OVH Community, votre nouvel espace communautaire.

Blog Wordpress sur hébergement mutualisé piraté


LilyC
13/12/2015, 10h36
En parcourant mes logs, j'ai trouvé quelques actions correspondant aux moments où le pirate a mis ses contenus spammés sur mon site.
Par exemple :

46.45.183.142 lacourdespetits.com - [15/Nov/2015:06:15:23 +0100] "POST /forum/xmlrpc.php HTTP/1.1" 200 187 "http://lacourdespetits.com/forum/xmlrpc.php" "Mozilla/24.0 (Macintosh; Intel Mac OS X 10.8; rv:22.0) Gecko/20100101 Firefox/22.0"
Il y en a pas mal de ce genre, quand des pages de spams ont été postées

213.186.33.82 lacourdespetits.com - [15/Nov/2015:06:15:35 +0100] "POST /forum/wp-admin/upgrade.php?step=upgrade_db HTTP/1.0" 200 27 "-" "WordPress/4.3.1; http://lacourdespetits.com/forum"
Ca si j'ai bien compris c'est OVH vu l'IP (et le fait qu'on la retrouve sur tous mes logs avec des actions sur wp-cron)

2 jours avant
194.44.163.149 lacourdespetits.com - [13/Nov/2015:13:43:20 +0100] "POST /wp-content/uploads/wysija/themes/qptzqqwm/zhlogout.php HTTP/1.1" 200 8 "http://lacourdespetits.com/wp-content/uploads/wysija/themes/qptzqqwm/zhlogout.php" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:22.0) Gecko/20100101 Firefox/22.0"
Donc si je comprends bien il se sert du fichier louche que j'ai trouvé dans mon dossier uploads et d'une faille du plug-in wysija (ce fichier est là depuis très longtemps, je pense qu'il date de l'attaque de juillet 2014 sur ce plug-in notamment... mon plug-in était mis à jour mais le fichier est resté)

Comme tous les pages de spams étaient sur mon nom de domaine sans les www. (alors que mes visites sont toujours sur le www.) j'ai cherché "http://lacourdespetits.com" dans les logs et je vois des trucs que je ne comprends pas comme ça :
5.45.79.44 www.lacourdespetits.com - [09/Sep/2015:14:09:43 +0200] "GET /wp-contentwso.php HTTP/1.1" 404 38941 "http://lacourdespetits.com/wp-contentwso.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
91.200.13.64 www.lacourdespetits.com - [07/Sep/2015:05:56:35 +0200] "GET / HTTP/1.1" 200 65332 "http://lachowicz-kapelski.pl/" "Mozilla/5.0 (X11; Linux i686) AppleWebKit/534.30 (KHTML, like Gecko) Ubuntu/11.04 Chromium/12.0.742.112 Chrome/12.0.742.112 Safari/534.30
Si quelqu'un a quelques minutes (ou un lien vers une page d'explication), je serai ravie !
LilyC
11/12/2015, 18h28
Citation Envoyé par Whyrl
Bonjour,

Peut-on connaitre le nom de domaine de votre hébergement ?
Pouvez vous nous donner le nom du dossier ou se situait les fichiers illégitimes ?

Il est possible de demander une demande de scan de vulnérabilité de votre site web aux équipes OVH.
Je peux dans un premier temps regarder ce qu'il y a.

Cordialement.
Bonjour,
Merci de votre réponse.

Mon blog c'est www.lacourdespetits.com

Le fichier .php louche était dans wp-content/upload/wysija/themes
et le dossier à partir duquel les pages de spam étaient chargées était appelé "forum" à la racine même de mon site (dans www de mémoire).

Je vais contacter OVH pour voir ce qu'ils en pensent.


Citation Envoyé par Nowwhat
Pourquoi ??

T'es l'admin de ton hébergement, t'as donc accès aux logs ftp .....
Il suffit de consulter ces logs pour voir si les hackuers sont passé par l'accès FTP ( tu trouveras des IP's typiquement pas la tienne mais des IP's étranger - le log FTP n'est pas très diffcile à comprendre).
Grosso modo : les voleurs n'entre pas par la porte d'entrée, mais par la fenêtre derrière .....

Et ces "fenêtres", c'est, pour 99,9999 % des plugins / extensions mal foutu. (Un WP 'sec' sans modification ni autre additives (extensions, plugins) est sur pour 99,9 %)....
Parce que je savais pas quoi faire d'autre
Je viens de regarder les logs ftp des 3 derniers mois et je ne vois en effet que mon nom@une adresse ip toujours identique (sauf une fois, mais je me souviens que je n'étais pas chez moi ce jour là).


Citation Envoyé par Nowwhat
... hébergement == accès FTP (sujet déjà traité .... t'as donc la réponse )
Soit le serveur web lui même, et dans ce cas 1.2 million des sites sont en danger dès maintenant (OVH entier, quoi ...)
A ton avis ??

T'as viré les fichiers problématiques, mais t'as viré aussi la source de ton problème : la faille qui a permis que les hackeurs entre ..... ??
Le support du plug-in en question me parle d'une "infection" à cause des sites qui seraient sur le même serveur mutualisé que moi... C'est une bonne blague de leur part ? (J'y connais rien pour le coup)...

Enfin, dans tous les cas, en effet, j'ai viré le fichier louche et les dossiers qui avaient été ajouté à mon site, mais je ne sais pas où est la faille.

Est-ce que le fait que ce fichier était ajouté dans le répertoire wp-content/upload/wysija/themes signifie forcément que la faille est chez Wysija ?



Citation Envoyé par Nowwhat
De ton coté :
Choisir un mot de passe FTP 'compliqué'.
Utiliser un vrai logiciel FTP (hélas, ce n'est pas FileZilla, car dès qu'il stocke le mot de passe, d'autres logiciels (trojans etc dans ton PC) peuvent le lire aussi) comme par exemple SmartFTP.
Puis t'as compris qu'il n'est pas rare de voir un hébergement hacké car le hackeur a récupéré le mot de passe FTP .... sur ton PC ....

Coté hébergement:
N'installe JAMAIS des plugins ni extensions sauf si t'as un garanti "noir-su-blanc" qu'il a été écrit par des vrais auteurs qui savent faire ....
Merci pour les conseils pour la sécurisation du FTP.
Je pense en effet que ça vient d'un plug-in. Mon souci c'est que j'essaie de m'en passer dès que je peux mais il y a encore un paquet de choses que je ne sais pas faire moi-même donc j'ai recours aux plug-in. Là pour le coup, si c'est celui-là c'est pour ma newsletter, mais j'en ai quelques autres...
Nowwhat
11/12/2015, 14h58
Citation Envoyé par LilyC
.....
J'ai changé mes mots de passe FTP et Wordpress,
Pourquoi ??

T'es l'admin de ton hébergement, t'as donc accès aux logs ftp .....
Il suffit de consulter ces logs pour voir si les hackuers sont passé par l'accès FTP ( tu trouveras des IP's typiquement pas la tienne mais des IP's étranger - le log FTP n'est pas très diffcile à comprendre).
Grosso modo : les voleurs n'entre pas par la porte d'entrée, mais par la fenêtre derrière .....

Et ces "fenêtres", c'est, pour 99,9999 % des plugins / extensions mal foutu. (Un WP 'sec' sans modification ni autre additives (extensions, plugins) est sur pour 99,9 %)

Citation Envoyé par LilyC
.....
viré les fichiers problématiques et envoyé un mail au support du plug-in en question. Ils me répondent qu'ils n'ont pas connaissance d'une faille de sécurité chez eux mais que ça vient peut-être de mon hébergement.
... hébergement == accès FTP (sujet déjà traité .... t'as donc la réponse )
Soit le serveur web lui même, et dans ce cas 1.2 million des sites sont en danger dès maintenant (OVH entier, quoi ...)
A ton avis ??

T'as viré les fichiers problématiques, mais t'as viré aussi la source de ton problème : la faille qui a permis que les hackeurs entre ..... ??

Citation Envoyé par LilyC
.....
J'aimerais savoir quoi faire pour trouver éventuellement d'où vient le problème et surtout comment empêcher que ça ne se reproduise !
.......
Qu'est-ce que je peux faire du côté de l'hébergement ?
De ton coté :
Choisir un mot de passe FTP 'compliqué'.
Utiliser un vrai logiciel FTP (hélas, ce n'est pas FileZilla, car dès qu'il stocke le mot de passe, d'autres logiciels (trojans etc dans ton PC) peuvent le lire aussi) comme par exemple SmartFTP.
Puis t'as compris qu'il n'est pas rare de voir un hébergement hacké car le hackeur a récupéré le mot de passe FTP .... sur ton PC ....

Coté hébergement:
N'installe JAMAIS des plugins ni extensions sauf si t'as un garanti "noir-su-blanc" qu'il a été écrit par des vrais auteurs qui savent faire ....
Ludo.H
11/12/2015, 14h45
Bonjour,

Peut-on connaitre le nom de domaine de votre hébergement ?
Pouvez vous nous donner le nom du dossier ou se situait les fichiers illégitimes ?

Il est possible de demander une demande de scan de vulnérabilité de votre site web aux équipes OVH.
Je peux dans un premier temps regarder ce qu'il y a.

Cordialement.
LilyC
11/12/2015, 13h07
Bonjour,

Mon blog a été piraté, des pages de spam ont été injectées ces derniers jours.

J'ai trouvé un répertoire entier appelé "forum" à la racine de mon site et un fichier .php au nom bizarre (et détecté par 2 plug-in de sécurité que je viens d'installer) dans un dossier correspondant à un autre plug-in.
J'ai changé mes mots de passe FTP et Wordpress, viré les fichiers problématiques et envoyé un mail au support du plug-in en question. Ils me répondent qu'ils n'ont pas connaissance d'une faille de sécurité chez eux mais que ça vient peut-être de mon hébergement.

J'aimerais savoir quoi faire pour trouver éventuellement d'où vient le problème et surtout comment empêcher que ça ne se reproduise !

Qu'est-ce que je peux faire du côté de l'hébergement ?

Merci pour votre aide !