[Résolu] Site hacké et redirigé vers d’autres pages WP ADMIN non accessible

  • WordPress :5.2
  • Statut : résolu
15 sujets de 1 à 15 (sur un total de 18)
  • Auteur
    Messages
  • #2285922
    MSCerise
    Participant
    Initié WordPress
    10 contributions

    Bonjour,

    Ci-dessous le résultat de sucuri après scan du site:

    <script type='text/javascript' src='http://land.buyittraffic.com/click?/wp-includes/js/jquery/jquery_js&ver=1.12.4'></script>
    

    <small>Redirects to http://www.ransyavocats.be/</small&gt;

    This page includes a JavaScript/iframe from scripts.trasnaltemyrecords.com that is blacklisted by Sucuri Labs, reason: injected script, see https://labs.sucuri.net/?blacklist=scripts.trasnaltemyrecords.com
    
    https://scripts.trasnaltemyrecords.com/pixel.js?track=r&subid=444
    
    Etc Etc
    
    Je n'ai malheureusement plus accès au wp-admin.. et j'ai scanné les fichiers du ftp, rien de trouvé par l'antivirus.
    
    Comment puis-je faire pour récupérer mon site et le nettoyer?
    9ans de référencement derrière :(
    
    Je vous remercie pour votre aide.

     

     

    • Ce sujet a été modifié le il y a 3 semaines par MSCerise.
    #2285945
    Li-An
    Modérateur
    Maître WordPress
    22844 contributions

    Bonjour, quelques explications pour nettoyer votre site  https://wpfr.net/support/sujet/solutions-de-depannage-pour-un-site-hacke-pirate/ – un antivirus classique ne vous sera pas de grande utilité.

    #2286146
    MSCerise
    Participant
    Initié WordPress
    10 contributions

    Bonjour,

    Merci pour les explications. J’ai effectué le nettoyage comme indiqué et mis à jour les dossiers en les remplaçant par les nouvelles versions. Rien n’a changé même avec le wp-content en wp-content-OLD et idem pour les thèmes. Je n’ai toujours pas accès à mon admin.. il est redirigé constamment.

    Peut-être qu’en lisant le .htaccess (que je n’ai pas changé) vous pourriez m’aider?

     

    SetEnv PHP_VER 5
    SetEnv REGISTER_GLOBALS 0
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteRule ^index\.php$ – [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]
    </IfModule>
    <FilesMatch “\.(js|css|gif|jpg|jpeg|png|ico)$”>
    Header set Cache-Control “max-age=31536000”
    Header set vary “Accept-Encoding”
    Header append vary “User-Agent”
    Header append Cache-Control “public”
    Header append Connection “Keep-Alive”
    Header append Keep-Alive “timeout=5, max=100″
    </FilesMatch>
    RewriteEngine On
    RewriteBase /
    AddDefaultCharset UTF-8
    RewriteCond %{REQUEST_URI} !^.*[^/]$
    RewriteCond %{REQUEST_URI} !^.*//.*$
    RewriteCond %{REQUEST_METHOD} !POST
    RewriteCond %{QUERY_STRING} !.*=.*
    RewriteCond %{HTTP:Cookie} !^.*(comment_author_|wordpress_logged_in|wp-postpass_).*$
    RewriteCond %{HTTP:X-Wap-Profile} !^[a-z0-9\”]+ [NC]
    RewriteCond %{HTTP:Profile} !^[a-z0-9\”]+ [NC]
    RewriteCond %{HTTP_USER_AGENT} !^.*(2.0\ MMP|240×320|400X240|AvantGo|BlackBerry|Blazer|Cellphone|Danger|DoCoMo|Elaine/3.0|EudoraWeb|Googlebot-Mobile|hiptop|IEMobile|KYOCERA/WX310K|LG/U990|MIDP-2.|MMEF20|MOT-V|NetFront|Newt|Nintendo\ Wii|Nitro|Nokia|Opera\ Mini|Palm|PlayStation\ Portable|portalmmm|Proxinet|ProxiNet|SHARP-TQ-GX10|SHG-i900|Small|SonyEricsson|Symbian\ OS|SymbianOS|TS21i-10|UP.Browser|UP.Link|webOS|Windows\ CE|WinWAP|YahooSeeker/M1A1-R2D2|iPhone|iPod|Android|BlackBerry9530|LG-TU915\ Obigo|LGE\ VX|webOS|Nokia5800).* [NC]
    RewriteCond %{HTTP_user_agent} !^(w3c\ |w3c-|acs-|alav|alca|amoi|audi|avan|benq|bird|blac|blaz|brew|cell|cldc|cmd-|dang|doco|eric|hipt|htc_|inno|ipaq|ipod|jigs|kddi|keji|leno|lg-c|lg-d|lg-g|lge-|lg/u|maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|nec-|newt|noki|palm|pana|pant|phil|play|port|prox|qwap|sage|sams|sany|sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo|teli|tim-|tosh|tsm-|upg1|upsi|vk-v|voda|wap-|wapa|wapi|wapp|wapr|webc|winw|winw|xda\ |xda-).* [NC]
    RewriteCond %{HTTP:Accept-Encoding} gzip
    RewriteCond %{HTTPS} on
    RewriteCond %{DOCUMENT_ROOT}/wp-content/cache/supercache/%{SERVER_NAME}/$1/index-https.html.gz -f
    RewriteRule ^(.*) “/wp-content/cache/supercache/%{SERVER_NAME}/$1/index-https.html.gz” [L]
    RewriteCond %{REQUEST_URI} !^.*[^/]$
    RewriteCond %{REQUEST_URI} !^.*//.*$
    RewriteCond %{REQUEST_METHOD} !POST
    RewriteCond %{QUERY_STRING} !.*=.*
    RewriteCond %{HTTP:Cookie} !^.*(comment_author_|wordpress_logged_in|wp-postpass_).*$
    RewriteCond %{HTTP:X-Wap-Profile} !^[a-z0-9\”]+ [NC]
    RewriteCond %{HTTP:Profile} !^[a-z0-9\”]+ [NC]
    RewriteCond %{HTTP_USER_AGENT} !^.*(2.0\ MMP|240×320|400X240|AvantGo|BlackBerry|Blazer|Cellphone|Danger|DoCoMo|Elaine/3.0|EudoraWeb|Googlebot-Mobile|hiptop|IEMobile|KYOCERA/WX310K|LG/U990|MIDP-2.|MMEF20|MOT-V|NetFront|Newt|Nintendo\ Wii|Nitro|Nokia|Opera\ Mini|Palm|PlayStation\ Portable|portalmmm|Proxinet|ProxiNet|SHARP-TQ-GX10|SHG-i900|Small|SonyEricsson|Symbian\ OS|SymbianOS|TS21i-10|UP.Browser|UP.Link|webOS|Windows\ CE|WinWAP|YahooSeeker/M1A1-R2D2|iPhone|iPod|Android|BlackBerry9530|LG-TU915\ Obigo|LGE\ VX|webOS|Nokia5800).* [NC]
    RewriteCond %{HTTP_user_agent} !^(w3c\ |w3c-|acs-|alav|alca|amoi|audi|avan|benq|bird|blac|blaz|brew|cell|cldc|cmd-|dang|doco|eric|hipt|htc_|inno|ipaq|ipod|jigs|kddi|keji|leno|lg-c|lg-d|lg-g|lge-|lg/u|maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|nec-|newt|noki|palm|pana|pant|phil|play|port|prox|qwap|sage|sams|sany|sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo|teli|tim-|tosh|tsm-|upg1|upsi|vk-v|voda|wap-|wapa|wapi|wapp|wapr|webc|winw|winw|xda\ |xda-).* [NC]
    RewriteCond %{HTTP:Accept-Encoding} gzip
    RewriteCond %{HTTPS} on
    RewriteCond %{DOCUMENT_ROOT}/wp-content/cache/supercache/%{SERVER_NAME}/$1/index.html.gz -f
    RewriteRule ^(.*) “/wp-content/cache/supercache/%{SERVER_NAME}/$1/index.html.gz” [L]
    RewriteCond %{REQUEST_URI} !^.*[^/]$
    RewriteCond %{REQUEST_URI} !^.*//.*$
    RewriteCond %{REQUEST_METHOD} !POST
    RewriteCond %{QUERY_STRING} !.*=.*
    RewriteCond %{HTTP:Cookie} !^.*(comment_author_|wordpress_logged_in|wp-postpass_).*$
    RewriteCond %{HTTP:X-Wap-Profile} !^[a-z0-9\”]+ [NC]
    RewriteCond %{HTTP:Profile} !^[a-z0-9\”]+ [NC]
    RewriteCond %{HTTP_USER_AGENT} !^.*(2.0\ MMP|240×320|400X240|AvantGo|BlackBerry|Blazer|Cellphone|Danger|DoCoMo|Elaine/3.0|EudoraWeb|Googlebot-Mobile|hiptop|IEMobile|KYOCERA/WX310K|LG/U990|MIDP-2.|MMEF20|MOT-V|NetFront|Newt|Nintendo\ Wii|Nitro|Nokia|Opera\ Mini|Palm|PlayStation\ Portable|portalmmm|Proxinet|ProxiNet|SHARP-TQ-GX10|SHG-i900|Small|SonyEricsson|Symbian\ OS|SymbianOS|TS21i-10|UP.Browser|UP.Link|webOS|Windows\ CE|WinWAP|YahooSeeker/M1A1-R2D2|iPhone|iPod|Android|BlackBerry9530|LG-TU915\ Obigo|LGE\ VX|webOS|Nokia5800).* [NC]
    RewriteCond %{HTTP_user_agent} !^(w3c\ |w3c-|acs-|alav|alca|amoi|audi|avan|benq|bird|blac|blaz|brew|cell|cldc|cmd-|dang|doco|eric|hipt|htc_|inno|ipaq|ipod|jigs|kddi|keji|leno|lg-c|lg-d|lg-g|lge-|lg/u|maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|nec-|newt|noki|palm|pana|pant|phil|play|port|prox|qwap|sage|sams|sany|sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo|teli|tim-|tosh|tsm-|upg1|upsi|vk-v|voda|wap-|wapa|wapi|wapp|wapr|webc|winw|winw|xda\ |xda-).* [NC]
    RewriteCond %{HTTP:Accept-Encoding} gzip
    RewriteCond %{HTTPS} on
    RewriteCond %{DOCUMENT_ROOT}/wp-content/cache/supercache/%{SERVER_NAME}/$1/index-https.html -f
    RewriteRule ^(.*) “/wp-content/cache/supercache/%{SERVER_NAME}/$1/index-https.html” [L]
    RewriteCond %{REQUEST_URI} !^.*[^/]$
    RewriteCond %{REQUEST_URI} !^.*//.*$
    RewriteCond %{REQUEST_METHOD} !POST
    RewriteCond %{QUERY_STRING} !.*=.*
    RewriteCond %{HTTP:Cookie} !^.*(comment_author_|wordpress_logged_in|wp-postpass_).*$
    RewriteCond %{HTTP:X-Wap-Profile} !^[a-z0-9\”]+ [NC]
    RewriteCond %{HTTP:Profile} !^[a-z0-9\”]+ [NC]
    RewriteCond %{HTTP_USER_AGENT} !^.*(2.0\ MMP|240×320|400X240|AvantGo|BlackBerry|Blazer|Cellphone|Danger|DoCoMo|Elaine/3.0|EudoraWeb|Googlebot-Mobile|hiptop|IEMobile|KYOCERA/WX310K|LG/U990|MIDP-2.|MMEF20|MOT-V|NetFront|Newt|Nintendo\ Wii|Nitro|Nokia|Opera\ Mini|Palm|PlayStation\ Portable|portalmmm|Proxinet|ProxiNet|SHARP-TQ-GX10|SHG-i900|Small|SonyEricsson|Symbian\ OS|SymbianOS|TS21i-10|UP.Browser|UP.Link|webOS|Windows\ CE|WinWAP|YahooSeeker/M1A1-R2D2|iPhone|iPod|Android|BlackBerry9530|LG-TU915\ Obigo|LGE\ VX|webOS|Nokia5800).* [NC]
    RewriteCond %{HTTP_user_agent} !^(w3c\ |w3c-|acs-|alav|alca|amoi|audi|avan|benq|bird|blac|blaz|brew|cell|cldc|cmd-|dang|doco|eric|hipt|htc_|inno|ipaq|ipod|jigs|kddi|keji|leno|lg-c|lg-d|lg-g|lge-|lg/u|maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|nec-|newt|noki|palm|pana|pant|phil|play|port|prox|qwap|sage|sams|sany|sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo|teli|tim-|tosh|tsm-|upg1|upsi|vk-v|voda|wap-|wapa|wapi|wapp|wapr|webc|winw|winw|xda\ |xda-).* [NC]
    RewriteCond %{HTTP:Accept-Encoding} gzip
    RewriteCond %{HTTPS} on
    RewriteCond %{DOCUMENT_ROOT}/wp-content/cache/supercache/%{SERVER_NAME}/$1/index.html -f
    RewriteRule ^(.*) “/wp-content/cache/supercache/%{SERVER_NAME}/$1/index.html” [L]

    # BEGIN WordPress
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteRule ^index\.php$ – [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]
    </IfModule>

    # END WordPress

    #2286147
    Li-An
    Modérateur
    Maître WordPress
    22844 contributions

    Il va nous falloir plus d’infos. L’URL du site, l’hébergeur, les extensions et le thème si possible. D’aprés le htaccess vous seriez toujours en php 5.xxx ? Et la version de WP installée.

    Copiez votre htaccess actuel (il y a beaucoup de code un peu étrange qui semble lié à Super Cache) et mettez en place un htaccess ne contenant que

    # BEGIN WordPress
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteRule ^index\.php$ – [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]
    </IfModule>

    # END WordPress

    Renommez wp-content/plugins en pluginsOLD pour désactiver les extensions.

    #2286148
    boule14
    Participant
    Initié WordPress
    37 contributions

    Avez-vous une sauvegarde de votre site ? si oui il faut revenir à point antérieur à l’infection. Puis faire toutes les mises à jour.

    Dans tous les cas, nettoyer un site requiert de trouver la source du code malveillant. Il faut rechercher par date de modification quel fichier a été ajouté ou modifié et éliminer toute source de code qui n’a rien à faire là. Après quoi il faut s’assurer de combler la faille par laquelle est entré le code.

    un lien à ce sujet  :https://aide-memoire.blog-machine.info/linux-trouver-les-fichiers-modifies-depuis-un-certains-temps-jours-minutes/

    Dans tous les cas il faut pouvoir faire une comparaison entre le code avant et après modification. Donc besoin d’une sauvegarde. Dans le cas du core de WordPress, ça ne pose pas de problème, ni pour les extensions qu’on peut télécharger séparément, mais c’est plus compliqué pour un thème enfant par exemple, ou un module custom si vous n’avez pas de sauvegarde.

    #2286158
    MSCerise
    Participant
    Initié WordPress
    10 contributions

    Je viens de modifier l’.htaccess avec uniquement les lignes de codes données et il m’indique un internal server error

    http://www.ransyavocats.be

    Avant ceci, j’avais uniquement renommé les plugins-OLD et le dossier ransy-OLD pour le thème et le lien du site affichait une page blanche sans redirection de hack.

    Je suis un peu néophyte en la matière et je ne suis pas la personne qui ai créé le site 🙁 je reprends tout depuis le hack..

    J’ai téléchargé la version indiquée via ce lien https://fr.wordpress.org/download/releases/  branche 5.3 et ai suivi toutes les instructions de ce lien : https://wpfr.net/support/sujet/solutions-de-depannage-pour-un-site-hacke-pirate/

    Je n’ai toujours pas accès à mon wp-login qui lui est toujours redirigé quoi que je fasse

    Merci

     

     

    #2286163
    ferman
    Participant
    Maître WordPress
    1517 contributions

    Bonjour,

    dossier ransy-OLD pour le thème et le lien du site affichait une page blanche sans redirection de hack.

    Avez vous vérifié que vous avez un des thèmes par défaut de wordpress (twenty….) dans votre dossier thèmes?

    et si oui, qu’il est bien pris en compte quand vous renommez en ransy-OLD : dans phpmyadmin->dans votre base de données->table wp-options->page 2 ->lignes template et style sheet.

    Pour ces deux lignes, les option_value doivent avoir le même nom que le dossier du thème.

    • Cette réponse a été modifiée le il y a 2 semaines et 5 jours par ferman.
    #2286167
    Li-An
    Modérateur
    Maître WordPress
    22844 contributions

    Il faut que vous passiez la version de php en 7.3 (5.6+ grand minimum). On ne sait même pas quelle version tourne. Les premières lignes du htaccess gérait la version de php mais ça reste vague.

    Vous pouvez essayer de remettre

    SetEnv PHP_VER 5
    SetEnv REGISTER_GLOBALS 0

    mais c’est vraiment une solution provisoire. Il faudrait voir la doc de votre hébergeur.

     

    #2286168
    MSCerise
    Participant
    Initié WordPress
    10 contributions

    Bonjour,

    Ayant réinstallé les fichiers de la nouvelle version téléchargée j’ai dans mon dossier thèmes:

    twentyseventeen / nineteen / twenty

    j’ai également des fichiers MO et PO mais pour twentyten / thirteen / twelve / eleven (ces fichiers étaient déjà existants) et un index.php

    Par contre quand je me connecte à phpmyadmin… je n’ai pas de table wp-options 🙁

    Voici le nom des tables.. par contre je ne comprends pas pourquoi il y a des tables qui ressemblent à du e-commerce alors que c’est un site d’avocat -_-

     

    Les tables sont nommées : jos_

    Et aucune ne correspond à wp_options ou jos_options

     

    [post modifié voir remarques réponses ci-dessous sry

    • Cette réponse a été modifiée le il y a 2 semaines et 5 jours par MSCerise.
    #2286169
    MSCerise
    Participant
    Initié WordPress
    10 contributions

    Ah oui… et l’hébergement est chez OVH, mais l’informaticien n’étant plus… j’ai du faire une demande de récupération des NIC HANDLE, c’est en cours, donc je n’ai pas accès à la console OVH 🙁

    #2286170
    ferman
    Participant
    Maître WordPress
    1517 contributions

    Par contre quand je me connecte à phpmyadmin… je n’ai pas de table wp-options

    Tout ce qui précède n’a rien à voir avec les tables dans la base de données et je pense d’ailleurs que ce serait bien si @Li-An pouvait l’enlever (s’il trouve ,comme moi, que ça encombre inutilement. Merci beaucoup d’avance).

    Attendez d’avoir l’accès chez ovh pour pouvoir en dire plus sur les tables présentes ou non.

     

    • Cette réponse a été modifiée le il y a 2 semaines et 5 jours par ferman.
    #2286215
    MSCerise
    Participant
    Initié WordPress
    10 contributions

    Entre temps, je viens de recevoir une version du site datant de 2014.. pensez-vous que je puisse utiliser cette version afin de voir si je peux me connecter à l’admin du site?

    J’ai fait une sauvegarde complète des fichiers actuels (infectés)

    Par contre, effectivement je n’ai pas l’accès à la console OVH actuellement –> je ne peux pas changer le mdp de phpmyadmin (serveur mysql5-7)

    Pour le reste les mdp ont été changés FILEZILLA (pas d’accès non plus en SFTP)

    #2286229
    ferman
    Participant
    Maître WordPress
    1517 contributions

    La plupart des choses que vous pourriez faire: changer le mdp de la base de données, vérifier les tables, voir s’il n’y a pas d’administrateur fantôme, impliquent un accès à phpmyadmin.

    Pour le reste les mdp ont été changés FILEZILLA (pas d’accès non plus en SFTP)

    Quel(s) mot(s) de passe avez-vous réussi à changer par ftp? Votre site est actuellement vide pour le visiteur.

    Quand vous avez réinstallé wp, vous avez bien suivi toutes les instructions de @Flobogo? En particulier, avez-vous vérifié votre dossier uploads et avez -vous re-téléchargé votre thème (les fichiers peuvent être infectés). Si ce n’est pas fait, vous pouvez déjà vérifier ça.

    Pour le site de 2014,  de mon point de vue ce n’est pas une solution à envisager.

    • Cette réponse a été modifiée le il y a 2 semaines et 5 jours par ferman.
    • Cette réponse a été modifiée le il y a 2 semaines et 5 jours par ferman.
    #2286593
    MSCerise
    Participant
    Initié WordPress
    10 contributions

    Bonjour,

    Merci pour votre aide. Concernant le mdp FTP j’ai pu demander au “webmaster” de le changer car lui a accès à la console OVH.. mais lui demander de changer d’autres choses devient alors payant, je n’ai pas d’autre choix que d’attendre le transfert de propriété chez OVH pour avoir accès au tableau de bord et pouvoir tout changer moi-même à partir de là. En attendant.. le site est vide car c’est le seul moyen que j’ai trouvé pour ne pas que les visiteurs arrivent sur un site redirigé vers des sites frauduleux 🙁 J’ai donc renommé le theme-OLD et le plugin-OLD

    Par contre la page http://www.site.be/wp-admin est toujours redirigée vers un site frauduleux et je ne peux donc pas me connecter à l’interface WP alors que j’ai le login et le mdp.. pensez-vous avoir une solution pour que je puisse trouver comment me connecter sans être redirigée?

    Quand je vais dans phpmyadmin (auquel j’ai accès avec l’ancien username et mdp) je ne sais pas comment changer le mdp? .. par contre quand je vais dans la table jos_users, il y a une pléthore d’utilisateurs “registered” (aucun ne s’est connecté depuis 2014, d’autres ont une last visit date avec des 000.0000.00) et des emails en .ru . pl etc… le site internet est un site d’avocat et la base comprend des tables de site e-commerce (je trouve ça très louche)… malheureusement je ne peux pas créer une nouvelle base sans avoir accès à OVH.

    Pouvez-vous me dire ce que je peux faire pour le thème et les plugins? J’ai trouvé le nom du thème utilisé qui est STARKERS, mais il a été complètement personnalisé.

     

    Merci pour votre aide encore!

    #2286633
    studiocreav2com
    Participant
    Padawan WordPress
    84 contributions

    Si le site ne fais pas 10 000 pages… le plus judicieux, au vue de l’ampleur du bordel, serait de repartir sur du neuf ?!
    Un nouvel hébergement à jour
    Une nouvelles install de WP toute propre…
    … juste à réintégrer les contenus

    En tout cas, à chaque fois que j’ai du récupérer ce genre de site tout vérolé, je passe moins de temps à refaire tout qu’à trouver les soucis et sécuriser (surtout quand c’est quelqu’un d’autre qui a construit le site)… idem quand je récupère un espace d’hébergement douteux… j’en change !

    • Cette réponse a été modifiée le il y a 2 semaines et 2 jours par studiocreav2com.
15 sujets de 1 à 15 (sur un total de 18)
  • Vous devez être connecté pour répondre à ce sujet.