[Résolu] Code malveillant réécrit les adresses du site et balise title (Créer un compte)

  • WordPress :4.7
  • Statut : résolu
  • Ce sujet contient 9 réponses, 4 participants et a été mis à jour pour la dernière fois par artenis, le il y a 8 années.
10 sujets de 1 à 10 (sur un total de 10)
  • Auteur
    Messages
  • #1614833
    artenis
    Participant
    Chevalier WordPress
    224 contributions

    Bonjour,

    Ma configuration WP actuelle

    • Version de PHP/MySQL :  5.6
    • Thème utilisé : Symétrio
    • Extensions en place : Beaucoup mais je doute que le problème vienne d’une extension
    • Nom de l’hébergeur : OVH
    • Adresse du site : site

    Problème(s) rencontré(s) :

    Histoire : Suite au piratage d’un site avec joomla 2.6, le site de l’association a été entièrement refait avec WordPress 4.7.1
    Lors de la transition (joomla -> WordPress) Le dossier WP était contenu à la racine de l’hébergement dans WWW à côté des dossiers joomla (virusé)
    Les informations du site était encore visible et nécessaires pour les adhérents.

    Le virus ou code malveillant dans joomla n’a jamais pu être détecté dans sa totalité, car il s’auto répliquait et je n’ai jamais trouvé la source de cette réplication. Le code réécrivait le fichier sitemap.xml et le htaccess pour réécrire à la volée toutes les adresses des pages.

    Pensant que ce code était destiné à Joomla et à sa version obsolète 2.6, je n’ai pas imaginé qu’il pourrait s’auto répliqué dans un autre CRM de conception différente WP.

    Ainsi, aujourd’hui, le titre <title> de la page principale du site ( page d’accueil) se trouvait avec une police chinoise traduit: « Libre blanc » au lieu du nom de l’association ( que vous trouverez dans le lien ci-dessus à « adresse du site »).

    Le nouveau site a été mis en ligne le 26 décembre et l’ancien site avait été piraté 6 fois et nettoyé 5 fois.

    Voici les solutions étudiées et testées mais qui n’ont servi à rien :

    Scan avec Wordfence : detection de deux fichiers mais qui n’ont rien de bizarre.
    L’association n’a pas vraiment les moyens de payer 100 euros/an pour un antivirus (qui plus est uniquement pour WordPress)

    Comparaison des dossiers : WordPress original 4.7.1 et WordPress de mon site (également en 4.7.1).
    Les dossiers signalés comme différents ne comporte aucun code malveillant .

    Recherche du mot chinois (de la page d’accueil lors d’une recherche de l’asso sur google) dans la BDD dans la table « wp_posts ».

    J’ai tenté également une recherche par mots clés dans les dossiers et fichiers (principalement php) pour :
    base64, encode, decode, sans résultat.

    Avec Joomla lorsque je transférai le contenu du site sur mon ordinateur les dossiers contenant du code php malveillant était reconnu par Avast et m’indiquait les fichiers modifiés. Mais ce n’est pas le cas avec WordPress!

    Quelqu’un aurait-il déjà été confronté à ce gros problème et qui s’en serait sorti.
    Connaissez-vous une manière plus précise de faire une recherche ou simplement de focaliser plus précisément le dossier ou fichier ou code capable d’effectuer ces modifications ?

    Par avance, merci pour votre temps et vos solutions

     

     

     

    #1614852
    Anonyme
    Invité
    Maître WordPress
    34072 contributions

    Ce message a été supprimé suite à la demande de l’auteur.

    #1614863
    Franck (fge)
    Modérateur
    Maître WordPress
    9572 contributions

    Même chose que Wolfneo, pas de « Libre Blanc », ni de caractère chinois dans la page d’accueil. En plus de la question sur l’éventuelle infection du PC par un malware, est-ce que cela touche un navigateur particulier (perso je suis sous Firefox) ou une version particulière (mobile par exemple) ?

    Extensions en place : Beaucoup mais je doute que le problème vienne d’une extension

    Ah ben on est complètement rassuré. Pour affirmer cela, tu as bien sûr vérifié que toutes tes extensions sont bien à jour et qu’aucune faille de sécurité n’a été publié pour chacune d’entre elles. Tu as également épluché les journaux Apache et identifié l’origine de l’infection.

    je n’ai pas imaginé qu’il pourrait s’auto répliqué dans un autre CRM de conception différente WP.

    Exploiter une faille (pour insérer un script malveillant) est une chose et l’exploitation du script malveillant en est une autre. Une fois que le script est introduit dans un site il est simple de rechercher un type de fichier (.php, .js, .doc… etc.) pour y introduire d’autres scripts, copier des données, transférer des données… etc.

    Avec Joomla lorsque je transférai le contenu du site sur mon ordinateur les dossiers contenant du code php malveillant était reconnu par Avast et m’indiquait les fichiers modifiés. Mais ce n’est pas le cas avec WordPress!

    Et alors ? Avast ne fait pas de discrimination entre les CMS, c’est que Avast n’est probablement pas en mesure de détecter la signature du code malveillant. C’est soit un code inconnu ou modifié soit il est ailleurs (dans ton PC, dans du JavaScript, dans la base de données…).

    Connaissez-vous une manière plus précise de faire une recherche ou simplement de focaliser plus précisément le dossier ou fichier ou code capable d’effectuer ces modifications ?

    Le seul moyen fiable pour identifier une infection avec certitude, ce sont les journaux Apache, mais il faut avoir une idée du moment où l’infection s’est produite (difficile de reprendre une semaine de journaux si tu as beaucoup de visites) et être en mesure de les comprendre (c’est pas franchement intuitif) pour identifier les attaques et voir si elles ont échoué ou pas.

    Après tu peux trouver des indications à partir d’une date de modification d’un fichier plus récente que les autres, un fichier script (.php, .js, .vbs, .py…) dans le répertoire (ou sous-répertoires) uploads. Regarde aussi cet article, tu trouveras des requêtes SQL pour rechercher d’éventuelles injections dans la base de données.

    #1614876
    artenis
    Participant
    Chevalier WordPress
    224 contributions

    Merci pour votre réactivité à mon problème.

    Désolé, je crois que je n’ai pas précisé que mon problème est visible sur la page de recherche de google pour le nom de l’association.

    Voici ce que je vois : pj
    Cet affichage (pj) n’est visible que sur le moteur de recherche Google.
    Bing et yahoo affiche le titre correctement.
    Ce problème est visible sur tous les navigateurs en faisant une recherche via google.

    Déduction : Google est le premier à référencer mon site, il serait donc le premier impacté ?

    Egalement, les sous liens référencés dans la recherche de google pour le nom de l’association sont différents selon le moteur de recherche.

    A Wolfneo : Je vais effectué cette opération uniquement si je n’ai plus d’autres choix. Car 5600 fichiers à supprimer et à réinsérer ça fait beaucoup d’attente.

    A Franck (fge) : Il est vrai que que n’importe qu’elles extensions peuvent être la cause de mon problème et effectivement je ne me suis pas renseigner sur leur sécurité. Mais le problème dont je fais fasse ressemble tellement à l’ancien sur le site avec joomla, que j’ai l’impression que le fichier malveillant c’est dupliqué dans  le dossier wordpress. Je vais donc me renseigner sur la sécurité des 12 extensions.

    Les journaux apache ne sont-ils pas uniquement disponibles avec des serveurs dédiés ?
    OVH peut-il me donner accès à ces journaux en mutualisé ?

    —————-

    Est-ce qu’il m’est possible de retrouver le mot écrit en chinois dans la base de données ?
    Si oui, pourriez-vous me conseiller ou proposer un script MySQL qui me permettrait de rechercher dans tous les champs de toutes les tables de la bdd , le mot chinois ?
    En espérant que ce mot n’est pas généré par du code php, reproduisant des liens et balises title !

    merci

     

    Fichiers joints :
    Vous devez être connecté pour voir les fichiers joints.
    #1614923
    Franck (fge)
    Modérateur
    Maître WordPress
    9572 contributions

    Désolé, je crois que je n’ai pas précisé que mon problème est visible sur la page de recherche de google pour le nom de l’association.

    Effectivement, je le vois aussi en recherchant sur Google. Par contre du coup, tu as un code JavaScript suspect dans le code source de la page juste au dessus du « meta description » qui pointe sur un site d’outils marketing en ligne. À moins que tu en soit à l’origine, il faudrait regarder d’où vient ce JavaScript en commençant par le code source du thème (à comparer au thème original).

    Egalement, les sous liens référencés dans la recherche de google pour le nom de l’association sont différents selon le moteur de recherche.

    Normal, c’est partout le même contenu dans la balise « meta description » (bon, j’ai pas fait tout le site non plus), du coup l’interprétation est libre. Il faut que pour chaque page tu mettes une « meta description » qui lui est spécifique et les moteurs devraient l’afficher.

    Mais le problème dont je fais fasse ressemble tellement à l’ancien sur le site avec joomla, que j’ai l’impression que le fichier malveillant c’est dupliqué dans  le dossier wordpress.

    C’est possible, mais dans ce genre de problème, je pense qu’il ne faut pas partir en disant « ça peut pas être ça ». En analysant les logs, on voit constamment des requêtes vers des thèmes ou des extensions ayant des failles connues et corrigées pour trouver des portes d’entrée. Il ne faut écarter une éventualité que si tu en es vraiment sûr. Les sites WordPress se font également pirater de temps en temps avec un thème ou une extension pas à jour qu’on a laissé traîner…

    Les journaux apache ne sont-ils pas uniquement disponibles avec des serveurs dédiés ? OVH peut-il me donner accès à ces journaux en mutualisé ?

    La plupart des hébergeurs fournissent les journaux Apaches (MySQL ou FTP c’est moins fréquent). Tu as une documentation chez OVH à cette adresse.

    Est-ce qu’il m’est possible de retrouver le mot écrit en chinois dans la base de données ?
    […]
    En espérant que ce mot n’est pas généré par du code php, reproduisant des liens et balises title !

    Ce qui est bizarre c’est que ce mot pointe sur ton site, je vois pas bien le but du jeu. Après c’est ce que je t’ai dit cela peut être du JavaScript. Après est-ce que cela ne pourrait pas venir de l’infection précédente sous Joomla et que Google n’ait pas encore ré-indexé le site par exemple ?

    #1614994
    WP Traduction
    Modérateur
    Maître WordPress
    2044 contributions

    Bonjour,

    Je me permets de me greffer à la discussion, mais j’ai remarqué que Google affiche dans ses résultats du contenu vraisemblablement lié à Joomla.

    Avez-vous totalement supprimé l’ancien site, celui sous Joomla ?

    #1615066
    artenis
    Participant
    Chevalier WordPress
    224 contributions

    Une fois de plus merci pour votre aide.

    Je viens de réaliser que j’ai fait une grosse boulette :
    Afin de tout recommencer depuis le début : nouveau site, nouvelle analyse et référencement( qui n’est pas encore fait soigneusement) j’ai créer un nouveau suivi google analytics en laissant l’ancien actif dans les serveurs de Google.
    Seul le nouveau code de suivi est en place dans le header !

    Je vais donc supprimer l’ancien et je reviendrais vers vous si le problème persiste ou pour  vous dire si c’est ma connerie qui en était la cause.

    Je vais également m’intéresser à ce bout de code Javascript signaler par Franck (fge).
    J’avais pourtant vérifier tout les fichiers javascript,  dans le code source !

    WP traduction : Oui , Joomla à totalement disparu de la surface de « mon hébergement »

    Est-il envisageable que l’algorithme de Google  fasse des erreurs et affiche une autre langue ?

    #1615073
    WP Traduction
    Modérateur
    Maître WordPress
    2044 contributions

    Est-il envisageable que l’algorithme de Google  fasse des erreurs et affiche une autre langue ?

    Je ne pense pas, mais dans tous les cas, il n’est pas normal qu’il affiche du contenu Joomla.

    #1615230
    Anonyme
    Invité
    Maître WordPress
    34072 contributions

    Ce message a été supprimé suite à la demande de l’auteur.

    #1615855
    artenis
    Participant
    Chevalier WordPress
    224 contributions

    Bonsoir.

    Le problème semble avoir disparu.

    Il fait suite à la clôture de l’ancien suivi google analytics qui n’avait pas été supprimé.
    (jusqu’à preuve du contraire)

    Je vous remercie pour votre soutien et conseils.

     

     

10 sujets de 1 à 10 (sur un total de 10)
  • Vous devez être connecté pour répondre à ce sujet.