Site web infesté par "Blackhole Exploit Kit"

[gabier]

Bonjour,
Je suis webmestre, et mon site web http://www.chomage-et-monnaie.org est infesté par le "Blackhole Exploit Kit". J'ai mis du temps à comprendre ça car de mon côté je ne constate rien (sans doute, comme je l'ai appris plus tard, parce que je suis à jour de partout), mais certains de mes utilisateurs m'ont avisé qu'ils recevaient de leurs antivirus (AVG, Avast) des avis de tentative d'infection et même empêchement par l'antivirus d'accéder au site.
Je commence à comprendre comment ça marche, grâce au descriptif qu'il y a ici sur ce que c'est qu'un Exploit Kit. Mais je ne sais pas comment m'en débarrasser. Le site est géré par WordPress et est en hébergement mutualisé chez OVH.
J'ai dernièrement créé un site clone dans le même domaine, qui utilise une autre base de données, mais apparemment il a été aussitôt infecté aussi. Il faut dire que pour ce clone WordPress a été réinstallé à partir de zéro, mais évidemment je dois réinjecter dedans la personnalisation du site (c'est du code php), et les articles qui étaient dans l'ancien. Tous ces fichiers ont été passés nà l'antivirus (avast) avant réinjection, mais apparemment cela n'a pas suffit.
Maintenant que je sais recréer le site, je vais vraiment le récréer à partir de zéro, avec suppression totale de l'ancien site (donc interruption du service) et recréation. Mais là encore il faudra réinjecter des fichiers potentiellement contaminés.
Comme vous voyez, j'agis un peu au hasard. je préfèrerais avoir un logiciel qui cherche dans le code de WordPress ou le mien la signature du malware. Mais cela existe-t-il ?
Ou peut-être ce site n'est-il pas approprié, mais y en a-t-il d'autres pour les webmestres ?
Tout avis ou conseil serait vraiment bienvenu.
gabier

[Malekal_morte]

Salut,

Comme là : http://forum.malekal.com/probleme-virus ... ml#p344451

BlackHole_javascript.png

BlackHole_javascript2.png

Il n'y a pas de logiciel qui nettoye automatiquement et je doute que les antivirus soient capables de détecter le code malicieux dans tes pages PHP.
C'est à toi de nettoyer le code, si tu sais pas faire, fais toi aider par un ami.
Sinon contacte moi en privé et donne moi les infos de connexion FTP du site que je puisse regarder.


Note qu'il est possible que tes informations de connexion FTP ont été volés par les pirates, ce qui leur permet de remettre le code malicieux, meme après avoir nettoyé le site.
Il serait judicieux de les modifer.

Il serait aussi judicieux de vérifier que le PC utilisé pour se connecter sur le site, ne soit pas infecté - par exemple avec un scan Malwarebyte : https://www.malekal.com/malwarebyte-ant ... les-virus/

[gabier]

Merci de ta réponse rapide et de ta proposition.
je vais commencer par changer mon mot de passe FTP, puis regarder un peu le code si je vois. Je reviendrai de toute manière.
Question: la 1ère image que tu as insérée, tu l'as obtenue en allant sur le site ? Si oui, pourquoi moi je n'obtiens rien ?
gabier

[Malekal_morte]

Si oui, pourquoi moi je n'obtiens rien ?

Parce que l'exploit c'est une fois par IP.
Si tu as une IP fixe, tu l'auras qu'une fois.

[gabier]

Je l'ai eu zéro fois, aussi bien sur mon fixe (Win7 IE10 avast) que mon portable (Win8, IE10, AVG).
??
gabier

[gabier]

Bonjour,
Je crois que j'ai trouvé le code coupable. Un ami testeur m'a dit qu'il n'y a plus d'alerte. J'ai envoyé le code à Malekal_morte par MP pour avoir son avis d'expert.
Si c'est résolu reste à protéger le site pour que ça ne se reproduise plus.
Comment empêcher un internaute mal intentionné d'insérer du code à lui dans les fichiers de WordPress ou les miens ?
Les fichiers sensibles sont ceux de WordPress et du thème c'est-à-dire le code html et php que j'ajoute pour personnaliser le site. Tous ces fichiers ont des permissions 604, c'est-à-dire que le propriétaire peut lire et écrire, le public seulement lire. Autrement dit, un hacker doit, pour écrire dans un fichier, se faire passer pour le propriétaire. Par quel canal peut-il passer ? Le ftp bien sûr, et quoi d'autre vu que le site est en hébergement mutualisé ? Je vais me renseigner chez OVH, mais quelqu'un a-t-il des idées là-dessus ?
gabier

[Malekal_morte]

Merci gabrier pour le code.
J'ai mis à jour https://www.malekal.com/2012/08/28/pira ... malicieux/ pour parler de ce cas là.

Je vais poster sur le sujet identique http://forum.malekal.com/infection-site ... 43662.html
avec la portion de code à virer.

ATTENTION :
Changez vos mots de passe FTP.
j'en profite aussi pour signaler qu'il y a une mise à jour de sécurité pour WordPress : http://blog.sucuri.net/2013/06/wordpres ... lease.html

[gabier]

Bonjour Malekal_morte
Merci pour la mise à jour WordPress je l'ai faite immédiatement. Mais cette aventure n'est pas faite pour me rassurer. Car j'en ai appris beaucoup sur ce site. Les malwares du genre Blackhole Exploit Kit sont un vrai business dont nous, les webmestres semi-pros, sommes les victimes.
En tout cas mon affaire est résolue pour l'instant.
Merci pour ton aide. ce site est fantastique.
gabier

[Malekal_morte]

et oui - faut faire gaffe

[lolololo]

J'ai déjà eu le même souci par le passé et comme toi, n'étant pas entièrement pro, j'ai eu du mal à m'en débarasser... Mon hébergeur de site est 1and1.fr et j'ai un site web Wordpress. A l'époque, j'avais appelé le support technique de 1&1 qui m'avait aidé à résoudre le problème, il ont vraiment été top ! Depuis, j'ai changé mes mots de passe FTP et effectué toutes les mises à jours WP. En fait, le problème était dû au fait que j'avais téléchargé un plug-in un peu douteux, désormais, je fais plus attention.
Malekal, merci pour les infos, on n'est jamais trop armé contre les virus !

[Malekal_morte]