Site hacké SoakSoak faille RevSlider (Créer un compte)

  • Statut : non résolu
7 sujets de 1 à 7 (sur un total de 7)
  • Auteur
    Messages
  • #545461
    Julie
    Participant
    Padawan WordPress
    80 contributions

    Bonjour,

    Ma configuration WP actuelle
    – Version de WordPress : 4.1
    – Version de PHP/MySQL : nsp
    – Thème utilisé : rttheme 17
    – Extensions en place : RevSlider entre autres…
    – Nom de l’hebergeur : OVH
    – Adresse du site : http://www.saliege.fr

    Problème(s) rencontré(s) :
    Bonjour
    Mon site fait partie des 100000 sites qui ont été piraté suite à l’exploitation de la faille du plugin RevSlider, qui fait partie du thème que j’ai utilisé.
    Pour faire court, j’ai lutté en
    – mettant le plugin RevSlider à jour
    – installant le plugin Wordfence pour dégommer tous les fichiers malveillants.

    Je pensais avoir résolu le problème mais en fait de nouveaux fichiers malveillants continuaient sans cesse de s’installer un peu partout, ainsi que de nouveaux utilisateurs. Je n’ai donc pas fermé toutes les doors.
    Et pour finir, mon site est planté, après que j’ai découvert un joli fichier intitulé “why are you removing my file?” contenant juste ce texte “please don’t remove it”.

    Il ne me reste plus qu’à réinstaller mon site à partir de zéro, je suppose ?

    Deux questions :
    – pouvez-vous me décrire la marche à suivre, je ne l’ai jamais fait. Je supprime tous les fichiers du www, et j’installe un index.php à la place pour commencer ? Et ensuite je redéveloppe le site en local en réimportant la bdd et les fichiers de wp-content ?
    – en réinstallant ces fichiers, ne risque-je pas de copier du code malveillant ?

    Merci de m’éclairer…

    Julie

    #987851
    Julie
    Participant
    Padawan WordPress
    80 contributions

    Question subsidiaire : faut il accompagner la page index.html d’un htaccess ?

    #987852
    Franck (fge)
    Modérateur
    Maître WordPress
    9576 contributions

    Extensions en place : RevSlider entre autres…
    […]
    Je n’ai donc pas fermé toutes les doors.

    Tu devrais peut-être les citer si jamais quelqu’un pouvait te dire si une extension présente une éventuelle vulnérabilité. il faut aussi vérifier le thème et le PC à la recherche d’éventuels “rootkits”…
    Le mieux pour être fixé serait d’analyser les journaux Apache à la recherche des requêtes qui infectent le site.

    Il ne me reste plus qu’à réinstaller mon site à partir de zéro, je suppose ?

    Pas forcément si tu as une sauvegarde saine dans un coin que tu pourrais utiliser. Tu peux aussi essayer de te servir de ce tutoriel pour nettoyer le site existant.

    Et ensuite je redéveloppe le site en local en réimportant la bdd et les fichiers de wp-content ?

    Pourquoi passer par un site en local et ne pas repartir directement en ligne avec une extension de maintenance par exemple ?

    – en réinstallant ces fichiers, ne risque-je pas de copier du code malveillant ?

    Oui, il faut les inspecter auparavant pour s’assurer qu’il n’y a pas de malware (pas de fichiers .exe, .js, .pl …) dans l’arborescence et que les dates de modifications soient cohérentes. Il faut vérifier les fichiers en ciblant en priorité ceux dont la date de création / modification est un peu antérieure à la date de l’infection (à faire sur le serveur, le rapatriement FTP modifiera les dates).

    #987853
    Julie
    Participant
    Padawan WordPress
    80 contributions

    Merci pour ta réponse.
    Je vais étudier tout ça calmement.
    Je suis sous Mac et pas sur PC, ça non plus je ne sais pas faire…

    Qu’entends-tu par

    Tu devrais peut-être les citer

    ?

    #987854
    Aphrodite
    Participant
    Maître WordPress
    4750 contributions

    lister TOUTES les extensions mentionnées dans le “entre autres” 🙂

    #987855
    Julie
    Participant
    Padawan WordPress
    80 contributions

    Ah oui pardon !
    Je m’exécute :
    – Contact form 7
    – Google XML sitemap
    – really simple captcha
    – RevSlider donc
    – Shareaholic
    – Simple lightbox
    – wordpress seo
    – wp sitemap page
    Elles étaient toutes à jour (hormis RevSlider donc)

    Et quand tu dis, fge, “il faut les inspecter auparavant pour s’assurer qu’il n’y a pas de malware (pas de fichiers .exe, .js, .pl …)” : existe-t-il une liste exhaustive de ce qui est contenu dans les “…” ? 🙂

    #987856
    Franck (fge)
    Modérateur
    Maître WordPress
    9576 contributions

    Je suis sous Mac et pas sur PC, ça non plus je ne sais pas faire…

    Windows, Mac ou Linux, cela ne change pas grand chose sur le principe, ce sont juste les logiciels pour faire les différentes opérations qui changent. Il faut suivre les opérations décrites dans l’article. Les anti-malwares par exemple existent sur les 3 plate-formes que j’ai citées.

    Elles étaient toutes à jour (hormis RevSlider donc)

    Je ne vois pas pas d’autres extensions sur lesquelles il y aurait eu des failles identifiées et publiées récemment dans la liste… Il faut peut-être aussi vérifier le thème…

    existe-t-il une liste exhaustive de ce qui est contenu dans les “…” ?

    En règle générale, il ne doit pas y avoir de fichiers exécutables ou de scripts… La liste des langages de scripts est plutôt longue… J’aurais pu ajouter .vb* mais aussi .*sh ou .py qui n’ont rien à faire dans un répertoire wp-content (mais peuvent être utilisé ailleurs normalement hors arborescence www par un hébergeur pour faire des sauvegardes par exemple).

7 sujets de 1 à 7 (sur un total de 7)
  • Vous devez être connecté pour répondre à ce sujet.