[Résolu] Hack: jQuery infecté et redirection dans l’admin (Créer un compte)

  • WordPress :4.9.8
  • Statut : résolu
  • Ce sujet contient 3 réponses, 3 participants et a été mis à jour pour la dernière fois par Anonyme, le il y a 2 années et 3 mois.
4 sujets de 1 à 4 (sur un total de 4)
  • Auteur
    Messages
  • #2215536
    wbastien
    Participant
    Initié WordPress
    4 contributions

    Salut!

    J’ai récemment découvert qu’un site sous WordPress que j’ai renvoie vers des pages randoms dès le chargement de la page. Après changements de mots de passe ftp/bdd/users du site et plugin défaillant enlevé (plus mis à jour depuis 2 ans à savoir Contact Form 7 Datepicker), j’arrive à enlever ces crasses pour la partie front mais pas la partie admin.

    Pire encore, depuis que j’ai nettoyé les fichiers du thème qui étaient infectés, c’est un autre type de redirection qui se fait (pour l’admin donc): le dashboard se charge puis au moindre clic sur la page (même un espace “vide”) Stack Overflow se lance dans un nouvel onglet avant d’être redirigé vers une énième page random de spam.

    Rebelote, analyse et j’ai trouvé qu’en fait c’est jQuery qui est infecté, sur ce “chemin” :

    /wp-admin/load-scripts.php?c=0&load%5B%5D=jquery-core,jquery-migrate,utils&ver=4.9.8

     

    Le soucis c’est que je n’arrive pas à localiser cet appel ou carrément jQuery pour aller lui enlever le JS qui crée cette redirection. Mais bon ceci dit… j’ai l’impression d’être un peu trop naïf et qu’il s’agit d’un fichier bien caché qui injecte ceci partout.

    Pour info j’ai déjà refait les permissions sur dossiers/fichiers du site.

    Ci-joint le jQuery infecté avec en début de fichier le script (qui était du même genre dans mes fichiers header du thème et dans le js d’un plugin infecté).

     

    Merci de votre aide!

    Ma configuration WP actuelle

    • Version de PHP/MySQL : 5.6 et MYSQL v.5.5
    • Thème utilisé : Perso
    • Extensions en place : Contact Form 7, PinBook, blablabla
    • Nom de l’hébergeur : OVH
    Fichiers joints :
    Vous devez être connecté pour voir les fichiers joints.
    #2215548
    momofr@free.fr
    Modérateur
    Maître WordPress
    3896 contributions

    Si gros souci d’infection tu écrases tous les fichiers WP en racine (sauf wp-config.php bien sûr) et les dossiers wp-admin et wp-includes, ça remet en très grande partie ton site WordPress sur pied.

    Reste le dossier sensible wp-content, là c’est délicat et cela ce fait en fonction de ce qu’il contient. je préconise l’installation de WordFence et une analyse de tout le site, il te dira si des fichiers suspects sont présents dans ce dossier et ses sous-dossiers.

    #2215650
    wbastien
    Participant
    Initié WordPress
    4 contributions

    Merci!

    Je pensais que le fait de passer par le dashboard où l’on peut réinstaller la version (Si vous devez installer à nouveau la version 4.9.8–fr_FR, vous pouvez le faire ici, dans l’onglet Mise à jour donc) ça fera ce job mais on dirait que non!

    Du coup j’ai repris la version 4.9.5 et le soucis de redirection a disparu… jusqu’à ce que je le remette à jour en 4.9.8 où le bug est revenu! 😀 Bon… je sais quoi faire maintenant à savoir rester en 4.9.5 et ne pas toucher à la mise à jour… je ne sais pas d’où ça pourrait venir c’est fou. oO

    #2215651
    Anonyme
    Invité
    Maître WordPress
    34109 contributions

    Ce message a été supprimé suite à la demande de l’auteur.

4 sujets de 1 à 4 (sur un total de 4)
  • Vous devez être connecté pour répondre à ce sujet.