[Résolu] Script d’un hacker…

  • WordPress :4.9
  • Statut : résolu
15 sujets de 1 à 15 (sur un total de 15)
  • Auteur
    Messages
  • #2070184
    king76
    Participant
    Initié WordPress
    8 contributions

    Bonjour,

    Je vous partage le script d’un hacker qui est venu sur mon serveur et qui m’a laissé un cadeau :

    D’après vous, il fait quoi ce script ? Est-ce qu’il y a des chances qu’il a pris mon mot de passe.. en même temps, il est crypté.

    Merci

    • Ce sujet a été modifié le il y a 1 month et 3 weeks par  sasanam.
    • Ce sujet a été modifié le il y a 1 month et 3 weeks par  PhiLyon.
    #2070226
    momofr@free.fr
    Modérateur
    Maître WordPress
    1712 contributions

    Salut, il était placé où ? Qu’elle solution de sécurité utilises-tu ?

    Comment sécuriser WordPress par Tony Archambeau

    #2070258
    king76
    Participant
    Initié WordPress
    8 contributions

    Il était placé dans un plugin illégal que j’ai télécharger, un plugin premium. Peut être que c’est son concepteur qui l’a mis dedans pour se venger de ceux qui veulent pas acheter son plugin.

    À chaque fois que j’installais le plugin en question, la moitié de mes plugins se désactivaient, prétextant une entête illégal. Je devais tous les désinstaller et les résinstaller.

    J’avais mis plusieurs plugins de protection qui ne voyaient jamais de problème, si ce n’est peut être un changement dans deux fichiers que l’on peut voir dans le script à savoir wp-admin/includes/class-pclzip.php et wp-includes/SimplePie/Cache/File.php qui avaient été altéré. Mais je ne pense pas qu’au plugin ne peut anticiper ce que le script fait.

    #2070261
    PhiLyon
    Modérateur
    Maître WordPress
    19612 contributions

    Bonsoir.

    Faudrait être constant dans tes propos, tu nous dis

    Je vous partage le script d’un hacker qui est venu sur mon serveur et qui m’a laissé un cadeau

    Et ensuite

    Il était placé dans un plugin illégal que j’ai télécharger, un plugin premium

    De quoi te plains-tu, tu l’as un peu cherché, non ?

    Nous donner le code ne sert à rien.

    Le fait de récupérer des virus sur les téléchargements illégaux est notoire, en le faisant tu devais t’y attendre.

    🙂

    #2070262
    king76
    Participant
    Initié WordPress
    8 contributions

    Bonsoir,

    Peut importe comment est arrivé le fichier sur le serveur, je voulais à la fois, avoir une petite idée ce que le script faisait et partager aussi aux personnes curieuse de savoir comment fonctionne un script d’un hackeur. Ce dernier avait été placé dans un fichier CSS qui avait été inclus dans le fichier principal du script.

    Parce que même si personne ne s’amuse à déposer des fichiers illégaux sur son serveur, ça se peut très bien, que tu peux te choper ce genre de script.

    En plus, je ne me suis jamais plaint de ce qui m’est arrivé, je n’ai pas fait la promotion de ce genre de pratique et comme tu dis, c’est le risque, mais ce n’est pas si courant que ça.

    Bref, dans le script, je comprends qu’il y a des nouvelles entrées ajoutées dans la table Postmeta, mais à quoi ça peut servir ? Il y a des requêtes faites sur un serveur externe, mais pour envoyer quoi ?

    Merci

    #2070334
    king76
    Participant
    Initié WordPress
    8 contributions

    Voici le code mieux présentable :

     

    (Édit modération : code supprimé pour raisons de sécurité)

    • Cette réponse a été modifiée le il y a 1 month et 3 weeks par  Flobogo. Raison: Édit modération
    #2070351
    king76
    Participant
    Initié WordPress
    8 contributions

    Finalement je reconfiguré le plugin Wordfence avec une meilleure valeur pour le max_execution_time et il a pu finir le scan au complet. Il m’a sorti plusieurs résultats pour des images sur mon serveur :

    This file appears to be installed by a hacker to perform malicious activity. If you know about this file you can choose to ignore it to exclude it from future scans. The text we found in this file that matches a known malicious file is: <strong class= »wf-split-word »> »eval($_POST[« . The infection type is: A suspicious code known as eval_of_POST. This file was detected because you have enabled « Scan images, binary, and other files as if they were executable », which treats non-PHP files as if they were PHP code. This option is more aggressive than the usual scans, and may cause false positives.

    Ça veut dire que le script en question, a recréer plusieurs images sur mon serveur qui lorsqu’elles sont appelées sur une page, sont en fait un script php, qui contient le même script que j’ai découvert ci-dessus, mais caché dans chacune des images du site.

     

    #2155600
    sasanam
    Participant
    Initié WordPress
    5 contributions

    can anyone help me to remove this virus?
    it disabled all of my plugin
    and in the head of code

     

    (Édit modération : code supprimé pour raisons de sécurité)

     

    how can i delete this virus?

    • Cette réponse a été modifiée le il y a 1 month et 3 weeks par  sasanam.
    • Cette réponse a été modifiée le il y a 1 month et 3 weeks par  Flobogo. Raison: Édit modération
    #2155614
    king76
    Participant
    Initié WordPress
    8 contributions

    Hello Sasanam,

    Install this plugin : https://fr.wordpress.org/plugins/gotmls/

    Andrée launch à scan with  https://fr.wordpress.org/plugins/wordfence/

    Good luck

    #2155675
    sasanam
    Participant
    Initié WordPress
    5 contributions

    thanks bro !! are u sure this plugins solves my problem ?

    #2155676
    king76
    Participant
    Initié WordPress
    8 contributions

    Sure. For helping you can change permission on functions.php also to block future hack

    #2155677
    sasanam
    Participant
    Initié WordPress
    5 contributions

    i will scan my site and attach result here !! im hope u can help me 😉 thanks for answering and nice forum

    #2155691
    sasanam
    Participant
    Initié WordPress
    5 contributions

    its not take affect on my site !!! help me !!! i cant install any plugin

    #2155692
    PhiLyon
    Modérateur
    Maître WordPress
    19612 contributions

    Bonjour.

    Nous sommes sur un forum francophone, soit vous conversez en français, soit je ferme le sujet.

    Le forum en anglais est par là https://wordpress.org/support/

    🙂

    #2155694
    sasanam
    Participant
    Initié WordPress
    5 contributions

    désolé mais son seul forum je trouve sur le web

     

    Édit: Moderator’s response:

    As you went there, I close this topic.

    • Cette réponse a été modifiée le il y a 1 month et 3 weeks par  Flobogo. Raison: Édit modération
    • Cette réponse a été modifiée le il y a 1 month et 3 weeks par  Flobogo.
15 sujets de 1 à 15 (sur un total de 15)
  • Le sujet ‘[Résolu] Script d’un hacker…’ est fermé à de nouvelles réponses.