- Statut : non résolu
- Ce sujet contient 10 réponses, 4 participants et a été mis à jour pour la dernière fois par
, le il y a 4 années et 10 mois.
-
Messages
-
Bonjour,
en faisant un backup de mon site, je découvre un nouveau fichier signalé suspect par Sucuri Security.Le fichier est : wp-includes/bjd.php
et voici ce qu’il contient :
Qu’est ce que ce fichier et code font ?
Est ce un code malveillant ou bien je dois conserver cela ?
Merci pour vos aides.Version WP 4.3.1
tous les plugins et thèmes à jour.Bonjour
str_rot13(‘riny’) correspond à la chaîne eval(). preg_replace /e permet quand à lui l’exécution d’un code qui est passé comme chaîne de caractères. Le eval() est donc exécuté.
$www est la variable évaluée et elle est initialisée par le $_POST
Et donc, en gros : un hackeur fait ce qu’il veut sur ton site. Il va poster une instruction php / système qui sera lue et exécutée par ce petit bout de code.
Un conseil : nettoie ton site parce que si tu as un fichier vérolé; attends toi à en avoir bien, bien plus.
Bonne journée.
Merci pour ces infos rapides !
Je vais rapidement tout supprimer.
Mais pour chercher si il y a d’autres fichiers avec la même faille, qu’est ce que je peux essayer de chercher comme bout de code ?
Y a t’il justement un astuce aussi pour chercher ça directement sur le serveur sans devoir tout télécharger ?
Merci pour ton aide.Bonjour
Je ne connais pas de scanner gratuit capable de détecter toutes les variantes possibles de virus. Pour cela, il faut un scanner puissant qui travaille en offline.
En gratuit, teste toujours mon logiciel aeSecure QuickScan (deuxième lien dans ma signature) (compatible WP); il va débusquer certains virus sur ton site et là, il fonctionne online (sur le site de production).
Le souci avec les virus, c’est leur polymorphisme; il y a une telle variétés de type d’obfuscation qu’il est compliqué de mettre toutes ces signatures-là dans un outil gratuit vu le temps de développement requis pour alimenter la base de données (et le logiciel de scan).
Bonne journée.
effectivement, c’est ce que j’avais essayé et il a trouvé de nombreux fichiers suspects.
Après c’est assez complexe à identifier les faux positifs, mais pour la rapidité d’utilisation de ce scan, c’est surement une bonne aide.
Merci !
Oui, en effet, l’utilisation d’un scanner met en évidence des fichiers potentiellement dangereux (p.ex. avec un eval(base64_decode(); reste que une telle signature n’est pas toujours synonyme de virus.
A moins d’être face à un fichier; à l’octet près, déjà identifié comme malware; il n’est jamais certain d’être face à un code malfaisant et donc, oui, l’utilisateur doit faire un travail “Oui, c’est un virus”, “Non, c’est un code sain”.
Pour QuickScan, l’objectif est surtout de répondre à la question : est-ce que mon site a été hacké ?
Dans ton cas; oui, c’est le cas vu ton str_rot13(‘riny’). Il n’y a aucun doute possible là-dessus; il te faut donc le nettoyer en p.ex. remettant un backup sain par-dessus.
Bonne fin de journée.
Bonjour,
Article ancien mais toujours valable, et spécial WP : http://www.iceranking.com/wordpress-seo/guide-complet-pour-nettoyer-et-securiser-wordpress-apres-un-hacking/
Peut-être que mon plugin peut vous intéresser : https://fr.wordpress.org/plugins/scan-upload-par-jm-crea/
Bonjour Dge-06
Je viens vite d’aller regarder le code source de ton plugin. En fait, c’est “juste” un “Dir” càd que tu vérifies l’extension du fichier et si c’est une de celle que tu as programmée, tu affiches le nom du fichier. Ai-je bien compris ? Si oui, c’est quand même très basique non ? Ce n’est pas un scan au niveau du contenu mais juste sur base de l’extension (ex : un virus avec une extension .jpg ne sera jamais détecté)
Bonne journée.
Non effectivement, ça ne va pas scanner le contenu du fichier, mais juste l’extension.
Car bien souvent les hackers s’amusent à uploader des fichiers dans le dossier wp-upload.
L’avantage de ce plugin c’est qu’il est rapide et trouve les fichiers suspects.
Après si tu veux scanner en profondeur, il vaut mieux utiliser GOTMLS
- Vous devez être connecté pour répondre à ce sujet.