- Statut : non résolu
- Ce sujet contient 97 réponses, 7 participants et a été mis à jour pour la dernière fois par pyxmalion, le il y a 13 années.
-
AuteurMessages
-
25 août 2011 à 12 h 46 min #498987
Bonjour,
Ma configuration WP actuelle
– Version de WordPress : la dernière (juil. 2011)
– Version de PHP/MySQL : 5.0.91
– Thème utilisé : Dandelion
– Extensions en place : une dizaine
– Nom de l’hebergeur : Strato
– Adresse du site : http://www.lecosmographe.com/blog/Problème(s) rencontré(s) : Site/blog infecté par un malware ! Suis complètement perdu !
Bonjour,
Je ne suis pas spécialiste et suis plutôt très ennuyé, ne sachant que faire face à un problème de « malware ».
J’ai fait des recherches mais je n’ai pas trouvé comment évincer ce ou ces « malware » présent sur le site.Tout à commencer par un avertissement google, suivi le lendemain par celui de l’hébergeur Strato. Tous citent le même problème. M’étant rendu sur la page en question, je n’ai évidement rien remarqué d’anormal ! Un peu plus tard, l’accès à mon site a été restreint (« en attendant que je trouve la solution … ! » Oui, d’accord mais comment ?!).
Ainsi, plus d’accès au tableau de bord de WP.
Il reste bien le ftp mais qu’est-ce qu’il faut faire ? Où aller ?Via le panneau de config de l’hébergeur, je me suis rendu dans la base de données. J’ai lancé la requête MySQL préconisé par plusieurs sites (et forums) qui ont eu des problèmes similaires :
SELECT * FROM wp_posts WHERE post_content LIKE ‘% UNION
SELECT * FROM wp_posts WHERE post_content LIKE ‘% UNION
SELECT * FROM wp_posts WHERE post_content LIKE ‘%display:%’Une première fois, ça m’a listé 4 articles/posts. Je ne sais pas quoi faire avec tout ça ?! :fire:
J’ai entrepris l’exportation de la DB. 2 secondes plus tard je reçois un fichier de 15 ko avec l’extension .sql ! Soit, mais ça parait petit pour plus de 1 000 articles … ! (A ce propos, depuis longtemps j’ai le plug-in de référence pour les back-up. Chaque semaine, je reçois donc un fichier. S’agit-il de tous les posts ?)J’ai recommencé l’étape de la requête MySQL et cette fois, ô drâme, il me dit :
#1146 – Table ‘DB332983.wp_posts’ doesn’t exist
😡 😉
HELP ! QUE DOIS-JE FAIRE ? LÀ, JE SUIS PERDU !!!
Merci d’avance !
25 août 2011 à 12 h 55 min #789699je suspecte encore une fois la faille de timthumb, je vous conseille de faire une mise à jour totale de WordPress de façon à écraser tous les fichiers qui auraient pu être infectés.
Quel était le message envoyé par strato?
25 août 2011 à 13 h 15 min #789700Voici ce que Strato m’a répondu il y a qq minutes :
Afin de protéger votre site, je vous invite dans un premier temps à sécuriser l’ordinateur avec lequel vous travaillez. Vous pouvez à tout moment télécharger un logiciel Anti-Malware. Voici une liste de logiciel que vous pouvez télécharger :
http://www.clubic.com/telecharger/windows/antispyware/
Une fois le logiciel installé sur votre ordinateur, veuillez sécuriser les fichiers sur votre serveur. Pour sécuriser ces fichiers, vous devez d’abord les télécharger sur votre ordinateur local. Il ne vous reste plus qu’à les analyser avec le logiciel.
C’est quoi la faille « timthumb » ? J’aimerai bien savoir comment tout cela a pu arriver ! d’autant plus que j’avais changé de mot de passe, il y a 15 jours … ! Je suspectai (mais peut-être à tort) le plug-in file ftp de Firefox. Peut-être, y a t’il une faille ?!
En quoi cela consiste exactement une maj totale de WP ? Ecraser tous les fichiers, c’est-à-dire ? Les importer puis les uploader à nouveau sur le site ? Quid de la base de données ? Comment être sûr que j’ai tous les articles, etc. et surtout comment réinstaller sans que ce soit le bordel ?!
25 août 2011 à 13 h 18 min #789701pour la base de données, il faudra voir quand le site sera rétabli, ce n’est pas certain qu’elle ait été touchée.
La mise à jour de WordPress, oui, c’est reprendre la mise à jour et remplacer tous les fichiers de WordPress par des fichiers sains.
25 août 2011 à 13 h 30 min #789702OK, je m’y colle dés que la back-up du site est finie (via Web-FTP de Strato).
25 août 2011 à 15 h 44 min #789703Si vous utilisez un plugin utilisant TimThumb (pour créer des miniatures), il vous faut chercher sur le Web la dernière version de ce script (facile à trouver) et le remplacer dans le répertoire du plugin où il est rangé.
26 août 2011 à 8 h 05 min #789704Je n’utilise pas de plug-in TimThumb.
Après avoir importer tout le site sur mon mac, j’ai fait une recherche d’éventuels virus avec les logiciels MacKeeper et Antigo Virus Bareer Plus, RIEN n’a été identifié !
QU’est-ce que je peux faire maintenant ! Je me sens complètement démuni ! :fire::fire::fire:
En plus, je crois que j’ai effacé (je me demande bien nomment j’ai pu faire ça !) par inadvertance les wp_posts dans ma db !!! Comment les réinstaller ?Tous vos conseils sont les bienvenus !
26 août 2011 à 9 h 16 min #789705tu as réinstallé wordpress avec une maj neuve (pas les anciens fichiers de ton installation, un nouveau téléchargement de la mise à jour)?
si oui, essais de te mettre avec le thème par défaut et sans extensions.sinon, fais une mise à jour manuelle en écrasant ton ancienne installation, sauf wp_content évidement.
26 août 2011 à 12 h 27 min #789706Je viens de réinstaller la toute dernière version de WP. Dossier par dossier !
J’avais dans le dossier wp_content, un fichier upr.php … et pas de index.php ! Ce n’est peut-être pas grand chose et n’a rien à voir avec le problème de malware.
La configuration ressemble à présent à celle des premiers jours avec wp. Hormis les plug-ins livrés par défaut et les 2 thèmes, tout est vierge ! (j’ai conservé le dossier uploads dans wp_content).
Je suis allé sur le site Sucuri (http://sitecheck.sucuri.net/scanner/) pour scanner mon blog. Il n’a rien trouver d’anormal !
Pourtant l’accès est toujours restreint par l’hébergeur ! Si, avec de la chance, le malware a disparu est-ce que l’avertissement et la restriction de l’hébergeur (Strato) sont levés immédiatement ou faut-il attendre, ou encore, demander qu’il réexaminent le site … ? Comment ça se passe ?
C’est une vraie s ******* ce malware et suis impatient de m’en débarrasser !26 août 2011 à 12 h 29 min #789707Il faut que vous contactiez l’hébergeur je suppose.
26 août 2011 à 12 h 33 min #789708sur la page affichant l’avertissement, en cliquant sur « pourquoi cette page est elle bloquée? » , dans la page suivante, il y a un lien : Si vous êtes le propriétaire de ce site Web, vous pouvez, à l’aide des outils Google pour les webmasters, demander qu’il fasse l’objet d’un examen. Pour plus d’informations sur le processus correspondant, consultez le Centre d’aide pour les webmasters.
Regarde ce que cela donne, sinon je ne sais vraiment pas comment s’en débarrasser.
26 août 2011 à 12 h 41 min #789709Sur Google outils pour webmaster, j’ai demandé un nouvel examen !
Google me désigne ceci comme logiciel malveillant : /blog/wp-includes/js/l10n.js?ver=20101110
Suis pas encore sorti de l’auberge !!! :fouet:
Merci pour votre aide.26 août 2011 à 12 h 48 min #789710tu es sur que la mise à jour de wordpress a été faite?
est ce que tu peux mettre dans une balise code ici, le contenu de ce fichier? (il s’appelle l10n.js, ce qu’il y a après le ? ne fait pas partie du nom du fichier)
26 août 2011 à 12 h 52 min #789711Désolé mais je n’ai pas tout compris à propos de « balise code ».
Le malware cité plus haut a été désigné par Google le 22 août. J’attends maintenant un réexamen. Je ne sais pas si c’est immédiat ou une affaire de plusieurs heures ?!
26 août 2011 à 12 h 56 min #789712ah, d’accord, j’avais compris que le réexamen avait été fait
-
AuteurMessages
- Vous devez être connecté pour répondre à ce sujet.