OVH Community, votre nouvel espace communautaire.

site infesté Trojan...help


Clairett
26/01/2016, 12h34
J'ai installé thème et plugin via l'interface de WP : quand on va dans l'onglet "Apparence --theme" ou dans "extension--ajoute"
en faisant attention qu'ils soient bien notés, compatibles avec la version de WP, mise à jour régulièrement, et pas mal téléchargé par d'autres utilisateurs...voir même quand j'ai un doute, je vais voir sur les forum pour voir ce qui s'en dit...ceci pour limiter les risques
mais bon je revérifierai tout avant d'en remettre

Ok pour les fichiers .jpg et png, je les vérifierai tous 1 par 1 avec notepad

pour les fichiers:
je parlai d'un info.php dans le dossier www

http://pastebin.com/Jza9xZCx

merci en tout cas

Nowwhat
26/01/2016, 12h05
Citation Envoyé par Clairett
.... Donc tout est à jour, theme, WP, plugin...
Oui, ok pour WP, mais tes themes et plugins : un theme ou plugin avec une faille gros comme une porte, qui est a jour, possède toujours cette faille .....

Citation Envoyé par Clairett
pour le theme j'ai installé Catch evolution
Lien ? Tu l'a trouvé ou ??

Citation Envoyé par Clairett
bon je vais retirer tout theme et plungin, les effacer via filezilla et réinstaller en neuf
Idem comme en haut : SI une faille existe, et tu réinstalle la faille, ça va pas t'aider....
Le truc est que : quand tu installe un plugin d'une source 'tiers' (== NON WP) t'as la certituide que ce plugin est écrit par des gens gens comme toi et et moi.
Ce plugisn peuvent être écrit par mon fils ... et lui, il fait des jolie truc, avec des méga failles.

Donc; règle d'or: t'as pas toi même constaté que le plunin ou thème est sur, tu l'installe pas.
Sinon : assume que tu risque ....
Et oui, ceci implique que tu sache lire le 'php', et comment fonctionne WordPress ....

Citation Envoyé par Clairett
ce qui m'ennuie c'est le upload avec les .jpg qui peuvent etre un script php...mais l'antivirus n'a rien détecté dans la zone des images.
Osef l'anti virus. Ils marchent mal ou pas avec les 'scripts sources'.
Copie tout le site (hébertgement) chez toi et ouvre ouvre ces fichiers 'jpg' et png à la main avec par exemple Notepad++ ( https://notepad-plus-plus.org/fr/ )
Tu va voir ....

Citation Envoyé par Clairett
et pour les fichiers info.php? je peux les effacer sans risque? (désolée, suis sure que la question est hyper naive.)
Tu nous donne le nom du ficher sans emplacement,n sans rien ... impossible de savoir s'il s'agit d'un fichier valide de WP ou autre.
Le nom, ça ne dit pas grand chose - ou rien du tout.
édit : "info.php" n'est pas un fichier de WP ....

En cas de doute ; poste ton fichier ici http://pastebin.com/ puis dans ton message un lien vers ton post chez http://pastebin.com/

Clairett
26/01/2016, 10h47
oui oui je fais les mise à jour à chaque fois qu'elles apparaissent. Donc tout est à jour, theme, WP, plugin...
pour le theme j'ai installé Catch evolution
les plugin les + classiques:
- BackUpWordPress
-Better WordPress Minify
- Broken Link Checker
- DB Cache Reloaded Fix
- Google Analytics par Yoast
- Jetpack par WordPress.com
- TinyMCE Advanced
- WP Super Cache
- Yoast SEO

bon je vais retirer tout theme et plungin, les effacer via filezilla et réinstaller en neuf
ce qui m'ennuie c'est le upload avec les .jpg qui peuvent etre un script php...mais l'antivirus n'a rien détecté dans la zone des images.
et pour les fichiers info.php? je peux les effacer sans risque? (désolée, suis sure que la question est hyper naive.)

Nowwhat
26/01/2016, 09h58
WordPress lui même, avec ces deux, trois extension préinstallé (mais pas activé) est relativement fiable et sécurisé.
Un WordPress à jour (à tout moment) sans autre additifs, tu ne risque pas grand chose.
La, ou sa foire, c'est quand tu commence à installer des extension. Il faut à tout prix éviter les extensions qui;
x) N'ont pas été utilisé très souvent. Un extension qui est utilisé par beaucoup par des centaines des milliers des sites a un plus grand chance qu'il soit bien débuggé.
x) N'ont pas été mise à jour souvent.
x) N'a pas une développement active.
x) Évite l'extension ciblé pour (exemple) WP 3.x or WP est en version 4.4.3
x) le même topo est valable pour les thèmes - les thèmes sont très souvent accompagné des scripts mal foutu ..... Les thèmes "par défaut" sont safe, les autres, .... faut voir.

Pour désinfecter un WP, désactive les thèmes fait par des tiers - active un thème de WP. Supprime dans /wp-content/themes leur répertoire.
Désactive toutes les plugins ... puis supprime leur répertoire dans /wp-content/plugins
recharge la mise à jour - le dernier. Garde WP à jour - sans exception, comme t'a vie en dépend.

Normalement, il n'y pas de 'scripts' ni 'code' dans tes pages et articles. De ce fait, il n'y pas de "Trokan" dans ta base des données.

Un endroit potentiellement dangereux est le répertoire /wp-content/uploads - un utilisateur qui a pu uploader un "quelque chose" à du placer un fichier la bas.
Attention : un image avec l'extension jpg ou png pourrait être un script PHP tout simplement.

Voila, en gros j'ai listé ce que tu trouve sur le net.

buddy
26/01/2016, 09h36
Tu l'as mis à jour depuis que tu l'as installé ton wordpress ? Je veux dire mise à jour du cms, installation des patchs de sécurité et etc..

Clairett
26/01/2016, 08h11
coucou,
je vais voir à essayer de mettre les mains dans le cambouis...pour des raisons de budget... (ben oui)
si vous avez un lien vers un tuto pour novice...

et puis si çà ne marche pas, je réinstallerai la vielle version
quittes à perdre ce que j'avais installé depuis 1.5 ans mais il n'y a pas tant de choses que çà et j'allais faire plein de modif...juste dommage pour le référencement de certains articles. (à moins qu'il y ait un truc? )

Gaston_Phone
25/01/2016, 16h05
Soit tu mets les mains dans le cambouis,
Soit tu fais appel à un infogérant.

Clairett
25/01/2016, 15h25
Salut

merci Gaston, Magicbel,
oui effectivement via un script...çà coince un jour peut etre je serai plus à l'aise avec mais pas pour l'instant.

Sinon j'ai réussi en passant directement par MySQL à télécharger le fichier .sql de la base de donnée actuelle.
(j'essayais avant avec le plugin Backupwordpress)

par contre je suis étonnée, il est tout petit, 767 octet d'habitude il est plus gros (genre 5 Mo)? et l'antivirus ne trouve rien quand je lui demande de l'analyser

Qu'est ce que je fais maintenant?
merciii d'avance

magicbel
25/01/2016, 14h05
Citation Envoyé par Gaston_Phone
Peut-être une sauvegarde avec un script --> OVH - Sauvegardes et Restaurations de Bases de Données via un script.
Salut Gaston
Je sais pas si tu as bien vu mais :
de manière complétement novice (suis pas une web master et je m'y connais peu)
Du coup,ca risque de coincer

Gaston_Phone
25/01/2016, 13h58
Peut-être une sauvegarde avec un script --> OVH - Sauvegardes et Restaurations de Bases de Données via un script.

magicbel
25/01/2016, 13h56
Bonjour Clairett,

Il y a toujours moyen de sauver les meubles mais ce qui est le plus embêtant c'est votre Db Sql qui elle contient la totalité du contenu de votre site. (texte/image/liens/etc).
Avez-vous essayé de compresser votre db sql (export db en tar.gz ou zip) par exemple avant de la télécharger?

Clairett
25/01/2016, 12h30
Bonjour,

J'ai un petit site sur OVH et wordpress, www.creaclaire-carterie.com, de manière complétement novice (suis pas une web master et je m'y connais peu). et j'ai un pb de trojan.
J'ai regardé les différents post précédent, mais je suis pas sure d'avoir trouvé ma solution

En récapitulatif des évènements:
En octobre 2015,j'ai eu une journée avec une forte augmentation de visite (x600) puis tout est revenu à la normal.
Fin novembre,plus possible d'afficher mon site, Avast le bloquait avec le message comme quoi il y avait un trojan. avec une forte baisse de fréquentation
J'ai demandé de faire une restauration via ovh mais la version ancienne n'est pas antérieur à la journée folle d'octobre. çà n'a rien changé.
Depuis j'ai pas eu le temps de m'en occuper mais brusquement tout semble redevenir normal (mais je ne suis pas dupe non plus) depuis 1 mois.

Aujourd'hui, je me penche sérieusement sur le pb et comme il y a eu un pb avec les sauvegardes automatiques (elles n'ont pas été faites) j'ai pas de sauvegarde récente saine (un fichier.sql de fev 2015 et un fichier.sql + le dossier www de juil 2014.) Alors j'aimerai bien pouvoir sauver les meubles sans tout écraser.

je viens de transférer tout le dossier www sur mon ordi via filezilla et je l'ai scanné et avast m'a donné une liste de 12 fichiers avec des PHP:Shell-KI, PHPecode-DL et PHP:Agent-UD
J'ai essayé de télécharger les données .sql, mais Avast m'en empêche.

Alors y a t il une solution pour nettoyer et sauver les meubles?
S'il existe un post avec la solution, n'hésitez pas à me le mettre en lien
et si vous avez besoin d'autres infos dites moi

Mercii