’a vendu, non ?

    #763466
    Franck (fge)
    Modérateur
    Maître WordPress
    9572 contributions

    Les créateurs de thème fournissant gratuitement des thèmes mettent parfois des liens publicitaires en les cryptant dans le code pour éviter leur retrait. Ces liens restent visibles.
    Si les liens sont cachés (dans un div avec display none par exemple), c’est plus probablement un piratage. Essaye d’identifier le point commun des pages infectées pour trouver le script infecté (si c’était le footer ce serait sur toutes les pages).

    #763467
    devilyann
    Participant
    Padawan WordPress
    98 contributions

    Merci à vous deux pour vos réponses


    @Johnofthetower
    : peux tu me donner le lien des archives stp ? 🙂
    @fge :
    en fait il y a ce code #xxlz {position:absolute;overflow:auto;height:0;width:0;}
    et tous les liens sont entourés par le bloc

    Sachant que l’id du font change régulièrement, actuellement c’est xxlz…

    Ce n’est pas dans le footer, puisque juste après la fermeture du commentaire

    Ce code apparait souvent, la première fois que l’on arrive sur le site, sur la page catégories :
    http://www.thomas-cabrol.com/category/mes-degustations-de-vins/

    #763468
    devilyann
    Participant
    Padawan WordPress
    98 contributions

    plus d’infos ?… :(

    #763469
    wasicu
    Membre
    Maître WordPress
    2752 contributions

    Wp Security scan

    WP Malwatch

    Peuvent t’aider. (?)

    #763470
    Franck (fge)
    Modérateur
    Maître WordPress
    9572 contributions

    Le code en cause semble être dans le css dans le fichier http://www.thomas-cabrol.com/wp-content/themes/bigfeature/library/css/optionstyles.php.
    Reste à savoir ou est appelé ce script. Il faut commencer par regarder dans les fichiers du thème.

    #763471
    devilyann
    Participant
    Padawan WordPress
    98 contributions
    wasicu wrote:
    Wp Security scan

    WP Malwatch

    Peuvent t’aider. (?)

    Merci pour tes extensions 😉
    – Wp Security scan : installé, à part des problèmes de chmod sur des dossiers que j’ai corrigé, rien de spécial
    – WP Malwatch : il ne se passe rien pendant le scan, je n’ai pas le rapport détaillé…

    #763472
    devilyann
    Participant
    Padawan WordPress
    98 contributions
    fge wrote:
    Le code en cause semble être dans le css dans le fichier http://www.thomas-cabrol.com/wp-content/themes/bigfeature/library/css/optionstyles.php.
    Reste à savoir ou est appelé ce script. Il faut commencer par regarder dans les fichiers du thème.

    Pourquoi penses tu que cela vienne de ce fichier ?
    Ce fichier est appelé pour générer le fichier css. Si le fichier css existe en cache, il prend celui-ci sinon il le génère avec ce fichier php :

    <link rel="stylesheet" href="/library/css/ » type= »text/css » media= »screen » />

    De plus vu le code ajouté en bas de page, le code css est intégré directement dans la page, juste avant l’ensemble des liens

    #763473
    Franck (fge)
    Modérateur
    Maître WordPress
    9572 contributions

    Il me semble qu’en désactivant ce fichier les liens disparaissent. As-tu essayé de le désactiver pour voir ce que cela donnait ?
    Maintenant, il n’y a qu’avec le code source PHP, JS & CSS) que tu peux en trouver l’origine. Je ne peux que t’indiquer des pistes pour t’aider à partir de ce que je vois.

    #763474
    devilyann
    Participant
    Padawan WordPress
    98 contributions
    fge wrote:
    Il me semble qu’en désactivant ce fichier les liens disparaissent. As-tu essayé de le désactiver pour voir ce que cela donnait ?
    Maintenant, il n’y a qu’avec le code source PHP, JS & CSS) que tu peux en trouver l’origine. Je ne peux que t’indiquer des pistes pour t’aider à partir de ce que je vois.

    Qu’appelles tu désactiver ?
    Je l’ai renommé, il y a toujours les liens qui apparaissent…

    Donc toi tu penses que cela vient du code source PHP, JS & CSS ? Parce que j’avais cherché avec notepad++ dans l’ensemble des fichiers depuis la racine avec comme requête des bouts de code rajouté à la fin, je n’ai strictement rien trouvé… :(

    En tout cas merci de te pencher dessus, c’est sympa de ta part 😉

    #763475
    Franck (fge)
    Modérateur
    Maître WordPress
    9572 contributions

    Il est fort probable que le code soit encrypté pour ne pas le trouver. Les pirates (et les programmeurs voulant protéger les liens qu’ils mettent dans les footers) utilisent des fonctions comme

    eval

    ou

    base64decode

    (tu peux faire une recherche là dessus). Il peut-être intéressant de contrôler aussi les dates de modifications des fichiers.

    Ce fichier apparaît pour moi comme du css malgré son extension PHP. Je l’ai simplement désactivé avec firebug. Ce n’est pas forcément l’origine de l’infection, mais il y participe et dans un premier temps, il faut au moins que les liens n’apparaissent plus, sinon, cela pourrait avoir des répercussion sur le référencement (pas sûr que les moteurs de recherche apprécient).

    Sinon, le plus simple autrement est de repartir sur une sauvegarde propre et pas trop ancienne si c’est possible et sécuriser le site.

    #763476
    devilyann
    Participant
    Padawan WordPress
    98 contributions

    J’ai cherché dans l’ensemble des fichiers les fonctions base64_decode et eval, rien pour la première fonction, la deuxième n’est utilisée qu’en javascript
    Faut il chercher uniquement dans les fichiers du thème ou bien dans tout le dossier wordpress du site ?
    Car je ne sais pas si le thème modifie les fichiers en dehors de son dossier prédéfini…

    Question bête : comment désactives tu un fichier css pour un site dans firebug ?…

    #763477
    waloukern
    Membre
    Initié WordPress
    37 contributions

    Perso j’ai été confronté à ce problème, et la seule solution avait été de reprendre chaque page pour modifier le code.
    Par contre cela prend du temps, leurs pages sont très compliquées, mais c’est réalisable.

    #763478
    devilyann
    Participant
    Padawan WordPress
    98 contributions
    waloukern wrote:
    Perso j’ai été confronté à ce problème, et la seule solution avait été de reprendre chaque page pour modifier le code.
    Par contre cela prend du temps, leurs pages sont très compliquées, mais c’est réalisable.

    Quand tu dis chaque page, tu prends en compte les fichiers header, footer et compagnie ?…
    Modifier quelle partie des pages ?

15 sujets de 1 à 15 (sur un total de 19)
  • Vous devez être connecté pour répondre à ce sujet.