Site web infesté par "Blackhole Exploit Kit"

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

gabier
newbie
newbie
Messages : 17
Inscription : 21 juin 2013 08:50

Site web infesté par "Blackhole Exploit Kit"

Message par gabier »

Bonjour,
Je suis webmestre, et mon site web http://www.chomage-et-monnaie.org est infesté par le "Blackhole Exploit Kit". J'ai mis du temps à comprendre ça car de mon côté je ne constate rien (sans doute, comme je l'ai appris plus tard, parce que je suis à jour de partout), mais certains de mes utilisateurs m'ont avisé qu'ils recevaient de leurs antivirus (AVG, Avast) des avis de tentative d'infection et même empêchement par l'antivirus d'accéder au site.
Je commence à comprendre comment ça marche, grâce au descriptif qu'il y a ici sur ce que c'est qu'un Exploit Kit. Mais je ne sais pas comment m'en débarrasser. Le site est géré par WordPress et est en hébergement mutualisé chez OVH.
J'ai dernièrement créé un site clone dans le même domaine, qui utilise une autre base de données, mais apparemment il a été aussitôt infecté aussi. Il faut dire que pour ce clone WordPress a été réinstallé à partir de zéro, mais évidemment je dois réinjecter dedans la personnalisation du site (c'est du code php), et les articles qui étaient dans l'ancien. Tous ces fichiers ont été passés nà l'antivirus (avast) avant réinjection, mais apparemment cela n'a pas suffit.
Maintenant que je sais recréer le site, je vais vraiment le récréer à partir de zéro, avec suppression totale de l'ancien site (donc interruption du service) et recréation. Mais là encore il faudra réinjecter des fichiers potentiellement contaminés.
Comme vous voyez, j'agis un peu au hasard. je préfèrerais avoir un logiciel qui cherche dans le code de WordPress ou le mien la signature du malware. Mais cela existe-t-il ?
Ou peut-être ce site n'est-il pas approprié, mais y en a-t-il d'autres pour les webmestres ?
Tout avis ou conseil serait vraiment bienvenu.
:) gabier

Malekal_morte
Site Admin
Site Admin
Messages : 104604
Inscription : 10 sept. 2005 13:57
Contact :

Re: Site web infesté par "Blackhole Exploit Kit"

Message par Malekal_morte »

Salut,

Comme là : probleme-virus-blackhole-forum-micro-ed ... ml#p344451
site infecté par Blackhole Exploit
site infecté par Blackhole Exploit
site infecté par Blackhole Exploit
site infecté par Blackhole Exploit


Il n'y a pas de logiciel qui nettoye automatiquement et je doute que les antivirus soient capables de détecter le code malicieux dans tes pages PHP.
C'est à toi de nettoyer le code, si tu sais pas faire, fais toi aider par un ami.
Sinon contacte moi en privé et donne moi les infos de connexion FTP du site que je puisse regarder.


Note qu'il est possible que tes informations de connexion FTP ont été volés par les pirates, ce qui leur permet de remettre le code malicieux, meme après avoir nettoyé le site.
Il serait judicieux de les modifer.

Il serait aussi judicieux de vérifier que le PC utilisé pour se connecter sur le site, ne soit pas infecté - par exemple avec un scan Malwarebyte : https://www.malekal.com/tutorial_Malware ... alware.php
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

gabier
newbie
newbie
Messages : 17
Inscription : 21 juin 2013 08:50

Re: Site web infesté par "Blackhole Exploit Kit"

Message par gabier »

Merci de ta réponse rapide et de ta proposition.
je vais commencer par changer mon mot de passe FTP, puis regarder un peu le code si je vois. Je reviendrai de toute manière.
Question: la 1ère image que tu as insérée, tu l'as obtenue en allant sur le site ? Si oui, pourquoi moi je n'obtiens rien ?
:) gabier

Malekal_morte
Site Admin
Site Admin
Messages : 104604
Inscription : 10 sept. 2005 13:57
Contact :

Re: Site web infesté par "Blackhole Exploit Kit"

Message par Malekal_morte »

Si oui, pourquoi moi je n'obtiens rien ?
Parce que l'exploit c'est une fois par IP.
Si tu as une IP fixe, tu l'auras qu'une fois.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

gabier
newbie
newbie
Messages : 17
Inscription : 21 juin 2013 08:50

Re: Site web infesté par "Blackhole Exploit Kit"

Message par gabier »

Je l'ai eu zéro fois, aussi bien sur mon fixe (Win7 IE10 avast) que mon portable (Win8, IE10, AVG).
??
:) gabier

gabier
newbie
newbie
Messages : 17
Inscription : 21 juin 2013 08:50

Re: Site web infesté par "Blackhole Exploit Kit"

Message par gabier »

Bonjour,
Je crois que j'ai trouvé le code coupable. Un ami testeur m'a dit qu'il n'y a plus d'alerte. J'ai envoyé le code à Malekal_morte par MP pour avoir son avis d'expert.
Si c'est résolu reste à protéger le site pour que ça ne se reproduise plus.
Comment empêcher un internaute mal intentionné d'insérer du code à lui dans les fichiers de WordPress ou les miens ?
Les fichiers sensibles sont ceux de WordPress et du thème c'est-à-dire le code html et php que j'ajoute pour personnaliser le site. Tous ces fichiers ont des permissions 604, c'est-à-dire que le propriétaire peut lire et écrire, le public seulement lire. Autrement dit, un hacker doit, pour écrire dans un fichier, se faire passer pour le propriétaire. Par quel canal peut-il passer ? Le ftp bien sûr, et quoi d'autre vu que le site est en hébergement mutualisé ? Je vais me renseigner chez OVH, mais quelqu'un a-t-il des idées là-dessus ?
:) gabier

Malekal_morte
Site Admin
Site Admin
Messages : 104604
Inscription : 10 sept. 2005 13:57
Contact :

Re: Site web infesté par "Blackhole Exploit Kit"

Message par Malekal_morte »

Merci gabrier pour le code.
J'ai mis à jour https://www.malekal.com/2012/08/28/pirat ... malicieux/ pour parler de ce cas là.

Je vais poster sur le sujet identique infection-site-decode-ahr-exploit-blacole-t43662.html
avec la portion de code à virer.

ATTENTION :
Changez vos mots de passe FTP.
j'en profite aussi pour signaler qu'il y a une mise à jour de sécurité pour WordPress : http://blog.sucuri.net/2013/06/wordpres ... lease.html
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

gabier
newbie
newbie
Messages : 17
Inscription : 21 juin 2013 08:50

[RESOLU] Site web infesté par "Blackhole Exploit Kit"

Message par gabier »

Bonjour Malekal_morte
Merci pour la mise à jour WordPress je l'ai faite immédiatement. Mais cette aventure n'est pas faite pour me rassurer. Car j'en ai appris beaucoup sur ce site. Les malwares du genre Blackhole Exploit Kit sont un vrai business dont nous, les webmestres semi-pros, sommes les victimes.
En tout cas mon affaire est résolue pour l'instant.
Merci pour ton aide. ce site est fantastique.
:) gabier

Malekal_morte
Site Admin
Site Admin
Messages : 104604
Inscription : 10 sept. 2005 13:57
Contact :

Re: Site web infesté par "Blackhole Exploit Kit"

Message par Malekal_morte »

et oui - faut faire gaffe PDT_001
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Avatar de l’utilisateur
lolololo
newbie
newbie
Messages : 8
Inscription : 22 oct. 2013 15:09

Re: Site web infesté par "Blackhole Exploit Kit"

Message par lolololo »

J'ai déjà eu le même souci par le passé et comme toi, n'étant pas entièrement pro, j'ai eu du mal à m'en débarasser... Mon hébergeur de site est 1and1.fr et j'ai un site web Wordpress. A l'époque, j'avais appelé le support technique de 1&1 qui m'avait aidé à résoudre le problème, il ont vraiment été top ! Depuis, j'ai changé mes mots de passe FTP et effectué toutes les mises à jours WP. En fait, le problème était dû au fait que j'avais téléchargé un plug-in un peu douteux, désormais, je fais plus attention.
Malekal, merci pour les infos, on n'est jamais trop armé contre les virus ! PDT_011
Dernière modification par lolololo le 28 oct. 2013 14:32, modifié 1 fois.
Internet est perdu dans sa toile

Malekal_morte
Site Admin
Site Admin
Messages : 104604
Inscription : 10 sept. 2005 13:57
Contact :

Re: Site web infesté par "Blackhole Exploit Kit"

Message par Malekal_morte »

PDT_008
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Répondre

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »