Hack site Wordpress

[iNCiTE Web]

Bonjour

J'ai un problème avec un site depuis un moment, quand on y accède depuis un mobile (uniquement), on est redirigé vers une plateforme d'affiliation type Affimobiz puis vers des sites genre mescoquines ou autre sites pas vraiment liés à la thématique d'origine !

Si on retente d'y accéder en tapant l'URL, on arrive bien sur le site ; idem si on recommence plus tard. Par contre le lendemain on a à nouveau la redirection (cookie sûrement)

Le problème ne se produit pas si on est en navigation privée ou en refusant tous les cookies, de même que sur les PC fixes.

On a modifié les login et mots de passe, désactivé toutes les extensions (mais le mal était déjà fait certainement), installé les extensions de contrôle de sécurité WordPress et appliqué toutes les recommandations.

Il doit y avoir une redirection dans un header, mais je ne connais pas suffisamment le CMS pour savoir où chercher ; il y a des milliers de fichiers...

Les tests avec les outils de contrôle de header ne donnent rien.

Le site est www.redacteurweb44.fr

Si quelqu'un a une idée ou a déjà été confronté à un problème similaire ?

Le dernier recours serait de tout réinstaller, mais tout a été personnalisé, et ça représente un drôle de boulot.

Merci d'avance.

[yuston]

Essaie de changer de thèmes déjà pour voir si le code malicieux se trouve dans le thème ou dans le core? Si c'est le core, suffit de réinstaller (par copier-écraser) avec une copie saine de Wordpress.

Sinon par tout personnaliser, tu veux dire les fichiers thèmes ou tu as modifié les fichiers de base de Wordpress aussi (ce qu'il faut éviter de faire!)?

[iNCiTE Web]

Salut

Merci pour la réponse - Je n'ai pas modifié le core, uniquement les fichiers de thèmes (en passant par Apparence/Editeur)

Le problème est qu'il est très difficile de tester car une fois que la redirection a eu lieu, il y a visiblement une tempo ; j'ai effacé les données de Safari mais je n'ai pas reproduit le problème.

Tu peux faire l'essai sur un Smartphone ? (je suis passé en 3.9.2, peut-être que le hack était dans le core justement, et il aurait été mis à jour par écrasement ?)

[Dan]

J'ai testé au départ d'un Iphone, sans me faire rediriger. L'Iphone était connecté en WiFi

[iNCiTE Web]

Salut Dan

Merci beaucoup pour le test ; en effet je ne reproduis plus le problème, je suppose donc que le hack était dans un fichier qui a été remplacé dans la 3.9.2 (à noter qu'une réinstallation automatique depuis le menu de la version en place n'avait pas réglé le problème)

Je contrôlerai demain à nouveau !

Grrrr j'aime pas les CMS grand public !

[Kioob]

Bonjour,

dans le doute je t'invite à passer un petit coup de clamav sur le site. En effet ce dernier repère une bonne partie des backdoors habituellement laissées par ce genre de «script kiddies» :

nice  clamscan --infected --recursive /dossier-de-ton-site/

[Dadou]

Je viens de tester avec mon téléphone, et j'ai été redirigé

[iNCiTE Web]

Merci à vous pour vos tests... J'ai aussi été redirigé en testant de chez moi, donc l'IP doit jouer aussi...

Je vais voir pour clamav (il est en standard sur les sévères infogérés ?)

Quelle galère...

[Kioob]

Sous Debian tu peux l'installer simplement via un :

apt-get install clamav-base

[Dan]

clamscan ne donne rien !

----------- SCAN SUMMARY -----------Known viruses: 2424225Engine version: 0.98.1Scanned directories: 439Scanned files: 3786Infected files: 0Data scanned: 112.66 MBData read: 67.48 MB (ratio 1.67:1)Time: 23.591 sec (0 m 23 s)

Mais en le passant récursivement sur /home, il a trouvé ceci dans des répertoires de mails qui n'a rien à voir avec ta redirection :

/home/smc/imap/smcdepannage.com/contact/Maildir/new/1401188346.H641820P22580.inciteweb.com: Suspect.DoubleExtension-zippwd-15 FOUND/home/smc/imap/smcdepannage.com/contact/Maildir/new/1370047795.H857965P14660.inciteweb.com: Win.Trojan.7969526 FOUND/home/smc/imap/smcdepannage.com/contact/Maildir/new/1401290785.H609653P20257.inciteweb.com: Suspect.DoubleExtension-zippwd-15 FOUND/home/smc/imap/smcdepannage.com/contact/Maildir/new/1401375607.H274280P18916.inciteweb.com: Suspect.DoubleExtension-zippwd-15 FOUND

[iNCiTE Web]

Bonjour

Bon et bien nous en sommes au même point...

On est d'accord que c'est un "Header" ou équivalent, donc forcément avant toute sortie écran, ça devrait pourtant limiter le périmètre des recherches, mais non rien que de chercher les entêtes dans WP, ça donne le tournis tellement il y a de fichiers

@Dan : merci bien de l'info ; en revanche je laisse mes clients se débrouiller avec leurs e-mails infectés... à eux d'avoir l'antivirus qui va bien de l'autre côté

Je vais continuer à chercher un peu au hasard ; la communauté WP donne des réponses standard, tout a été appliqué (il existe pleins d'extensions de sécurité, rien ne prouve que ça ne soit pas des fakes !)

A+

[Dadou]

Dans ces cas la, le mieux est de mettre le site en maintenance, faire un gros backup de tout ça, vider complètement le FTP et la BDD, et refaire une installation propre

[julie971]

Bonjour,

cela m'est déjà arrivé sur un site wordpress.

Je viens de faire un test sur votre site et pas de virus.

Avez-vous résolu le problème ?

Cordialement

[Nicolas]

Bonjour,

Le hack n'est pas forcement dans le header.

Cela peut être un code de type eval(base64_decode qui peut être dans un fichier du template (par exemple).

Attention ce type de code peut être légitime. Si tu en trouves il ne faut pas le supprimer sans savoir ce qu'il fait...

Tu peux lancer une commande linux afin de connaitre le fichiers qui ont été modifiés depuis ta dernière mise à jour du noyau / template / ...

Il va te sortir une listes de fichiers y compris des fichiers de "cache" mais tu trouveras p-e des pistes parmi les autres fichiers.

[Portekoi]

Salut,

J'ai déjà eu un hack sur un wordpress. La solution pour moi a été de télécharger une version saine depuis le site officiel et de l'uploader en écrasant tous les fichiers.

Une mise à jour WP n'écrase pas tous les fichiers.

Il faut donc faire une sauvegarde du site et tout renvoyer. Le fichier WO-Content/Themes et Plugins ne sont normalement pas impactés.

Réactiver ensuite les plugins de confiance : ceux qui sont à jour et maintenus.

Ciao

Portekoi

[iNCiTE Web]

Bonjour

Merci à tous pour vos réponses. Le hack étant toujours présent, je pense que je n'ai plus qu'à faire un backup et recharger une version propre.

Je vous tiens au courant

[SStephane]

Si tu veux mon avis, tu oublies tout tes fichiers wordpress actuels, et ne conserves que ta bdd (et le répertoire de contenus, images etc. wp-content de mémoire), tu fais une réinstall vierge à partir de ta version de WP et des modules/thèmes qui correspondent à ta bdd puis tu changes la conf pour faire pointer vers ta bdd.

Tu croises les doigts, mais normalement tu verras apparaitre ton site pas vérolé.

Ensuite, bien sur, tu mets à jour module et core (sinon rebelote dans pas longtemps).

C'est bien plus facile comme ça, et au moins, tu es sur de ne plus avoir de fichiers modifiés merdiques au milieu de ton site.

[Portekoi]

Attention, le hack qui me concernait, insérait des données dans la table meta.

Il faut contrôler les valeurs (avec un like'%%').

Mais je suis d'accord avec SStephane sur le fait de tout supprimer et d'uploader ensuite ton thème et tes plugins (mis à jour).

Autre chose : le hack avait placé des fichiers php dans le dossier upload.

[captain_torche]

Sincèrement, quand je lis tous vos retours, ça ne me convainc vraiment pas d'utiliser WP.

[Dadou]

Ca fait plusieurs années que j'utilise wordpress sur plusieurs sites et aucun soucis de sécurité, mais il faut dire que les plug-in que j'utilise sont réduits, les mise à jours sont faites régulièrement, surtout que maintenant les principales maj de sécurités sont faites automatiquement.

Les principales failles de sécurité sur tous les CMS proviennent en général des plug-in, on trouve de tout et n'importe quoi

[Portekoi]

Pour ma part, je n'avais pas mis à jour mon WP pendant un long moment.

Depuis, la version 3, WP intègre une mise à jour automatique. Y a juste les plugins à surveiller mais cela réduit pas mal le risque de hack.

Je recommande WP car une fois qu'on le maitrise un peu, ça dépote

[iNCiTE Web]

Je suis pas fan je dois dire... (et alors que dire de Prestashop) ; pas des fonctionnalités mais de la facilité à se faire hacker, notamment par le fait que le code source soit public.

Pour mes e-commerces j'ai fait le choix d'un solution propriétaire, plus de problème de ce côté.

C'est le site d'un fournisseur, je n'ai pas choisi la solution employée...

Je continue de chercher avant d'appliquer la solution finale (pas glop)

Merci

[Portekoi]

Pour la solution de tout remplacer :

Est-ce un gros WP?

Y a-t-il beaucoup de "médias" (photos, documents etc)?

Niveau plugin, y en a t il beaucoup?

Les thèmes?

Si les deux premières réponses sont négatives, cela ne sera pas (trop) dur à faire.

Ensuite, tu peux le nettoyer comme expliquer ici (hop, de la pub pour bibi ) :

http://blog.portekoi.com/accelerer-wordpress-sur-les-gros-sites/

Bon courage,

[iNCiTE Web]

Non le site est tout récent, seulement quelques articles et quasiment pas de médias...

Il y a pas mal de plugins en revanche (et le hack vient probablement de l'un d'eux)

Un seul thème utilisé, mais assez personnalisé (dans ses propres options et via l'éditeur)

Donc en effet ça ne devrait pas être trop long.

[SStephane]

Wordpress a depuis ses dernières versions une gestion cohérente des medias ce qui n'était pas le cas avant (cela fait défaut à 95% des CMS). Il est aujourd'hui très correct avec en plus un gestionnaire shell ( http://wp-cli.org ) qui manquait cruellement.

Franchement, ça tient la route, après comme tout CMS, ça se maintient.