SITE HACKÉ – URGENT – Merci par avance !! (Créer un compte)

  • Statut : non résolu
  • Ce sujet contient 11 réponses, 4 participants et a été mis à jour pour la dernière fois par didier07, le il y a 5 années.
12 sujets de 1 à 12 (sur un total de 12)
  • Auteur
    Messages
  • #548275
    Marina_WP
    Membre
    Initié WordPress
    21 contributions

    Bonjour à tous, et merci par avance pour votre aide !

    Mon site WordPress sous OVH a été hacké il y a 3 jours, et je ne trouve pas la solution. Ci-dessous les fichiers log et le mail d’OVH.

    Je ne suis pas experte, pourriez-vous SVP me donner la démarche précise pour identifier les fichiers / scripts malveillants et les supprimer ??

    J’ai bien compris qu’il fallait aussi effectuer les tâches suivantes :
    – Effectuer des sauvegardes FTP et base de données : FAIT
    – Modifier tous les mots de passe : FAIT
    – Sécuriser le .htaccess : comment faire ??
    – Il y a un truc avec les chmod via FTP, je n’ai pas compris :(
    – Ajouter le plugin Wordfence une fois tout cela terminé (il y a un autre plugin mieux ?)
    – Mettre à jour WordPress et les plugins
    – Activier mod_security via OVH : je n’ai pas trouvé où et comment faire via la nouvelle ni l’ancienne interface !!

    Je vous remercie 1000 fois par avance, je ne sais vraiment pas comment avancer !!!!

    Merci !!!


    Problème rencontré : Executing deleted program
    Commande apparente : ././crond
    Exécutable utilisé : /homez.566/XXXXXXXX/www/.nfs0000000002ea0c2c00001c98
    Horodatage: 2015-03-22 08:05:03

    Ceci n’est pas autorisé sur nos installations,
    car c’est une tentative potentielle de piratage.

    Si ce n’est pas vous qui avez lancé ce script, cela signifie
    qu’il y a une faille sur votre site et qu’un hacker s’en
    est servi pour réaliser cette opération.

    Nous avons désactivé l’accès web temporairement pour éviter tout
    risque de nouveau piratage.

    Vous pouvez vous connecter via ftp, pour modifier les scripts qui
    peuvent poser problème. Pensez également à mettre à jour les
    logiciels que vous utilisez comme phpnuke, phpbb, etc.



    Voilà la ligne du fichier log du moment de l’infection :

    [Sun Mar 22 08:05:18 2015] [crit] [client 151.228.251.166] [host XXXXXXXXX.fr] (13)Permission denied: /homez.566/XXXXXXXX/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable


    #999309
    Marina_WP
    Membre
    Initié WordPress
    21 contributions

    UP… ! :(

    #999310
    zebluesman
    Membre
    Maître WordPress
    546 contributions

    Bonsoir,
    Je vous rassure votre site n’a certainement pas été hacké mais il a été suspendu par ovh car vous utilisez un plug-in qui émet des “cron” sortes de scripts qui fonctionne automatiquement.

    Il vous suffit de supprimer tous les “cron” que vous trouverez dans votre espace d’hébergement chez ovh et de repérer le plug-in qui utilise se fonctionnement et le supprimer.

    A la suite de cela vous contacter le support OVH qui remet l’accès a votre blog

    #999311
    Marina_WP
    Membre
    Initié WordPress
    21 contributions

    Bonsoir zebluesman et merci pour ta réponse!!!

    J’ai bien vérifié le planificateur de tâches OVH mais il n’y a rien de programmé! Si cela vient d’un des plugins, comment identifier un “cron” via FTP ?

    Merci encore !!

    #999312
    Marina_WP
    Membre
    Initié WordPress
    21 contributions

    Quelqu’un saurait-il svp m’indiquer comment identifier les “cron” ???

    Merci par avance

    #999313
    zebluesman
    Membre
    Maître WordPress
    546 contributions

    il faut regarder directement dans le plugin

    #999314
    Franck (fge)
    Modérateur
    Maître WordPress
    9577 contributions

    Je vous rassure votre site n’a certainement pas été hacké mais il a été suspendu par ovh car vous utilisez un plug-in qui émet des “cron” sortes de scripts qui fonctionne automatiquement.

    Pour moi, une extension WordPress qui exécute automatiquement un fichier /homez.566/XXXXXXXX/www/.nfs0000000002ea0c2c00001c98 j’ai un peu de mal à y croire. Cela ressemble plutôt à un malware installé lors d’une intrusion et ce d’autant que le support parle d'”infection”.

    J’ai bien vérifié le planificateur de tâches OVH mais il n’y a rien de programmé! Si cela vient d’un des plugins, comment identifier un “cron” via FTP ?

    Cela ne se fait par par FTP, cela se fait par une console ssh ou par le panneau de configuration de l’hébergement si c’est prévu. Éventuellement par WordPress (qui émule un cron) mais, dans ce cas, il faut chercher dans le code.

    Essaye de suivre les indications de ce site pour nettoyer WordPress : http://www.iceranking.com/wordpress-seo/guide-complet-pour-nettoyer-et-securiser-wordpress-apres-un-hacking/

    – Sécuriser le .htaccess : comment faire ??

    Il faut vérifier que les droits sur ce fichier ne sont pas en 777 mais en 604 ou 704.
    Tu peut également ajouter un .htaccess pour bloquer ou limiter les accès au répertoire /wp-admin/ pour plus de sécurité.

    – Il y a un truc avec les chmod via FTP, je n’ai pas compris

    Le chmod, c’est la commande qui est exécutée lorsque tu changes les droits UNIX avec filezilla (de 777 vers 604 par exemple).

    #999315
    Marina_WP
    Membre
    Initié WordPress
    21 contributions

    Bonjour à tous et merci pour votre aide !

    Voilà ce que j’ai fais pour l’heure :
    – Réinstallation manuelle de WordPress (sauf wp-content)
    – Nettoyage – comme j’ai pu – de la base de données
    – Suppression et réinstallation des plugins via FTP (installation de Wordfence)

    Mais je continue à être régulièrement coupée par OVH qui identifie du code malicieux dans mes thèmes.

    J’ai supprimé tous les thèmes excepté celui que j’utilise, et continue donc à avoir ce message :
    Problème rencontré : Executing deleted program
    Commande apparente : ././crond
    Exécutable utilisé : /homez.566/XXXXXXwww/wp-content/themes/child/.nfs00000000009c721100005136
    Horodatage: 2015-04-01 07:25:03

    Est-ce que vous sauriez comment nettoyer le dernier thème que je ne peux pas supprimer ? J’ai le plugin Crontrol qui liste les Crons, sinon peut-être chercher du coté de .nfs00000000009c721100005136 ??

    Merci beaucoup par avance !!!

    M

    #999316
    Franck (fge)
    Modérateur
    Maître WordPress
    9577 contributions

    Est-ce que vous sauriez comment nettoyer le dernier thème que je ne peux pas supprimer ?

    Le problème ce n’est pas simplement de nettoyer le thème, c’est identifier la porte d’entrée. Tant que tu n’auras pas trouvée la faille utilisée par le pirate le site va se faire réinfecter.
    Supprime les extensions qui ne sont plus utilisées ni indispensables et que celles qui restent sont à jour et suivies. Vérifie que le thème ne présente pas de faille connues.

    le dernier thème que je ne peux pas supprimer ?

    Pourquoi tu ne peux pas le supprimer ? Tu n’as pas de copie saine que tu pourrais réutiliser dans un coin ?

    #999317
    Marina_WP
    Membre
    Initié WordPress
    21 contributions

    Bonsoir fge, et merci beaucoup pour ton aide !

    En fait j’ai déjà supprimé tout le contenu du ftp excepté le dossier wp-content, puis réinstallé WordPress et ses plugins dans leurs dernières version. J’ai depuis supprimé des fichiers et du code malicieux dans un fichier function.php de wp-content, ainsi que sécurisé le ftp avec des fichiers .htaccess

    Le dernier mail d’OVH précise :
    Problème rencontré : Executing deleted program
    Commande apparente : ././crond
    Exécutable utilisé : /homez.566/XXXX/www/wp-content/themes/twentyfifteen/.nfs00000000009c721100005136
    Horodatage: 2015-04-01 07:25:03

    J’ai donc supprimé le thème Twenty Fifteen, et c’est pourquoi je soupçonne la faille de venir du thème personnalisé actuel (sans copie saine dans un coin que je pourrai réutiliser !!!:boulet:)

    Du coup, qu’en penses-tu pour cette porte d’entrée ?? Une idée de l’endroit où chercher ou de la méthode à employer ? (crond ?)

    Merci mille fois par avance, je commence à désespérer!!

    #999318
    Franck (fge)
    Modérateur
    Maître WordPress
    9577 contributions

    Du coup, qu’en penses-tu pour cette porte d’entrée ??

    Rien. Sans information sur le site on ne peut rien dire. Les portes d’entrée sont souvent des extensions ou des thèmes qui ne sont pas (ou plus) mis à jour. Après il peut aussi y avoir d’autres causes comme des mot de passe trop faible, des malwares sur l’ordinateur…

    Une idée de l’endroit où chercher ou de la méthode à employer ?

    Oui, dans les journaux Apache ou sont inscrites toutes les requêtes faites sur le serveur. Il faut rechercher les requêtes suspectes (URL inhabituelle ou qui déposent des fichiers) les heures / jours avant la détection de l’infection.

    #999319
    didier07
    Participant
    Maître WordPress
    1965 contributions

    Le problème c’est qu’une fois rentré ils promènent. Reprends un WP neuf, des plugins neufs, et regrade TOUS les fichiers de thèmes et de uploads pour chercher s’il y a du code dedans.
    Quand c’est fait, relance le site.

    J’en ai corrigé où il y en avait de partout, on a même des fois des dossiers qui sont apparus.

    Didier

12 sujets de 1 à 12 (sur un total de 12)
  • Vous devez être connecté pour répondre à ce sujet.