- Statut : non résolu
- Ce sujet contient 13 réponses, 6 participants et a été mis à jour pour la dernière fois par melodie, le il y a 13 années.
-
AuteurMessages
-
12 novembre 2011 à 21 h 33 min #500761
Bonjour,
Ma configuration WP actuelle 3 blogs
– Version de WordPress : WP 321
– Version de PHP/MySQL :
– Thème utilisé : SUFFUSION
– Extensions en place : pas mal
– Nom de l’hebergeur : MAVEN HOSTING (groupe Godaddy)
– Adresse du site : tartopum.comProblème(s) rencontré(s) :
Depuis un mois un hacker (SILENT PAIN) laissant des messages « silence is golden » s’acharne sur mes blogs qui fonctionnaient sans problème depuis 18 mois. J’avais les backups des bases. J’ai tout réinitialisé avec l’héberger et j’ai réinstallé les 3 blogs avec du tout neuf. Puis j’ai restauré les bases de données. Et mis des plugins de sécurité. Mais le hacking a repris. J’ai examiné les fichiers suspects, certains se créeaient après effacement. L’hébergeur les a éliminés. Mais rien n’y fait. Il y a t-il des failles de sécurité connues dans le noyau de WP. Et SUFFUSION? D’autres ont ils des soucis avec un pirate « silent pain »? Pour le moment mon site est down, le compte suspendu et avant de tout restaurer à nouveau, j’étudie les meilleures solutions. Des idées? Des victimes comme moi? En tout cas je pense utile de prévenir l’équipe de développement de WP et les développeurs de thèmes et plugins.12 novembre 2011 à 21 h 57 min #796882bienvenu au club! nous sommes au moins 2 à avoir signalé du hacking sur nos sites……avec une redirection.ru.
je suis hébergée par ovh, et toi,?12 novembre 2011 à 22 h 16 min #796883Curieusement, en vidant les cookies sur firefox, j’ai de nouveau accès à mon site… c’est à n’y rien comprendre!
12 novembre 2011 à 22 h 32 min #796884Il n’y a pas de faille recensée pour le moment sur WP. Vu le nombre de codeurs qui l’utilisent, quand ça arrive c’est vite su et plutôt vite corrigé. Par contre, certains plugins et scripts sont dangereux… et comme tu ne nous donnes pas leur liste… Les dernières attaques recensées concernaient dans l’ordre inverse:
– les plugins à base de TimThumb pas mis à jour (beaucoup de dégâts)
– un cheval de Troie qui ciblait Filezilla
– des installations WP sur des hébergeurs (US) peu soucieux de la sécurité de leur hébergement et qui ont préféré accuser WPAvant de contacter des gens qui peuvent ne pas être concernés directement par ton problème, est-ce que tu es sûr que ton ordi est clean ? Est-ce que tu as changé mot de passe ftp et accès aux bases après la première attaque ? Donne nous une liste de tes plugins et vérifie qu’aucun n’utilise TimThumb.
13 novembre 2011 à 0 h 48 min #796885Li-An wrote:Les dernières attaques recensées concernaient dans l’ordre inverse:
– les plugins à base de TimThumb pas mis à jour (beaucoup de dégâts)
– un cheval de Troie qui ciblait Filezilla
– des installations WP sur des hébergeurs (US) peu soucieux de la sécurité de leur hébergement et qui ont préféré accuser WPPour ma part j’ai eu un site attaqué grâce à un plugin permettant l’accès aux bases de données mysql depuis l’admin de wordpress. Habituellement je le désactivais à chaque fois que j’avais fini de l’utiliser, et puis un coup j’ai oublié… et j’ai dû batailler pour nettoyer ce site. (Download du site complet, séries de « diff » entre le site et l’archive neuve… recherche de fichiers contenant des codes « base64 », à coups de grep… là j’ai vu que WordPress en emploie deux ou trois pour lesquels il n’y a rien de spécial bien sûr… )
13 novembre 2011 à 7 h 58 min #796880Merci pour ce témoignage, Mélodie. Ça justifie le fait que je n’ai jamais installé un tel plugin 🙂
13 novembre 2011 à 8 h 30 min #796879Bon, pas de plugin susceptible d’utiliser TimThumb a première vue. Je suppose que tu es bien à jour pour tous ces plugins. Je ne peux pas t’aider plus (ces derniers temps, une simple évocation de TimThumb donnait la solution).
13 novembre 2011 à 9 h 15 min #796877melodie wrote:recherche de fichiers contenant des codes « base64 », à coups de grep… là j’ai vu que WordPress en emploie deux ou trois pour lesquels il n’y a rien de spécial bien sûr… )base64 est un codage qui est pas mal utilisé, il faut aussi regarder les eval qui sont beaucoup plus suspects. A ce sujet Wordpess en a introduit un depuis longtemps, un easter egg : http://www.fashion-geektim.fr/geek/easter-egg-wordpress-matrix.html
13 novembre 2011 à 9 h 28 min #796878J’ai supprimé mon message donnant la liste des plugins. Cela facilite le hacking.
Je n’accuse pas WP. Je signale un pb au cas où. Pour rendre service.
Je suis chez Maven Hosting filiale d’un gros hébergeur US.
J’utilise Filezilla.
Plugins : xxxx suppriméSur trois blogs partageant le domaine. Voilà la liste.
J’avais bien changé les mots de passe.
Par contre si je sais examiner les fichiers par FTP, je ne sais pas comment repérer les hackings dans les bases de donnée.13 novembre 2011 à 9 h 42 min #796876Filezilla est une source de problemes connue, car les mots de passe sont stockés en clair sur le PC. Si celui ci n’est pas clean, le pirate a accès à tout.
Vérifie ton PC et passe sur une solution plus sécurisée comme SmartFTPDommage d’avoir supprimé la liste des plugins
13 novembre 2011 à 12 h 40 min #796881FTPRush est aussi une alternative.
16 novembre 2011 à 19 h 02 min #796886Bonsoir, finalement en relisant ton post, j’ai le même hacker que toi ‘silence is golden »……quelle poisse!
Comment vérifier les codes « base64 »?16 novembre 2011 à 21 h 21 min #796887j’ai trouvé ce post interessant, malheureusement mon anglais est loin d’être maitrisé!
http://www.wordpress-fr.net/support/viewtopic.php?pid=297077#p297077je pense que ce doit être l’outil idéal pour nos problèmes!
12 décembre 2011 à 19 h 10 min #796888sylvey wrote:Bonsoir, finalement en relisant ton post, j’ai le même hacker que toi ‘silence is golden »……quelle poisse!Ça, c’est la meilleure !
Ce sont les commentaires php par défaut dans les fichiers index.php à la racine de divers dossiers. →→ par défaut ! c’est d’origine.Comment vérifier les codes « base64 »?
Sous GNU/Linux, en console depuis le répertoire suspect (il faut le télécharger) : « grep -R base64 * ». Idem pour les « eval » car comme disait le monsieur il y a quelques temps, ce sont aussi des débuts de chaine de caractères contenant des codes produisant des… trucs permettant aux attaquants d’accéder au contenu des sites. Si vous n’utilisez pas Linux, il y a moyen de commencer avec un Live CD… ne serait-ce que pour auditer vos répertoires. 🙂
Je bricole et contribue dans la communauté PCLinuxOS Fr, donc si ça vous intéresse…
Il faut bien distinguer les « base64 » et « eval » étrangers de ceux fournis par WordPress. Un peu de réflexion et une comparaison avec un répertoire wordpress neuf sont à recommander.
Quand au post suivant, ok, mais attendez les conseils d’autres utilisateurs plus expérimentés.
-
AuteurMessages
- Vous devez être connecté pour répondre à ce sujet.