Hacking sur mon site : information et recherche de solutions (Créer un compte)

  • Statut : non résolu
  • Ce sujet contient 13 réponses, 6 participants et a été mis à jour pour la dernière fois par melodie, le il y a 13 années.
14 sujets de 1 à 14 (sur un total de 14)
  • Auteur
    Messages
  • #500761
    Tartopum
    Membre
    Initié WordPress
    2 contributions

    Bonjour,

    Ma configuration WP actuelle 3 blogs
    – Version de WordPress : WP 321
    – Version de PHP/MySQL :
    – Thème utilisé : SUFFUSION
    – Extensions en place : pas mal
    – Nom de l’hebergeur : MAVEN HOSTING (groupe Godaddy)
    – Adresse du site : tartopum.com

    Problème(s) rencontré(s) :
    Depuis un mois un hacker (SILENT PAIN) laissant des messages « silence is golden » s’acharne sur mes blogs qui fonctionnaient sans problème depuis 18 mois. J’avais les backups des bases. J’ai tout réinitialisé avec l’héberger et j’ai réinstallé les 3 blogs avec du tout neuf. Puis j’ai restauré les bases de données. Et mis des plugins de sécurité. Mais le hacking a repris. J’ai examiné les fichiers suspects, certains se créeaient après effacement. L’hébergeur les a éliminés. Mais rien n’y fait. Il y a t-il des failles de sécurité connues dans le noyau de WP. Et SUFFUSION? D’autres ont ils des soucis avec un pirate « silent pain »? Pour le moment mon site est down, le compte suspendu et avant de tout restaurer à nouveau, j’étudie les meilleures solutions. Des idées? Des victimes comme moi? En tout cas je pense utile de prévenir l’équipe de développement de WP et les développeurs de thèmes et plugins.

    #796882
    sylvey
    Membre
    Initié WordPress
    28 contributions

    bienvenu au club! nous sommes au moins 2 à avoir signalé du hacking sur nos sites……avec une redirection.ru.
    je suis hébergée par ovh, et toi,?

    #796883
    sylvey
    Membre
    Initié WordPress
    28 contributions

    Curieusement, en vidant les cookies sur firefox, j’ai de nouveau accès à mon site… c’est à n’y rien comprendre!

    #796884
    Li-An
    Participant
    Maître WordPress
    28876 contributions

    Il n’y a pas de faille recensée pour le moment sur WP. Vu le nombre de codeurs qui l’utilisent, quand ça arrive c’est vite su et plutôt vite corrigé. Par contre, certains plugins et scripts sont dangereux… et comme tu ne nous donnes pas leur liste… Les dernières attaques recensées concernaient dans l’ordre inverse:
    – les plugins à base de TimThumb pas mis à jour (beaucoup de dégâts)
    – un cheval de Troie qui ciblait Filezilla
    – des installations WP sur des hébergeurs (US) peu soucieux de la sécurité de leur hébergement et qui ont préféré accuser WP

    Avant de contacter des gens qui peuvent ne pas être concernés directement par ton problème, est-ce que tu es sûr que ton ordi est clean ? Est-ce que tu as changé mot de passe ftp et accès aux bases après la première attaque ? Donne nous une liste de tes plugins et vérifie qu’aucun n’utilise TimThumb.

    #796885
    melodie
    Participant
    Chevalier WordPress
    206 contributions
    Li-An wrote:
    Les dernières attaques recensées concernaient dans l’ordre inverse:
    – les plugins à base de TimThumb pas mis à jour (beaucoup de dégâts)
    – un cheval de Troie qui ciblait Filezilla
    – des installations WP sur des hébergeurs (US) peu soucieux de la sécurité de leur hébergement et qui ont préféré accuser WP

    Pour ma part j’ai eu un site attaqué grâce à un plugin permettant l’accès aux bases de données mysql depuis l’admin de wordpress. Habituellement je le désactivais à chaque fois que j’avais fini de l’utiliser, et puis un coup j’ai oublié… et j’ai dû batailler pour nettoyer ce site. (Download du site complet, séries de « diff » entre le site et l’archive neuve… recherche de fichiers contenant des codes « base64 », à coups de grep… là j’ai vu que WordPress en emploie deux ou trois pour lesquels il n’y a rien de spécial bien sûr… )

    #796880
    Li-An
    Participant
    Maître WordPress
    28876 contributions

    Merci pour ce témoignage, Mélodie. Ça justifie le fait que je n’ai jamais installé un tel plugin 🙂

    #796879
    Li-An
    Participant
    Maître WordPress
    28876 contributions

    Bon, pas de plugin susceptible d’utiliser TimThumb a première vue. Je suppose que tu es bien à jour pour tous ces plugins. Je ne peux pas t’aider plus (ces derniers temps, une simple évocation de TimThumb donnait la solution).

    #796877
    Guy
    Participant
    Maître WordPress
    14817 contributions
    melodie wrote:
    recherche de fichiers contenant des codes « base64 », à coups de grep… là j’ai vu que WordPress en emploie deux ou trois pour lesquels il n’y a rien de spécial bien sûr… )

    base64 est un codage qui est pas mal utilisé, il faut aussi regarder les eval qui sont beaucoup plus suspects. A ce sujet Wordpess en a introduit un depuis longtemps, un easter egg : http://www.fashion-geektim.fr/geek/easter-egg-wordpress-matrix.html

    #796878
    Tartopum
    Membre
    Initié WordPress
    2 contributions

    J’ai supprimé mon message donnant la liste des plugins. Cela facilite le hacking.
    Je n’accuse pas WP. Je signale un pb au cas où. Pour rendre service.
    Je suis chez Maven Hosting filiale d’un gros hébergeur US.
    J’utilise Filezilla.
    Plugins : xxxx supprimé

    Sur trois blogs partageant le domaine. Voilà la liste.
    J’avais bien changé les mots de passe.
    Par contre si je sais examiner les fichiers par FTP, je ne sais pas comment repérer les hackings dans les bases de donnée.

    #796876
    Lumiere de Lune
    Participant
    Maître WordPress
    20531 contributions

    Filezilla est une source de problemes connue, car les mots de passe sont stockés en clair sur le PC. Si celui ci n’est pas clean, le pirate a accès à tout.
    Vérifie ton PC et passe sur une solution plus sécurisée comme SmartFTP

    Dommage d’avoir supprimé la liste des plugins

    #796881
    Li-An
    Participant
    Maître WordPress
    28876 contributions

    FTPRush est aussi une alternative.

    #796886
    sylvey
    Membre
    Initié WordPress
    28 contributions

    Bonsoir, finalement en relisant ton post, j’ai le même hacker que toi ‘silence is golden »……quelle poisse!
    Comment vérifier les codes « base64 »?

    #796887
    sylvey
    Membre
    Initié WordPress
    28 contributions

    j’ai trouvé ce post interessant, malheureusement mon anglais est loin d’être maitrisé!
    http://www.wordpress-fr.net/support/viewtopic.php?pid=297077#p297077

    je pense que ce doit être l’outil idéal pour nos problèmes!

    #796888
    melodie
    Participant
    Chevalier WordPress
    206 contributions
    sylvey wrote:
    Bonsoir, finalement en relisant ton post, j’ai le même hacker que toi ‘silence is golden »……quelle poisse!

    Ça, c’est la meilleure ! :D
    Ce sont les commentaires php par défaut dans les fichiers index.php à la racine de divers dossiers. →→ par défaut ! c’est d’origine.

    Comment vérifier les codes « base64 »?

    Sous GNU/Linux, en console depuis le répertoire suspect (il faut le télécharger) : « grep -R base64 * ». Idem pour les « eval » car comme disait le monsieur il y a quelques temps, ce sont aussi des débuts de chaine de caractères contenant des codes produisant des… trucs permettant aux attaquants d’accéder au contenu des sites. Si vous n’utilisez pas Linux, il y a moyen de commencer avec un Live CD… ne serait-ce que pour auditer vos répertoires. 🙂

    Je bricole et contribue dans la communauté PCLinuxOS Fr, donc si ça vous intéresse…

    Il faut bien distinguer les « base64 » et « eval » étrangers de ceux fournis par WordPress. Un peu de réflexion et une comparaison avec un répertoire wordpress neuf sont à recommander.

    Quand au post suivant, ok, mais attendez les conseils d’autres utilisateurs plus expérimentés.

14 sujets de 1 à 14 (sur un total de 14)
  • Vous devez être connecté pour répondre à ce sujet.