HELP ! Site piraté ! Comment rétablir ? (Créer un compte)

  • Statut : non résolu
15 sujets de 1 à 15 (sur un total de 98)
  • Auteur
    Messages
  • #498987
    pyxmalion
    Membre
    Chevalier WordPress
    118 contributions

    Bonjour,

    Ma configuration WP actuelle
    – Version de WordPress : la dernière (juil. 2011)
    – Version de PHP/MySQL : 5.0.91
    – Thème utilisé : Dandelion
    – Extensions en place : une dizaine
    – Nom de l’hebergeur : Strato
    – Adresse du site : http://www.lecosmographe.com/blog/

    Problème(s) rencontré(s) : Site/blog infecté par un malware ! Suis complètement perdu !

    Bonjour,
    Je ne suis pas spécialiste et suis plutôt très ennuyé, ne sachant que faire face à un problème de « malware ».
    J’ai fait des recherches mais je n’ai pas trouvé comment évincer ce ou ces « malware » présent sur le site.

    Tout à commencer par un avertissement google, suivi le lendemain par celui de l’hébergeur Strato. Tous citent le même problème. M’étant rendu sur la page en question, je n’ai évidement rien remarqué d’anormal ! Un peu plus tard, l’accès à mon site a été restreint (« en attendant que je trouve la solution … ! » Oui, d’accord mais comment ?!).
    Ainsi, plus d’accès au tableau de bord de WP.
    Il reste bien le ftp mais qu’est-ce qu’il faut faire ? Où aller ?

    Via le panneau de config de l’hébergeur, je me suis rendu dans la base de données. J’ai lancé la requête MySQL préconisé par plusieurs sites (et forums) qui ont eu des problèmes similaires :

    SELECT * FROM wp_posts WHERE post_content LIKE ‘% UNION
    SELECT * FROM wp_posts WHERE post_content LIKE ‘% UNION
    SELECT * FROM wp_posts WHERE post_content LIKE ‘%display:%’

    Une première fois, ça m’a listé 4 articles/posts. Je ne sais pas quoi faire avec tout ça ?! :fire:
    J’ai entrepris l’exportation de la DB. 2 secondes plus tard je reçois un fichier de 15 ko avec l’extension .sql ! Soit, mais ça parait petit pour plus de 1 000 articles … ! (A ce propos, depuis longtemps j’ai le plug-in de référence pour les back-up. Chaque semaine, je reçois donc un fichier. S’agit-il de tous les posts ?)

    J’ai recommencé l’étape de la requête MySQL et cette fois, ô drâme, il me dit :

    #1146 – Table ‘DB332983.wp_posts’ doesn’t exist

    😡 😉

    HELP ! QUE DOIS-JE FAIRE ? LÀ, JE SUIS PERDU !!!

    Merci d’avance !

    #789699
    Guy
    Participant
    Maître WordPress
    14817 contributions

    je suspecte encore une fois la faille de timthumb, je vous conseille de faire une mise à jour totale de WordPress de façon à écraser tous les fichiers qui auraient pu être infectés.

    Quel était le message envoyé par strato?

    #789700
    pyxmalion
    Membre
    Chevalier WordPress
    118 contributions

    Voici ce que Strato m’a répondu il y a qq minutes :

    Afin de protéger votre site, je vous invite dans un premier temps à sécuriser l’ordinateur avec lequel vous travaillez. Vous pouvez à tout moment télécharger un logiciel Anti-Malware. Voici une liste de logiciel que vous pouvez télécharger :

    http://www.clubic.com/telecharger/windows/antispyware/

    Une fois le logiciel installé sur votre ordinateur, veuillez sécuriser les fichiers sur votre serveur. Pour sécuriser ces fichiers, vous devez d’abord les télécharger sur votre ordinateur local. Il ne vous reste plus qu’à les analyser avec le logiciel.

    C’est quoi la faille « timthumb » ? J’aimerai bien savoir comment tout cela a pu arriver ! d’autant plus que j’avais changé de mot de passe, il y a 15 jours … ! Je suspectai (mais peut-être à tort) le plug-in file ftp de Firefox. Peut-être, y a t’il une faille ?!

    En quoi cela consiste exactement une maj totale de WP ? Ecraser tous les fichiers, c’est-à-dire ? Les importer puis les uploader à nouveau sur le site ? Quid de la base de données ? Comment être sûr que j’ai tous les articles, etc. et surtout comment réinstaller sans que ce soit le bordel ?!

    #789701
    Guy
    Participant
    Maître WordPress
    14817 contributions

    pour la base de données, il faudra voir quand le site sera rétabli, ce n’est pas certain qu’elle ait été touchée.

    La mise à jour de WordPress, oui, c’est reprendre la mise à jour et remplacer tous les fichiers de WordPress par des fichiers sains.

    #789702
    pyxmalion
    Membre
    Chevalier WordPress
    118 contributions

    OK, je m’y colle dés que la back-up du site est finie (via Web-FTP de Strato).

    #789703
    Li-An
    Participant
    Maître WordPress
    28720 contributions

    Si vous utilisez un plugin utilisant TimThumb (pour créer des miniatures), il vous faut chercher sur le Web la dernière version de ce script (facile à trouver) et le remplacer dans le répertoire du plugin où il est rangé.

    #789704
    pyxmalion
    Membre
    Chevalier WordPress
    118 contributions

    Je n’utilise pas de plug-in TimThumb.

    Après avoir importer tout le site sur mon mac, j’ai fait une recherche d’éventuels virus avec les logiciels MacKeeper et Antigo Virus Bareer Plus, RIEN n’a été identifié !
    QU’est-ce que je peux faire maintenant ! Je me sens complètement démuni ! :fire::fire::fire:
    En plus, je crois que j’ai effacé (je me demande bien nomment j’ai pu faire ça !) par inadvertance les wp_posts dans ma db !!! Comment les réinstaller ?

    Tous vos conseils sont les bienvenus !

    #789705
    Guy
    Participant
    Maître WordPress
    14817 contributions

    tu as réinstallé wordpress avec une maj neuve (pas les anciens fichiers de ton installation, un nouveau téléchargement de la mise à jour)?
    si oui, essais de te mettre avec le thème par défaut et sans extensions.

    sinon, fais une mise à jour manuelle en écrasant ton ancienne installation, sauf wp_content évidement.

    #789706
    pyxmalion
    Membre
    Chevalier WordPress
    118 contributions

    Je viens de réinstaller la toute dernière version de WP. Dossier par dossier !
    J’avais dans le dossier wp_content, un fichier upr.php … et pas de index.php ! Ce n’est peut-être pas grand chose et n’a rien à voir avec le problème de malware.
    La configuration ressemble à présent à celle des premiers jours avec wp. Hormis les plug-ins livrés par défaut et les 2 thèmes, tout est vierge ! (j’ai conservé le dossier uploads dans wp_content).
    Je suis allé sur le site Sucuri (http://sitecheck.sucuri.net/scanner/) pour scanner mon blog. Il n’a rien trouver d’anormal !
    Pourtant l’accès est toujours restreint par l’hébergeur ! Si, avec de la chance, le malware a disparu est-ce que l’avertissement et la restriction de l’hébergeur (Strato) sont levés immédiatement ou faut-il attendre, ou encore, demander qu’il réexaminent le site … ? Comment ça se passe ?
    C’est une vraie s ******* ce malware et suis impatient de m’en débarrasser !

    #789707
    Li-An
    Participant
    Maître WordPress
    28720 contributions

    Il faut que vous contactiez l’hébergeur je suppose.

    #789708
    Guy
    Participant
    Maître WordPress
    14817 contributions

    sur la page affichant l’avertissement, en cliquant sur « pourquoi cette page est elle bloquée? » , dans la page suivante, il y a un lien : Si vous êtes le propriétaire de ce site Web, vous pouvez, à l’aide des outils Google pour les webmasters, demander qu’il fasse l’objet d’un examen. Pour plus d’informations sur le processus correspondant, consultez le Centre d’aide pour les webmasters.

    Regarde ce que cela donne, sinon je ne sais vraiment pas comment s’en débarrasser.

    #789709
    pyxmalion
    Membre
    Chevalier WordPress
    118 contributions

    Sur Google outils pour webmaster, j’ai demandé un nouvel examen !
    Google me désigne ceci comme logiciel malveillant : /blog/wp-includes/js/l10n.js?ver=20101110
    Suis pas encore sorti de l’auberge !!! :fouet:
    Merci pour votre aide.

    #789710
    Guy
    Participant
    Maître WordPress
    14817 contributions

    tu es sur que la mise à jour de wordpress a été faite?

    est ce que tu peux mettre dans une balise code ici, le contenu de ce fichier? (il s’appelle l10n.js, ce qu’il y a après le ? ne fait pas partie du nom du fichier)

    #789711
    pyxmalion
    Membre
    Chevalier WordPress
    118 contributions

    Désolé mais je n’ai pas tout compris à propos de « balise code ».

    Le malware cité plus haut a été désigné par Google le 22 août. J’attends maintenant un réexamen. Je ne sais pas si c’est immédiat ou une affaire de plusieurs heures ?!

    #789712
    Guy
    Participant
    Maître WordPress
    14817 contributions

    ah, d’accord, j’avais compris que le réexamen avait été fait

15 sujets de 1 à 15 (sur un total de 98)
  • Vous devez être connecté pour répondre à ce sujet.