Site hacké sur long terme (Création de fichier chaque jour)

  • WordPress :5.2
  • Statut : non résolu
7 sujets de 1 à 7 (sur un total de 7)
  • Auteur
    Messages
  • #2273523
    GeoffroyC
    Participant
    Initié WordPress
    3 contributions

    Bonjour à tous,

    Je possède un site avec une certaine renommée, raison pour laquelle je ne souhaite pas communiquer l’url. Néanmoins j’ai un problème depuis plusieurs mois sur ce dernier. En effet plusieurs fois par semaine j’ai des fichiers qui sont modifiés/créés et bien entendu cela redirige mes visiteurs sur des URL frauduleuses. Jamais le hack n’a été de détruire le site ou le rendre inaccessible. Juste récupérer mon trafic.
    Les fichiers modifiés sont divers et variés (parfois le wp-config carrément, parfois juste un fichier ua hasard sur le site et les autres fichiers créés sont toujours avec des noms aléatoires *.php)

    Voici le type de fichier que Wordfence détecte et le genre d’encodage qu’il y a dans les fichiers  – Images jointes

    Actuellement, ne trouvant pas comment les fichiers se crées, je vais nettoyer chaque jour et corriger mais j’aimerais vraiment trouver la source.
    Je suppose que cela doit être un “cron” exécuté tout les X via une URL à distance…mais je ne trouve rien.

    J’ai déjà fais pas mal de choses comme bien entendu changer les login/password du site, de la DB.
    Désactiver des service comme XML-RPC, empêcher les commentaires et création de users temporairement (même si cela n’a normalement pas d’impact). etc.

    Modifié mon HtAccess pour être plus restrictifs. etc.

     

    J’ai envie de trouver par où ils passent et pas juste recréer mon site de zéro pour recharger la DB et risquer ce problème à nouveau dans quelques semaines…surtout si l’accès se trouve dans la DB que je risque de recharger. (et vu la taille du site c’est un gros travail)

    Dans les logs je ne trouve pas non plus comment sont créés ces fichiers.

     

    Une idée de comment procéder pour localiser le problème ? Surtout que j’ai ce problème sur un autre site aussi. (et a priori il a démarré bien après le premier, et pas de plugin en commun ou peu, et rien de vraiment fou)
    De plus j’ai des thèmes à jour, payants, idem les plugins normalement tous à jours, et originaux venant du deposit WP.

     

    Merci pour vos conseils ! 🙂

     

     

     

    Fichiers joints :
    Vous devez être connecté pour voir les fichiers joints.
    #2273546
    Li-An
    Modérateur
    Maître WordPress
    22214 contributions

    Bonjour, seul un nettoyage en profondeur peut vous permettre de vous en tirer. Voyez le tuto très complet sur le sujet https://wpfr.net/support/sujet/solutions-de-depannage-pour-un-site-hacke-pirate/

    #2273548
    PhiLyon
    Modérateur
    Maître WordPress
    23315 contributions

    Bonjour.

    Regardes si tu ne retrouves pas les fichiers incriminés dans cette page https://housseniawriting.com/accueil-forum/topic/attention-aux-fichiers-wp-vcd-php-wp-tmp-php-et-wp-feed-php/

    🙂

    #2273559
    C_Lucien
    Modérateur
    Maître WordPress
    4225 contributions

    Bonjour,

    si la tâche s’avère trop lourde, la collaboration avec l’équipe Wordfence –puisque c’est l’extension prise en défaut, pourrait être envisagée. Les spécialistes de la sécurité sont intéressés par les méthodes inédites d’intrusion. Le cas échéant, leur fournir les fichiers frauduleux sera une contribution utile à tous.

    Bon courage, ce n’est pas une sinécure.

     

    #2273719
    GeoffroyC
    Participant
    Initié WordPress
    3 contributions

    Merci pour vos réponses.
    @Li-An : Déjà nettoyé tout mais soit pas correctement, soit cela n’a pas suffit à supprimer les fichiers corrompus du serveur et cela a recommencé par après 🙁

    @PhiLyon : A priori non ce n’est pas tout à fait la même chose. Moi ici les fichiers sont créés aléatoirement (leur nom et dossier) et rien qui ne ressemble à ses fichiers.

    @C_Lucien : C’est en effet une possibilité, mais je doute qu’ils fassent cela gratuitement, même si WordFence a été pris en défaut… 🙁

     

    #2273761
    C_Lucien
    Modérateur
    Maître WordPress
    4225 contributions

    Bonjour,

    le nettoyage sera probablement un service payant, mais si la “renommée” du site a une valeur…

     

     

    #2273772
    GeoffroyC
    Participant
    Initié WordPress
    3 contributions

    Oui en effet. C’est juste frustrant de se dire que c’est surement un code à un endroit que j’ai zappé et qui leur permet à chaque fois de re-pourrir le tout en quelques minutes:)

7 sujets de 1 à 7 (sur un total de 7)
  • Vous devez être connecté pour répondre à ce sujet.