OVH Community, votre nouvel espace communautaire.

Hackages successifs de Wordpress via crond


_lfe_
07/06/2016, 15h53
Citation Envoyé par buddy
Même si tu as supprimé les plugins, as-tu bien supprimé également les fichiers sur ton hébergement ? (via le FTP)

Si ton Wordpress est à jour, çà devrait être safe niveau sécurité (à condition de bien avoir supprimer TOUS les fichiers infectés).
Oui oui, j'ai bien fait tout ça via le ftp. Je croise les doigts (et j'espère ne pas avoir à revenir vous embêter de sitôt)

buddy
07/06/2016, 15h42
Même si tu as supprimé les plugins, as-tu bien supprimé également les fichiers sur ton hébergement ? (via le FTP)

Si ton Wordpress est à jour, çà devrait être safe niveau sécurité (à condition de bien avoir supprimer TOUS les fichiers infectés).

_lfe_
07/06/2016, 15h33
Les plugins ont été désinstallés. Est-ce que si j'en reste là (et sans télécharger n'importe quel plugin) la suite s'annonce plus tranquille ?
(merci de votre patience)

Ludo.H
07/06/2016, 14h58
Bonjour,

Il y a toujours des fichiers hackés sur votre hébergement :

/home/lesfillee/www/wp-content/plugins/wp-mobile-detector/cache/css.php
/home/lesfillee/www/wp-content/plugins/list-category-posts/languages/languages.php
/home/lesfillee/www/wp-content/plugins/wp-pagenavi/scb/scb.php

Cdt,

_lfe_
07/06/2016, 06h50
Citation Envoyé par Nowwhat
Tout le monden, ti aussi, tu possède des sauvegardes journalières (et une par semaine, et une par mois)de ton site., gentillement offert par OVH, disponible pour ceux qui ont lu le doc (sur site d'OVH).
T'as trop supprimé , => pas grave => pioche dans ces sauvegardes.

De plus, avant de supprimer, on FTP le tout chez - soi, comme ça :
T'as trop supprimé , => pas grave => pioche dans tes sauvegardes.

De plus ta des sauvegardes de ton site entier chez toi, en rotation, de préférence.
Comme ça ....... t'as compris
Effectivement, j'ai pu tout récupérer grâce aux sauvegardes...

- - - Mise à jour - - -

Citation Envoyé par Ludo.H
Bonjour Lucile,

Votre siteweb semble avoir été hacké, mais cela semble provenir de l'installation de plugin non officiel.
Voici la liste des fichiers corrompu que j'ai trouvé :

/home/lesfillee/www/wp-admin/css/javascript.php
/home/lesfillee/www/wp-includes/class-wp-customize-panel.php
/home/lesfillee/www/wp-content/plugins/sociable/inc.php
/home/lesfillee/www/wp-content/plugins/pinterest-pin-it-button-pro/includes/upgrade-plugin-pro.php
/home/lesfillee/www/wp-content/plugins/formidable/css/_single_theme.css.php
/home/lesfillee/www/wp-content/themes/lifestyle-pro/xml/file.php
/home/lesfillee/www/wp-includes/wp-db.php
/home/lesfillee/www/wp-includes/embed.php

Je vous conseil vivement de réinstaller un wordpress et de ne mettre que le nécessaire.
Une fois le ménage éffectué, je pourrais réouvrir votre site.

Cdt,
Merci beaucoup Ludo...

J'ai réinstallé mon blog en faisant le ménage, mais a priori il reste de la poussière sous le tapis : ce matin j'ai constaté que mon blog était encore en erreur 403, et ce nouveau mail m'attendait :

X-Ovh-Section: mutu

Bonjour,

Notre système de surveillance a détecté une opération irrégulière au niveau de votre site. Ce message a pour but de vous alerter sur le fait que votre site et vos données peuvent encourir un risque.
Par mesure de sécurité, nous venons de bloquer l'accès à votre site, cependant, l'accès à votre espace d'hébergement (FTP) reste tout de même accessible.

Vous trouverez ci-dessous les détails techniques de cette opération :

Domaine : lesfilleselectriques.com
Problème rencontré : Un script malveillant a été détecté sur votre hébergement
Commande apparente : ././crond
Exécutable utilisé : /homez.367/lesfillee/www/wp-content/uploads/2014/12/.nfs000000000040c1bb00009bba
Horodatage: 2016-06-07 01:25:09

Il est possible qu'un script malveillant présent sur votre hébergement soit à l'origine de cette exécution. Si vous n'êtes pas à l'origine de l'exécution de ce script, cela signifie qu'il y a une faille sur votre site et qu'un hacker s'en est servi pour réaliser cette opération.
J'ai compris que ce n'était qu'un fichier temporaire et qu'il avait été supprimé depuis, et j'ai donc simplement relancé mon blog en tapant SITE CHMOD 705 / dans les commandes de mon ftp. Mais je sais que ça ne résoudra rien sur le long terme...

Que dois-je faire pour éviter que ce genre de problème se répète ?

Nowwhat
03/06/2016, 10h33
Citation Envoyé par _lfe_
J'ai tenté de réinstaller les thèmes par défaut de Wordpress (twentyten, twentyfifteen, etc.) mais rien n'a fonctionné. Ceci est mon premier problème.
Tout le monden, ti aussi, tu possède des sauvegardes journalières (et une par semaine, et une par mois)de ton site., gentillement offert par OVH, disponible pour ceux qui ont lu le doc (sur site d'OVH).
T'as trop supprimé , => pas grave => pioche dans ces sauvegardes.

De plus, avant de supprimer, on FTP le tout chez - soi, comme ça :
T'as trop supprimé , => pas grave => pioche dans tes sauvegardes.

De plus ta des sauvegardes de ton site entier chez toi, en rotation, de préférence.
Comme ça ....... t'as compris

Ludo.H
03/06/2016, 09h34
Bonjour Lucile,

Votre siteweb semble avoir été hacké, mais cela semble provenir de l'installation de plugin non officiel.
Voici la liste des fichiers corrompu que j'ai trouvé :

/home/lesfillee/www/wp-admin/css/javascript.php
/home/lesfillee/www/wp-includes/class-wp-customize-panel.php
/home/lesfillee/www/wp-content/plugins/sociable/inc.php
/home/lesfillee/www/wp-content/plugins/pinterest-pin-it-button-pro/includes/upgrade-plugin-pro.php
/home/lesfillee/www/wp-content/plugins/formidable/css/_single_theme.css.php
/home/lesfillee/www/wp-content/themes/lifestyle-pro/xml/file.php
/home/lesfillee/www/wp-includes/wp-db.php
/home/lesfillee/www/wp-includes/embed.php

Je vous conseil vivement de réinstaller un wordpress et de ne mettre que le nécessaire.
Une fois le ménage éffectué, je pourrais réouvrir votre site.

Cdt,

_lfe_
03/06/2016, 02h54
Bonjour,

mon site est http://www.lesfilleselectriques.com

voilà l'historique de mon problème.

Hier soir j'ai reçu ce mail de customer.web@ovh.net :

Notre système de surveillance a détecté une opération irrégulière au niveau de votre site. Ce message a pour but de vous alerter sur le fait que votre site et vos données peuvent encourir un risque.
Par mesure de sécurité, nous venons de bloquer l'accès à votre site, cependant, l'accès à votre espace d'hébergement (FTP) reste tout de même accessible.

Vous trouverez ci-dessous les détails techniques de cette opération :

Domaine : lesfilleselectriques.com
Problème rencontré : Un script malveillant a été détecté sur votre hébergement
Commande apparente : ././crond
Exécutable utilisé : /homez.367/lesfillee/www/wp-content/themes/gridlocked-package/gridlocked/.nfs000000000178fda40001197a
Horodatage: 2016-06-02 21:25:12

Il est possible qu'un script malveillant présent sur votre hébergement soit à l'origine de cette exécution. Si vous n'êtes pas à l'origine de l'exécution de ce script, cela signifie qu'il y a une faille sur votre site et qu'un hacker s'en est servi pour réaliser cette opération.
Dans mon ftp, j'ai supprimé le dossier du thème incriminé, d'autant que c'est un thème que je n'utilise pas.

Le site, qui était auparavant en erreur 403, est alors revenu.

Pour faire du zèle, mais en allant trop vite, j'ai alors décidé de supprimer tous les autres thèmes de mon dossier wp-content/themes (sauf celui que j'utilise). Je n'aurais sans doute pas dû faire cela, car aussitôt après je n'obtenais plus qu'une page blanche (sans message d'erreur) lors de mes tentatives d'accès à mon site http://www.lesfilleselectriques.com.

J'ai tenté de réinstaller les thèmes par défaut de Wordpress (twentyten, twentyfifteen, etc.) mais rien n'a fonctionné. Ceci est mon premier problème.

Quelques heures plus tard (entre temps je suis allé dormir un peu en me disant que je règlerais le problème le lendemain), j'ai reçu ce nouveau mail :

Notre système de surveillance a détecté une opération irrégulière au niveau de votre site. Ce message a pour but de vous alerter sur le fait que votre site et vos données peuvent encourir un risque.
Par mesure de sécurité, nous venons de bloquer l'accès à votre site, cependant, l'accès à votre espace d'hébergement (FTP) reste tout de même accessible.

Vous trouverez ci-dessous les détails techniques de cette opération :

Domaine : lesfilleselectriques.com
Problème rencontré : Un script malveillant a été détecté sur votre hébergement
Commande apparente : ././crond
Exécutable utilisé : /homez.367/lesfillee/www/wp-includes/customize/.nfs0000000006c47bf800011987
Horodatage: 2016-06-02 22:50:11

Il est possible qu'un script malveillant présent sur votre hébergement soit à l'origine de cette exécution. Si vous n'êtes pas à l'origine de l'exécution de ce script, cela signifie qu'il y a une faille sur votre site et qu'un hacker s'en est servi pour réaliser cette opération.
Depuis, mon site affiche de nouveau une erreur 403.

Ma question est donc triple :
  1. Ce fichier .nfs0000000006c47bf800011987 est introuvable (même en affichant les fichiers cachés) et je ne parviens donc pas à traiter le problème. Comment faire pour traiter ce problème ?
  2. Comment procéder pour éviter à l'avenir ce genre de hacking (si c'est de hacking qu'il s'agit) ? Quels sont les moyens de s'en protéger ?
  3. Outre ce problème, comment réparer ma suppression intempestive de thèmes jugés inutiles (mais apparemment pas si inutiles) et faire "revenir" mon site ?


Merci beaucoup pour l'aide que vous pourrez m'apporter. Je suis un peu perdue...

Lucile