- Statut : non résolu
- Ce sujet contient 40 réponses, 10 participants et a été mis à jour pour la dernière fois par
, le il y a 14 années et 11 mois.
-
Messages
-
Bonjour,
cette nuit TOUS mes sites wordpress ont été piratés
tobechanged.com
amha.fr
maman-geek.comje suis en train de faire une restauration mais putain comment ça a pu arrivé ?
ce script a été implanté dans quasiment tous les fichier !
comment ils s’y sont pris ?!
En général l’attaque porte sur le PC qui sert à mettre à jour les sites ….
Les mots de passes sont en souvent stockés dans les logiciels ftp. Une attaque de ceux-ci etc etc …un conseil vu sur un site d’un hébergeur
a) changer les mots de passes ftp
b) passer un antivirus (plusieurs) sur son poste de travail
c) republierA titre d’info quel est le logiciel ftp que vous utilisez je crains que Filezilla du fait de sa diffusion soit une cible recherchée.
Bonjour BertrandB21
On parle ici d’ « injection de scripts » qui n’a aucunement rapport avec le ftp et les mots de passe, car, même en changeant les mots de passe ftp, cela est complètement inutile vu qu’ils utilisent un script d’injection.
La on ne fait que tourné en rond……
Je te conseil vivement jayfast de mettre ton index.php en chmod 404.
Je sais de quoi je parle j’ai deux site Web, et à tout les deux jours je me fessais hacker, même avec tout les sécurité possible et impossible, jusqu’à ce que je chmod mes dossiers et fichiers en 404, et puis tout est ok maintenant.
Bon courage tout de même.
atomik_head wrote:Je sais de quoi je parle j’ai deux site Web, et à tout les deux jours je me fessais hacker, même avec tout les sécurité possible et impossible, jusqu’à ce que je chmod mes dossiers et fichiers en 404, et puis tout est ok maintenant.Bon courage tout de même.
Oui c’est possible mais à l’origine on parle de modification de tous les php. Ce qui correspond plus à une attaque ne visant pas spécifiquement wordpress. Les injections de scripts sont ciblées.
jayfast wrote:pb de passwrd ? (je suis hyper secure)si le mot de passe est enregistrer sur le PC et non pas rentré à chaque conexion on n’est pas Hyper Secure.
(moi aussi je fais la même erreur 😉 )jayfast wrote:chmod ?ça dépend de l’hébergement … parfois c’est fait d’office les fichiers transférés par ftp sont en read oly pour l’utilisateur d’apache. Mais sur d’autres PHP tourne en su ….
idem chez nous insertion d’un code malicieux sur toutes les pages index.php :
Je ne vois pas par ou ils sont passé pour l’instant … j’épluche les logs
ils n’ont pas fait que modifier les index.php … dans les plugin aussi par exemple podpress le fichier podpress_admin_postedit.js a une adjonction :
document.write(‘‘);… il y en a partout …
Je ne pense pas a une infection de ma machine, je suis sur Mac avec un AV …
Dans Upload il y a un dossier « intéressant » :
wpcf7_captcha qui semble etre le premier qui a était crée le 13 juillet a 22:08 avec deux fichiers :
2110284504.php avec simplement :et une image 2110284504.png qui est le capatcha 28AC
Idem dans les php et les js
par contre je n’ai pas ton fichier…même le « cache » de mon plugin super cache a été infecté
Visiblement il faut chercher plutôt vers le vol de mot de passe par filezilla, effectivement l’une des personnes avec qui on travaille est sous windows/filezilla et les deux sites aux quels cette personne a accès ont été hacké…
donc aucun rapport avec WP
un article pour comprendre :
http://blog.neamar.fr/component/content/article/2-quoi-de-neuf/151-recit-dune-attaque-pas-trop-mechante
- Vous devez être connecté pour répondre à ce sujet.