Site web infesté par "Blackhole Exploit Kit"

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Répondre
gabier
newbie
newbie
Messages : 17
Inscription : 21 juin 2013 08:50

Site web infesté par "Blackhole Exploit Kit"

Message par gabier » 21 juin 2013 09:30

Bonjour,
Je suis webmestre, et mon site web http://www.chomage-et-monnaie.org est infesté par le "Blackhole Exploit Kit". J'ai mis du temps à comprendre ça car de mon côté je ne constate rien (sans doute, comme je l'ai appris plus tard, parce que je suis à jour de partout), mais certains de mes utilisateurs m'ont avisé qu'ils recevaient de leurs antivirus (AVG, Avast) des avis de tentative d'infection et même empêchement par l'antivirus d'accéder au site.
Je commence à comprendre comment ça marche, grâce au descriptif qu'il y a ici sur ce que c'est qu'un Exploit Kit. Mais je ne sais pas comment m'en débarrasser. Le site est géré par WordPress et est en hébergement mutualisé chez OVH.
J'ai dernièrement créé un site clone dans le même domaine, qui utilise une autre base de données, mais apparemment il a été aussitôt infecté aussi. Il faut dire que pour ce clone WordPress a été réinstallé à partir de zéro, mais évidemment je dois réinjecter dedans la personnalisation du site (c'est du code php), et les articles qui étaient dans l'ancien. Tous ces fichiers ont été passés nà l'antivirus (avast) avant réinjection, mais apparemment cela n'a pas suffit.
Maintenant que je sais recréer le site, je vais vraiment le récréer à partir de zéro, avec suppression totale de l'ancien site (donc interruption du service) et recréation. Mais là encore il faudra réinjecter des fichiers potentiellement contaminés.
Comme vous voyez, j'agis un peu au hasard. je préfèrerais avoir un logiciel qui cherche dans le code de WordPress ou le mien la signature du malware. Mais cela existe-t-il ?
Ou peut-être ce site n'est-il pas approprié, mais y en a-t-il d'autres pour les webmestres ?
Tout avis ou conseil serait vraiment bienvenu.
:) gabier




Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 92785
Inscription : 10 sept. 2005 13:57
Contact :

Re: Site web infesté par "Blackhole Exploit Kit"

Message par Malekal_morte » 21 juin 2013 10:07

Salut,

Comme là : probleme-virus-blackhole-forum-micro-ed ... ml#p344451
BlackHole_javascript.png
site infecté par Blackhole Exploit
BlackHole_javascript2.png
site infecté par Blackhole Exploit


Il n'y a pas de logiciel qui nettoye automatiquement et je doute que les antivirus soient capables de détecter le code malicieux dans tes pages PHP.
C'est à toi de nettoyer le code, si tu sais pas faire, fais toi aider par un ami.
Sinon contacte moi en privé et donne moi les infos de connexion FTP du site que je puisse regarder.


Note qu'il est possible que tes informations de connexion FTP ont été volés par les pirates, ce qui leur permet de remettre le code malicieux, meme après avoir nettoyé le site.
Il serait judicieux de les modifer.

Il serait aussi judicieux de vérifier que le PC utilisé pour se connecter sur le site, ne soit pas infecté - par exemple avec un scan Malwarebyte : https://www.malekal.com/tutorial_Malware ... alware.php
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

gabier
newbie
newbie
Messages : 17
Inscription : 21 juin 2013 08:50

Re: Site web infesté par "Blackhole Exploit Kit"

Message par gabier » 21 juin 2013 10:41

Merci de ta réponse rapide et de ta proposition.
je vais commencer par changer mon mot de passe FTP, puis regarder un peu le code si je vois. Je reviendrai de toute manière.
Question: la 1ère image que tu as insérée, tu l'as obtenue en allant sur le site ? Si oui, pourquoi moi je n'obtiens rien ?
:) gabier

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 92785
Inscription : 10 sept. 2005 13:57
Contact :

Re: Site web infesté par "Blackhole Exploit Kit"

Message par Malekal_morte » 21 juin 2013 11:04

Si oui, pourquoi moi je n'obtiens rien ?
Parce que l'exploit c'est une fois par IP.
Si tu as une IP fixe, tu l'auras qu'une fois.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

gabier
newbie
newbie
Messages : 17
Inscription : 21 juin 2013 08:50

Re: Site web infesté par "Blackhole Exploit Kit"

Message par gabier » 21 juin 2013 13:19

Je l'ai eu zéro fois, aussi bien sur mon fixe (Win7 IE10 avast) que mon portable (Win8, IE10, AVG).
??
:) gabier


gabier
newbie
newbie
Messages : 17
Inscription : 21 juin 2013 08:50

Re: Site web infesté par "Blackhole Exploit Kit"

Message par gabier » 21 juin 2013 19:14

Bonjour,
Je crois que j'ai trouvé le code coupable. Un ami testeur m'a dit qu'il n'y a plus d'alerte. J'ai envoyé le code à Malekal_morte par MP pour avoir son avis d'expert.
Si c'est résolu reste à protéger le site pour que ça ne se reproduise plus.
Comment empêcher un internaute mal intentionné d'insérer du code à lui dans les fichiers de WordPress ou les miens ?
Les fichiers sensibles sont ceux de WordPress et du thème c'est-à-dire le code html et php que j'ajoute pour personnaliser le site. Tous ces fichiers ont des permissions 604, c'est-à-dire que le propriétaire peut lire et écrire, le public seulement lire. Autrement dit, un hacker doit, pour écrire dans un fichier, se faire passer pour le propriétaire. Par quel canal peut-il passer ? Le ftp bien sûr, et quoi d'autre vu que le site est en hébergement mutualisé ? Je vais me renseigner chez OVH, mais quelqu'un a-t-il des idées là-dessus ?
:) gabier

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 92785
Inscription : 10 sept. 2005 13:57
Contact :

Re: Site web infesté par "Blackhole Exploit Kit"

Message par Malekal_morte » 22 juin 2013 10:37

Merci gabrier pour le code.
J'ai mis à jour https://www.malekal.com/2012/08/28/pirat ... malicieux/ pour parler de ce cas là.

Je vais poster sur le sujet identique infection-site-decode-ahr-exploit-blacole-t43662.html
avec la portion de code à virer.

ATTENTION :
Changez vos mots de passe FTP.
j'en profite aussi pour signaler qu'il y a une mise à jour de sécurité pour WordPress : http://blog.sucuri.net/2013/06/wordpres ... lease.html
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

gabier
newbie
newbie
Messages : 17
Inscription : 21 juin 2013 08:50

[RESOLU] Site web infesté par "Blackhole Exploit Kit"

Message par gabier » 22 juin 2013 16:28

Bonjour Malekal_morte
Merci pour la mise à jour WordPress je l'ai faite immédiatement. Mais cette aventure n'est pas faite pour me rassurer. Car j'en ai appris beaucoup sur ce site. Les malwares du genre Blackhole Exploit Kit sont un vrai business dont nous, les webmestres semi-pros, sommes les victimes.
En tout cas mon affaire est résolue pour l'instant.
Merci pour ton aide. ce site est fantastique.
:) gabier

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 92785
Inscription : 10 sept. 2005 13:57
Contact :

Re: Site web infesté par "Blackhole Exploit Kit"

Message par Malekal_morte » 22 juin 2013 19:26

et oui - faut faire gaffe PDT_001
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
lolololo
newbie
newbie
Messages : 8
Inscription : 22 oct. 2013 15:09

Re: Site web infesté par "Blackhole Exploit Kit"

Message par lolololo » 25 oct. 2013 15:43

J'ai déjà eu le même souci par le passé et comme toi, n'étant pas entièrement pro, j'ai eu du mal à m'en débarasser... Mon hébergeur de site est 1and1.fr et j'ai un site web Wordpress. A l'époque, j'avais appelé le support technique de 1&1 qui m'avait aidé à résoudre le problème, il ont vraiment été top ! Depuis, j'ai changé mes mots de passe FTP et effectué toutes les mises à jours WP. En fait, le problème était dû au fait que j'avais téléchargé un plug-in un peu douteux, désormais, je fais plus attention.
Malekal, merci pour les infos, on n'est jamais trop armé contre les virus ! PDT_011
Dernière édition par lolololo le 28 oct. 2013 14:32, édité 1 fois.
Internet est perdu dans sa toile

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 92785
Inscription : 10 sept. 2005 13:57
Contact :

Re: Site web infesté par "Blackhole Exploit Kit"

Message par Malekal_morte » 25 oct. 2013 19:44

PDT_008
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »