Désinfecter un site

[Rico59]

Bonjour,

 

Depuis quelques semaines, mon site internet affiche (via Avast - oui je sais c'est caca, je viens de télécharger Antivir ) la présence d'une saleté sur la page principale, ce qui bloque les navigateurs et provoque même une alerte sur Google.

 

Le virus se trouverait sur http://61.155.8.157/iframe/wp-stats.php qui évidemment n'est pas mon site.

Le nom de fichier par contre correspond à un vrai puisque j'utilise Wordpress. Ceci dit je remarque à l'instant que le fichier soi-disant infecté a changé puisque c'était un autre auparavant (autre fichier que j'avais effacé d'ailleurs, ce qui n'a pas empêché les alertes de se poursuivre).

 

Quelqu'un saurait-il comment je peux me débarrasser de ce truc sans avoir à vider mon site puis tout recréer ? Y a-t-il un logiciel capable de faire ça ? Comme j'ai plusieurs sites hébergés sur la même base, tout refaire serait un boulot énorme.

Comme c'est du Wordpress, je me suis aussi demandé si ça ne venait pas d'un lien inclus dans un profil d'utilisateur ou un spam, mais je supprime systématiquement les utilisateurs bidons et faux commentaires.

 

Merci pour votre attention.

[Greywolf]

Comment se manifeste l'infection de ta page principale ? du code injecté dynamiquement dans le source ou une modification en dur du fichier html/php/asp ?

 

ça me fait penser à la faille iframe installée par un kit d'exploitation Mpack fin 2007 sur de nombreux serveurs web faillibles (obtention du compte root de la machine, copie de fichiers php planqués dans l'arborescence qui autorisent une édition des fichiers du site) ... mieux en ce moment, du code peut être injecté dans l'espace mémoire du processus apache et réécrire à la volée les fichiers servis aux clients : http://www.secureworks.com/research/threat...at=linuxservers

 

sinon, il apparait qu'il y a une faille dans WordPress

http://wordpress-tuto.fr/vulnerabibilite-w...wp-statsphp-381

 

1. Supprimer ou renommer xmlrpc.php pour que l’on ne puisse plus accéder à votre blog par ce biais.

2. Chercher quels sont les articles infestés en affichant la source de la page et en cherchent dedans la chaine “iframe”. Nettoyer déjà ces articles.

3. Demander un réexamen de votre site à StopBadware.org qui aura sans doute déjà commencer à empêcher l’accès à votre site via Google. Connectez-vous à votre compte Google Webmaster Tools et demandez un réexamen de votre site si le messag “ce site risque d’endommager votre ordinateur” s’affiche dans les résultats de Google.

4. Supprimer les derniers utilisateurs inscrits à votre blog si vous ne les connaissez pas.

5. Empêcher la possibilité de créer des nouveaux utilisateurs (c’est, en général, inutile de toute façon, si vous trouvez un rédacteur, vous pouvez lui créer son compte et les simples lecteurs peuvent commenter sans se créer de compte chez vous).

6. Chassez les éventuels autrres articles infesté en lançant cette recherche dans la base : SELECT * FROM wp_posts WHERE post_content like '%IFRAME%' ;

(pour autant que vous ayiez installé WorPress en gardant le paramètre par défaut “wp_” comme paramètre des tables).

 

ensuite, mettre à jour ta version de WordPress en espérant que la faille est corrigée. Et si le coeur t'en dit, tu peux coder un petit module de filtrage des entrées saisies par les visiteurs lorsqu'ils postent un billet.