Malware présent: comment le supprimer ?

  • WordPress :5.2
  • Statut : non résolu
15 sujets de 16 à 30 (sur un total de 36)
  • Auteur
    Messages
  • #2282065
    Li-An
    Modérateur
    Maître WordPress
    22703 contributions

    @momofr : je sais que c’est une possibilité de vérolage mais de ce que j’ai lu, ça touche les hébergeurs pas fiables au niveau sécurité. J’ai un peu de mal à croire que ce soit le cas de OVH – mais je peux me tromper.

    #2282070
    nounours18200@yahoo.fr
    Participant
    Initié WordPress
    25 contributions

    Donc chercher la solution sur un seul site n’est la bonne démarche, il faut vérifier tous les sites et les dossiers.

    Eh bien, je ne suis pas au bout de mes peines !…

    Terminons le site en cours, puis je ferai le gros site qui nous pose beaucoup de problèmes…

    Pour celui qui est en cours, j’ai donc mis en place les htaccess: à la racine du site, sur wp-include, sur wp-content ainsi que sur wp-content\Uploads.

    Par contre, je n’arrive pas à le mettre en place sur wp-admin: j’ai bien repéré mon IP publique grâce au site “adresseip.com”, mais lorsque je la mets dans le htaccess et que je l’envoie par FTP, je ne peux plus du tout accéder à l’admin! Je ne vois pas du tout où ça coince ?!!

    Voici le htaccess en question:

    <Limit GET POST PUT>
    order deny,allow
    deny from all
    # IP de Michel
    allow from xx.xxx.xxx.xxx <— j’ai mis ici mon IP publique donnée par le site adresseip.com et d’autres
    # IP de Michel Locale
    allow from 192.168.1.25 <—j’ai mis aussi mon IP locale en étant certain que ça ne sert à rien, mais bon…
    # IP de Florent – supprimer le dièse et renseigner les valeurs
    #allow from xxx.xxx.xxx.xxx
    # IP d’un autre point d’accès – supprimer le dièse et renseigner les valeurs
    #allow from xxx.xxx.xxx.xxx
    </Limit>

    Vous avez une idée ??

    Merci !

    #2282071
    momofr@free.fr
    Modérateur
    Maître WordPress
    2716 contributions

    Salut, @Li-An : ça m’est arrivé sur 2 hébergements clients, c’était il y a 1 ou 2 ans, c’est peut être plus cloisonné, mais OVH n’est pas connu pour faire ça. Je le fais systématiquement chez O2Switch avec les Lunes.

    Ne mets pas ton adresse IP à blacklister !!! Laisse tomber ça, WordFence gère très bien la blacklistage temporaire, oublie ces lignes.

    #2282073
    Li-An
    Modérateur
    Maître WordPress
    22703 contributions

    @momofr : c’est moi qui me trompe, j’ai mal compris. En effet, tous les sites d’un même hébergement sont susceptibles d’être contaminés (je pensais aux sites d’un même serveur, ce qui possible c’était il y a quelques années la cause première des infections).

    #2282075
    nounours18200@yahoo.fr
    Participant
    Initié WordPress
    25 contributions

    Ne mets pas ton adresse IP à blacklister !!! Laisse tomber ça, WordFence gère très bien la blacklistage temporaire, oublie ces lignes.

    En l’occurrence c’est l’adresse IP à autoriser puisqu’elle suit l’instruction “allow”, non ??

    Je viens aussi de passer en PHP 7.3 depuis l’interface OVH, ce qui devrait modifier la version de PHP aussi pour l’autre gros site également sur la dernière version de WordPress. Je ne sais pas combien de temps ça prend pour être mis en place, je verrai si ça entraîne des dysfonctionnements ou pas…

    Bon, tu vois autre chose à faire pour ce petit site ? il faudrait nettoyer les pages infectées, mais je ne sais pas comment faire…

    Je vais commencer à faire la même chose pour l’autre gros site qui ne joue pas dans la même catégorie: veux-tu que je te contacte en MP ?

    Merci

    #2282076
    momofr@free.fr
    Modérateur
    Maître WordPress
    2716 contributions
    Cette réponse a été marquée comme privée.
    #2282219
    nounours18200@yahoo.fr
    Participant
    Initié WordPress
    25 contributions
    Cette réponse a été marquée comme privée.
    #2282232
    nounours18200@yahoo.fr
    Participant
    Initié WordPress
    25 contributions

    J’ai aussi travaillé sur l’autre (gros) site, et voici un point de situation:

    -Les 2 sites sont désormais en PHP 7.3

    -Les “.htaccess” renforcés selon les modèles de “La Marmitte” sont présents dans les répertoires Racine, wp-content, wp-content\upload, et wp-include, sur les 2 sites.

    -J’ai restauré les fichiers infectés à leur état d’origine,

    -Wordfence en signale plus rien, mais par contre des sites de scans spécialisés détectent toujours quelques pages infectées sur le 1er (petit) site. Le 2ème gros site est propre.

    Le point noir reste que le Forum (phpBB 3.2) du gros site (qui était au même niveau dans l’arborescence qu’un sous-dossier de WordPress) a été restauré; Certes il fonctionne, mais on ne peut plus accéder à l’ACP en tant qu’administrateur; et on me conseille de le passer en 3.2.8 dernière version (à juste titre), sauf que la manip a l’air assez risquée… (écrasement en dur des fichiers, ré-install de la 3.2.8 et restauration BDD…)

    Michel

     

    #2282598
    nounours18200@yahoo.fr
    Participant
    Initié WordPress
    25 contributions

    Bonjour Jean !

    Déjà je voudrais indiquer à tout les forumeurs que Jean m’a assisté d’une façon exceptionnelle: c’est rare autant de sollicitude !

    Wordfence m’a informé que ce matin il y avait eu 160 attaques en 30 minutes, et cet après-midi 109 attaques en 10 minutes !…

    Mais le site tient bon pour l’instant: nickel !

    Je surveille ça comme le lait sur le feu, et je vous tiens au courant.

    Encore merci Jean !

    #2282601
    Li-An
    Modérateur
    Maître WordPress
    22703 contributions

    Le nombre d’attaques sur un site n’est pas un nombre intéressant (tous les sites sont soumis à des attaques régulières, cela ne signifie pas qu’il y ait une faille, ce sont juste les bots qui agissent bêtement). En fait, il n’y a même pas une “résistance” puisque ces bots cherchent des failles connues et testent l’existence de thèmes et d’extensions que vous n’avez pas installé (et que vous n’installerez jamais) voire des failles d’autres CMS (puisque ces idiots de bots ne vérifient même pas que vous êtes sous WP). Ne vous préoccupez pas de ces attaques, contentez vous de mettre régulièrement à jour vos extensions et thèmes.

    #2282604
    momofr@free.fr
    Modérateur
    Maître WordPress
    2716 contributions

    Salut, effectivement le nombre d’attaques n’indique rien si ce n’est l’intérêt que peuvent avoir les robots, comme je te l’ai dit, avec des règles un peu strictes tu verras baisser les attaques au fil du temps avec des campagnes de temps à autre. Pour infos j’ai des sites clients qui ont subis plus de 15000 attaques par jour sur 5/6 jours parfois. Mes récaps mensuels font état, sur les sites les plus connus, d’une moyenne de 7 à 8000 attaques mensuelles. Rien ne bouge si la sécurité est bien conçue.

    Tu ne devrais pas avoir de gros souci à l’avenir.

    #2282652
    nounours18200@yahoo.fr
    Participant
    Initié WordPress
    25 contributions

    D’accord les experts, je vous fais entière confiance, et quoi qu’il en soit, les sites tiennent bon pour le moment !

    Merci encore pour votre aide : Jean je te passerai un coup de fil un de ces jours !

    A bientôt,

    Michel

     

    #2283691
    nounours18200@yahoo.fr
    Participant
    Initié WordPress
    25 contributions

    Bonjour,

    Je reviens vers vous car les ennuis recommencent !

    Wordfence vient de me signaler ceci:

    Wordfence found the following new issues on “”.

    Alert generated at Saturday 2nd of November 2019 at 01:48:17 PM

     

    See the details of these scan results on your site at: https://www.threshold-lovers.com/wp-admin/admin.php?page=WordfenceScan

    Problèmes critiques :

    * File appears to be malicious: wp-content/plugins/zero-spam/img/sqchrisv.php

    * File appears to be malicious: wp-content/plugins/wordfence/images/yembuqmc.php

    * File appears to be malicious: phpBB3/adm/style/profilefields/ngfwxdud.php

    * File appears to be malicious: wp-content/plugins/download-manager/tpls/wpdm-generate-password.php

    * The Plugin “ForumConverter” appears to be abandoned (updated 15 October 2011, tested to WP 3.2.1).

    L’extension contient une vulnérabilité de sécurité non corrigée. Informations sur la vulnérabilité

    Je suis allé voir le fichier : wp-content/plugins/zero-spam/img/sqchrisv.php, et il est clairement mauvais

    Je vais supprimer ceci manuellement en attendant vos précieux conseils !

    Merci

     

    #2283693
    Li-An
    Modérateur
    Maître WordPress
    22703 contributions

    Bonjour, vous avez installé l’extension ForumConverter ?

    #2283700
    nounours18200@yahoo.fr
    Participant
    Initié WordPress
    25 contributions

    @Li-An: c’est mon co-admin qui l’a installée et je suspecte que ce soit à l’origine des problèmes qui sont immédiatement ré-apparus à la suite de cette installation !

    Du coup j’ai supprimé ce plugin, carrément effacé par FTP tout le répertoire de l’ancien forum phpBB  qui de toute façon ne fonctionnait plus, et remis tous les fichiers à leur état d’origine à partir d’une sauvegarde propre que j’avais faite récemment avec momo ..

    J’ai ensuite repassé un Wordfence et c’est OK: donc attendons demain pour voir si les problèmes reviennent.

    J’en profite d’ailleurs : si le prochain forum était un forum sans BDD ce serait bien (car il y a très peu de fréquentation): que pensez-vous **en termes de sécurité** de bbPress qui s’intègre à WordPress comme un plugin ?

    Merci

     

     

15 sujets de 16 à 30 (sur un total de 36)
  • Vous devez être connecté pour répondre à ce sujet.