OVH Community, votre nouvel espace communautaire.

Site hacké + envoi d'email spam automatique (wordpress)


ovniz
03/12/2015, 20h48
tu viens de remonter un topic du 03/06/2014 ....

monkee47
03/12/2015, 18h45
chapeau !

Nowwhat
03/06/2014, 15h46
Citation Envoyé par marceo
.... Or j'ai besoin de cet envoi de mail pour le bon fonctionnement de mon site.
Donc bloquer la fonction mail ne va pas résoudre le problème car j'en ai besoin :/
Pour que ton tes mails de ton site seront envoyé quoi qu'il arrive:
Regarde que j'ai écrit ici #27.

Ouvre un ton-nom-de-domaine@gmail.com
Paramétre ton WP pour qu'il utilise le MX de gmail.
Exemple:
ssl://smtp.gmail.com:465
ou ssl://smtp.gmail.com porte 465
Login: ton-nom-de-domaine@gmail.com
Password: the gmail ton-nom-de-domaine@gmail.com password.

Exemple https://wordpress.org/plugins/wp-mail-smtp/ (d'autre existe).

Quand la ditribution de mails de OVH "tombe en panne", active ce plugin, et au moins, TES mails légitime à partir de ton seront envoyé et arriveront.

Il s'agit d'un Plan B.
Plan A est: trouver la faille.
Il n'y plus d'excuses, faut plonger dans les fichiers.

Si ta x plugins, dèsactive est supprime un tiers.
Garde cette situation une semaine au moins.
Si les spams continu, ce tiers n'est pas fautif, dèsactive un autre tiers.
Si les spams continu, ce tiers n'est pas fautif, dèsactive un le dernier tiers.
Si les spams continu: bonne nouvelle: il ne s'agit pas de tes plugins.

C'est dans /wp-content/uploads
Moi, j'ai
2009
2010
2011
2012
2013
2014

Dèsative 2009 et 2010 (renomme le comme 2009-xxxxxxxx et 2010-yyyyyyyyy - ou mieux: sauvegarde-les et supprime-les)
Puis, tourne comme ça une semaine.
Les spams continue ? 2009 et 2010 ne sont pas en causse.
Refait le manip avec 2011 et 2012.

Dès que t'as trouvé l'année (ce qui se trouve dans ce répertoire) qui est le source des tes spams.

Disons que c'est 2014.
Dans 2014, tu trouve des sous répertoires:
01
02
03
04
05
06
(si t'as upload chaque mois des fichiers).
Dèsactibe 01 et 02.
Ca continue (ou bout d'une semaine) ? Ce n'est pas eux, - continue avec 03 et 04.
etc etc
Et tu trouveras le répertoire qui contient des fichiers qui sont responsable pour le hack....


Autre chose.
A TOUT moment, AUCUN fichier de ton CMS doit être différent que les originaux (que tu trouve dans le ZP que tu cherche ici .http://fr.wordpress.org/ )
SEULE la mise à jour de WP change leur continue.
Il existe des plugisn qui calcule de chaque fichier un "CRC".
Plus tard, refait le même controle, et regarde ce qui a changé.
SI ce n'est pas toi (qui a modifié un fichier - on dit aussi "patché") ni une mise à jour de WP, une source externe a modifié ce fichier.
C'est TRES SUSPECT.

A TOUT MOMENT, télécharge ici: http://fr.wordpress.org/ la dernière version.
Unzip le chez toi.
Dans les fichier extrait, SI il existe, ENLEVE le fichier : wp-config.php (!! dévine pourquoi !!))

Puis, upload le tout vers ton hébergement. Toutes les fichiers natif WP seront à jour.
Tu viens d'exécuter une mise à jour manuelle (et oui, c'est si simple que ça)
Visite ton /wp-admin pour voir s'il n'y pas un suite à la mise à jour, comme des fois la base doit être mise à jour aussi.

Note: ceci mettra que à jour le noyau de WP, les plugins, ça dépend de leur autheur.
Mais bon, un plugin qui ne reçoit PAS de mise à jour regulièrement DOIT partir dans le poubelle - sans même chercher comprendre.
On ne garde pas non plus des fichiers système "Windows 95" dans son PC "Windows 8"

Ces quelqes démarche sont tout simple à gérer.

Gaston_Phone
03/06/2014, 12h01
Citation Envoyé par marceo
Donc je réactive l'envoie de mail depuis mon manager, mais j'ai comme un doute...
L'Informatique n'est pas une science exacte.

Après un travail Informatique, il faut normalement des séries de tests pour vérifier :
  • Que le problème est corrigé,
  • Que la correction faite n'entraine pas de problème ailleurs.



Pais ce travail long et fastidieux est cher et coûte généralement plus que la réparation elle-même.

marceo
03/06/2014, 10h47
Réponse d'ovh sur la reprise de l'envoi de spam d'hier :
Concernant ces envois, il s'agit de mails datant du 20 mai
qui n'avaient pas été pris en compte lors de votre purge
effectué le 30.

Nous avons effectué le nécessaire à notre niveau pour
que cela ne puisse se reproduire.
Donc je réactive l'envoie de mail depuis mon manager, mais j'ai comme un doute...

marceo
03/06/2014, 10h09
Bon et bien nous y revoilà,

Retour des spams hier et envoi de mail auto de nouveau bloqué... Je suis content d'avoir payé 20€ pour une infogérance -___-'

Citation Envoyé par fodjer
Je pars du principe que tu n'a pas trop hésité à supprimer ton site puis tout réinstaller. Tu ne dois pas encore avoir trop de trafic.
Du coup tu verras assez vite quels sont le ou les fichiers incriminés.
Malheureusement j'ai déjà un peu de trafic et ça à donc été un grand moment de stress...

Citation Envoyé par fodjer
Ceci dit, je ne connais pas très bien les options possible en mutualisé, mais j'ai cru voir un post ou l'on te disait que tu peux désactiver la fonction mail() de php.
ça pas de soucis. enfin plutôt si c'est ça le soucis. C'est que l'envoie de mail se bloque automatiquement sur le manager OVH, car je dépasse les 50% d'erreur (à cause des spams qui partent de mon site). Or j'ai besoin de cet envoi de mail pour le bon fonctionnement de mon site.
Donc bloquer la fonction mail ne va pas résoudre le problème car j'en ai besoin :/

Je vais tenter de re-regarder les logs mais je n'y comprends pas grands choses malheureusement...

Merci en tout cas pour votre aide les amis

Nowwhat
30/05/2014, 23h46
Citation Envoyé par fodjer
...
Ceci dit, je ne connais pas très bien les options possible en mutualisé, mais j'ai cru voir un post ou l'on te disait que tu peux désactiver la fonction mail() de php.
Tu devrais faire ca et configurer ton CMS pour utiliser le SMTPS (Serveur smtp: ssl0.ovh.net Port: 465 (au lieu de 25)) ....
Exact - voir le fin de : http://forum.ovh.com/showthread.php?...l=1#post609794
WordPress permet de faire ça nativement.

Citation Envoyé par fodjer
...
Par contre, se sera une solution temporaire. Si ils ont reussi à uploader et executer un script pour envoyer des mails, ils pourront en uploader d'autres pour remonter ton site et récupérer ta config.
Sauf que si ils vont jusque là, ca veut dire qu'ils t'en veulent vraiment ^^
Exact: lui qui arrive à déposer et exécuter des fichiers sur ton hébergement, arrive aussi à lire des fichiers sur ton hébergement.
TOUTES les fichiers.
Jusqu'au config d'accès de ta base des données.
Il auras donc l'accès (par smtp) car il à l'adresse mail, par exemple postmaster@ton-domaine.tld et son mot de passe.

fodjer
30/05/2014, 21h44
Citation Envoyé par marceo
Malgré ça le technicien me confirme que le problème est résolu.

Wait and see...
Si le problème revient à nouveau, tu devrais consulter les LOGS de ton mutualisé afin de trouver le fichier qui est en cause.

Je pars du principe que tu n'a pas trop hésité à supprimer ton site puis tout réinstaller. Tu ne dois pas encore avoir trop de trafic.
Du coup tu verras assez vite quels sont le ou les fichiers incriminés.

A partir de là, on pourra investiguer !


Ceci dit, je ne connais pas très bien les options possible en mutualisé, mais j'ai cru voir un post ou l'on te disait que tu peux désactiver la fonction mail() de php.
Tu devrais faire ca et configurer ton CMS pour utiliser le SMTPS (Serveur smtp: ssl0.ovh.net Port: 465 (au lieu de 25))
Par contre, se sera une solution temporaire. Si ils ont reussi à uploader et executer un script pour envoyer des mails, ils pourront en uploader d'autres pour remonter ton site et récupérer ta config.
Sauf que si ils vont jusque là, ca veut dire qu'ils t'en veulent vraiment ^^


Bon courage à toi

Gaston_Phone
30/05/2014, 20h59
Citation Envoyé par marceo
et oui j'ai fait plusieurs copies a différent moment de l'évolution de cette histoire sur mon PC
Et sur le sauvegardes sur ton PC tu ne trouves aucun des fichiers trouvés par l'Infogérance OVH ? ? ?

Nowwhat
30/05/2014, 19h30
Citation Envoyé par marceo
j'ai supprimé le fichier comme le problème est "résolu", si tu veux je te le renvoie ?
Il n'y avait rien concernant de concret dans la liste de recherche de ces lignes "base64".
Certainement pas une référence vers une installation de Joomla, je n'ai que trouvé un site WordPress et des copies de ce site ..... (je présume que t'as tout chargé et scanné à partir /www/)

marceo
30/05/2014, 18h42
Citation Envoyé par Gaston_Phone
La page est inconnue.
Evite de mettre des espaces dans une URL.
j'ai supprimé le fichier comme le problème est "résolu", si tu veux je te le renvoie ?

et oui j'ai fait plusieurs copies a différent moment de l'évolution de cette histoire sur mon PC

Gaston_Phone
30/05/2014, 18h36
Citation Envoyé par marceo
par contre le résultat comporte trop de caractère je l'ai mis là :http://www.triman.fr/extrait/new%20%202.txt
La page est inconnue.
Evite de mettre des espaces dans une URL.

Gaston_Phone
30/05/2014, 18h35
Donc les techniciens d'OVH auraient confondus ton site avec un autre site ?

Au fait, quand tu avais ton problème avais-tu fait une copie intégrale du contenu de /www vers ton PC ?

marceo
30/05/2014, 18h22
Bon voila les nouvelles.

J'ai contacté l'assistance téléphone d'ovh. On est parti sur une infogérance, là ça à été très efficace. J'ai appelé mercredi (jeudi férié) et aujourd’hui ils sont intervenu. Ils ont bien trouvé des fichiers infectés mais deux choses sont bizarres :
- Les fichiers qu'ils ont trouvés ne sont plus sur mon serveur (mais les spams partaient toujours)
- Les fichiers qu'ils ont trouvés et donc qu'ils m'ont envoyés sous forme de liste n'ont jamais été présent sur mon serveur. J'entends par là qu'ils me montrent des fichiers infectés de types :

./www/libraries/cms/toolbar/button/inc.php
./www/libraries/cms/router/ini.php
./www/libraries/joomla/google/embed.php
./www/libraries/joomla/event/error.php
./www/libraries/joomla/image/filter/dump.php
./www/libraries/joomla/facebook/facebook.php
./www/libraries/joomla/facebook/checkin.php
./www/libraries/syw/fields/article.php
./www/libraries/legacy/request/request.php
./www/libraries/legacy/utilities/xmlelement.php
./www/libraries/legacy/controller/form.php
./www/libraries/legacy/menu/model.php
./www/libraries/legacy/view/legacy.php
./www/libraries/fof/controller/controller.php
./www/brnlcas.php
./www/modules/mod_slideshowck/elements/ckfolderlist.php
./www/modules/mod_slideshowck/elements/cklist_old.php
Et clairement je n'ai jamais eu ça sur mon serveur. Donc là c'est un peu flou...

Malgré ça le technicien me confirme que le problème est résolu.

Wait and see...

marceo
29/05/2014, 12h02
Ok c'est fait,

par contre le résultat comporte trop de caractère je l'ai mis là :http://www.triman.fr/extrait/new%20%202.txt

Nowwhat
29/05/2014, 09h43
Citation Envoyé par marceo
....
Concernant le SSH (je découvre), je n'arrive pas à exécuter de commande... j'arrive à me connecter en utilisant Putty mais j'avoue qu'en ce qui concerne les commandes que tu m'as envoyé je ne vois pas trop où rentrer ça :/
Vu.
Je testé moi même ces commandes sur un Mutu avec SSH.
Même le grep dans UN fichier ne marche pas ....
Disons que l'accès SSH n'est plus ce que c'était avant .....

Plan B: FTP tout vers toi, et utilise le BON traitement de texte comme UltraEdit ou Notepad++ pour chercher dans toutes les fichiers ceci:
base64
Plan B est simple a réaliser: on a tous une copie sauvegarde de son site chez soi

marceo
28/05/2014, 23h32
Citation Envoyé par Nowwhat
PS: t'as désactive les plugins, ou carrément, leur répertoires ont été supprimé : /wp-content/plugins/ ne liste QUE des plugins actives.
J'ai supprimé les plugin pour le test

Concernant le SSH (je découvre), je n'arrive pas à exécuter de commande... j'arrive à me connecter en utilisant Putty mais j'avoue qu'en ce qui concerne les commandes que tu m'as envoyé je ne vois pas trop où rentrer ça :/

Nowwhat
28/05/2014, 22h29
Les mails sont donc fort probablement envoyé à partir de ton hébergement.
Ils s'agit donc bien des scripts, upload avec l'aide de "la faille" (un des scripts de WP ou un vrai faux image, etc) et ces scripts sont 'autonomes' maintenant.

Parfait pour le Pro.
Accède à ton accès SSH.
Exécute ceci:
cd /www/
grep -R 'base64'
Ça donne quoi ?

Ce qui va donner beaucoup plus de résultats, est
grep -R ' mail('
et/ou
grep -R ' .mail('

(exemple: chez moi:
forum/e107_handlers/phpmailer/class.phpmailer.php: * Sets Mailer to send message using PHP mail() function.
forum/e107_handlers/phpmailer/class.phpmailer.php: * Sends mail using the PHP mail() function.
forum/e107_handlers/phpmailer/class.phpmailer.php: /* To be created automatically by mail() */
forum/e107_handlers/phpmailer/class.phpmailer.php: /* sendmail and mail() extract Cc from the header before sending */
forum/e107_handlers/phpmailer/class.phpmailer.php: /* sendmail and mail() extract Bcc from the header before sending */
forum/e107_handlers/phpmailer/class.phpmailer.php: /* mail() sets the subject itself */

et

forum/e107_handlers/phpmailer/class.phpmailer.php: $rt = @mail($val, $this->EncodeHeader($this->SecureHeader($this->Subject)), $body, $header, $params);
forum/e107_handlers/phpmailer/class.phpmailer.php: $rt = @mail($to, $this->EncodeHeader($this->SecureHeader($this->Subject)), $body, $header, $params);
forum/e107_handlers/phpmailer/class.phpmailer.php: $rt = @mail($val, $this->EncodeHeader($this->SecureHeader($this->Subject)), $body, $header, $params);
forum/e107_handlers/phpmailer/class.phpmailer.php: $rt = @mail($to, $this->EncodeHeader($this->SecureHeader($this->Subject)), $body, $header);


PS: t'as désactive les plugins, ou carrément, leur répertoires ont été supprimé : /wp-content/plugins/ ne liste QUE des plugins actives.

marceo
28/05/2014, 22h08
test effectué, j'ai supprimé les plugins et le template, j'ai purgé et réactivé les envois, et les spams reviennent au galop

marceo
28/05/2014, 21h48
Citation Envoyé par Nowwhat
La ou tu débloque (l'action d'OVH) tu peut aussi bloquer .....
Mutualisé => Hébregement => Suivi Emails Automatisés => Bloquer envois
Oui c'est fait

J'ai un pro

Je vais tenter de virer mon template et mes plugins tout simplement et voir si ça stop.
L'assistance se penche également sur l'affaire

(merci de ton aide en tout cas

Nowwhat
28/05/2014, 21h25
Citation Envoyé par marceo
tu trouves ça où ?
La ou tu débloque (l'action d'OVH) tu peut aussi bloquer .....

Mutualisé => Hébregement => Suivi Emails Automatisés => Bloquer envois

Citation Envoyé par marceo
changement mdp adresse mail = pas de changement, les spam partent toujours et le suivi des mails automatiques se bloque à nouveau
T'as un Perso ou un Pro ?
Autrement dit: t'as l'accès SSH sur ton hébergement ?

Quand t'as ré-up ton site (après effacement totale de ton hébergement), l'envoi des spams a commencé de suite ?
Si oui, quand tu met un WP 'originale - propre', les spams ne sont pas la ....
Dès que t'as mis ton 'continue' (plugins + user upload + thème ça commence) c'est ça ?

marceo
28/05/2014, 17h41
changement mdp adresse mail = pas de changement, les spam partent toujours et le suivi des mails automatiques se bloque à nouveau

marceo
28/05/2014, 16h40
Citation Envoyé par Nowwhat
T'as fermé l'envoi des maisl par la function mail() de PHP ? (dans le Manager).
tu trouves ça où ?
j'ai changé mon mdp de boite mail... on va voir

Nowwhat
28/05/2014, 15h01
Citation Envoyé par marceo
Mais je ne pense pas que ça viennent d'un plugin. En effet même quand je faisais la manip, de tout supprimer / réinstaller, les spams continuaient à abonder
T'as fermé l'envoi des maisl par la function mail() de PHP ? (dans le Manager).

Pour prouver que ces spams passent pas par ton site, "vide" ton site.
Si les spams sont toujours envoyer, le spammeur utilise ton mail+logion de ton mail pour le déposer à partir de "ailleurs" sur ton compte mail (SMTP submission 587 ou accès SMTP SSL).
Change le mot de passe de ton mail (tes mails) lié à ton domaine.
Dans ce cas: pas de soucis avec les fichiers sur ton hébergement, mais une fuite (trojan ou un animal du genre) dans ton PC.

De mémoire, on peut voir si les maisl sont "injecté" à partir de ton site dans le serveur mail d'OVH, ou si un PC avec accès smtp est utilisé.
Montre nous toutes les entêtes d'un spam ....

marceo
28/05/2014, 14h23
Mais je ne pense pas que ça viennent d'un plugin. En effet même quand je faisais la manip, de tout supprimer / réinstaller, les spams continuaient à abonder

marceo
28/05/2014, 14h16
Citation Envoyé par Nowwhat
Liste tes plugins stp.
Merci pour ta réponse,

voici mes plugins,
akismet
Contact Form 7
Good Question
If Menu
LayerSlider WP
Maintenance
One Click Close Comments
Really Simple CAPTCHA
s2Member Framework
Symple Shortcodes Premium
TablePress
Wordfence Security
WordPress Importer
WordPress SEO
WPBakery Visual Composer

j'analyse les logs, a priori il ne passe pas par le FTP (je ne trouve que mon ip)


merci encore

Gaston_Phone
28/05/2014, 13h56
Citation Envoyé par marceo
J'ai réuploadé mes contenus (images...) en vérifiant qu'il ne s'y trouvait rien de suspect
Sur quels critères ?

Nowwhat
28/05/2014, 13h41
Citation Envoyé par marceo
S....
J'ai supprimé TOUT ce qui se trouvait sur mon serveur !
J'ai réinstallé un nouveau Wordpress
J'ajoute: tu importe ta base des données.
Et la, je suis prêt à parier que ton site ne te montre aucun symptôme suspect ....

L'erreur est ici:
en vérifiant qu'il ne s'y trouvait rien de suspect
Car, tu trouves uniquement des choses "suspect" quand tu reconnais que quelque chose est suspect.
T'es au courant qu'un image JPG - qui est visible comme "vrai image" peut embarqué une partie script PHP qui est exploité par un tiers ?!
Mais toi, ta vu ton 'image' JPG donc tu pense que c'est bon.

Si t'as dix minutes, va voir ceci: http://www.net-security.org/dl/artic...ile-upload.pdf
Tu va pleurer ......

Liste tes plugins stp.
Je t'invite aussi à comparer le code "script" der ton thème avec un thème éprouvé de WP.

SI le hackeur passe par le serveur web, il utilise forcement des fichiers louche, présent sur ton hébergement.
La bonne nouvelle est: les speed logs d'OVH te montre ces accès ....
La question SI il passe par l'accès FTP n'existe pas. cette question, on le pose pas. On regarde les logs accès FTP que OVH t'offre et tu regarde QUEL IP utilise l'accès ton FTP. SI c'est que TON IP tu sauras que l'accès FTP n'est pas utilisé par le hackeur. C'est si simple que ça.
Par contre, SI le hackeur se balade avec ton login FTP t'as un sérieux problème avec ton ordi.

Une solution temporaire: bloque l'accès des maisl avec la fonction mail() de PHP.
Paramètre WordPress pour qu'il utilise le (un) serverur SMTP (mode submission, porte 587).
(ceci ne te protège à peine, car il faut bien que les données d'authentification seront présent dans ta base des données, avec les autres paramétrages de WP).

marceo
28/05/2014, 12h39
Citation Envoyé par Nowwhat
Bonsoir,
Si t'as un thème 'à toi' je te conseille de le sauvegarder.
Ton thème est bien dans un répertoire à lui, n'est pas ?

Sache que les plupart des fichiers de WordPress sont statiques, seule le mise à jour de WP peut les changer.
Exception:
/wp-content/uploads - si les utilsateurs peuvent upload des fichiers 'noctif', ils seront ici ....
/wp-content/plugins - c'est toi qui pourait utiliser un plugin avec une faille - ne utilise QUE des plugins très connus, bien suivis. Utilise le moins des plugins possible.
/wp-content/themes - normalement, les themes (de natif WP) ne sont que des fichiers qui peuvent créer des templates 'html' - sauf s'il t'as ajouté toi tout histoire de PHP qui fait autre chose ==> risque.
Salut, merci pour ta réponse.

J'ai supprimé TOUT ce qui se trouvait sur mon serveur !
J'ai réinstallé un nouveau Wordpress
J'ai remis mon thème que j'avais préalablement sauvegardé
J'ai réuploadé mes contenus (images...) en vérifiant qu'il ne s'y trouvait rien de suspect
J'ai réinstallé mes plugins / supprimé les plugins un peu "douteux"
Supprimé également des fichiers "fait main" qui se trouvait sur mon serveur

Et surprise... ça continue.

Donc mes envois de mail auto n'arrête pas de se stopper (Or j'en ai besoin pour le bon fonctionnement de mon site...)

Pour couronner le tout pas de réponse d'OVH depuis la semaine dernière sachant que la seule réponse a laquelle j'ai eu droit est "changer vos codes FTP"...

Je commence un peu a désespérer.

Nowwhat
25/05/2014, 23h12
Bonsoir,
Si t'as un thème 'à toi' je te conseille de le sauvegarder.
Ton thème est bien dans un répertoire à lui, n'est pas ?

Sache que les plupart des fichiers de WordPress sont statiques, seule le mise à jour de WP peut les changer.
Exception:
/wp-content/uploads - si les utilsateurs peuvent upload des fichiers 'noctif', ils seront ici ....
/wp-content/plugins - c'est toi qui pourait utiliser un plugin avec une faille - ne utilise QUE des plugins très connus, bien suivis. Utilise le moins des plugins possible.
/wp-content/themes - normalement, les themes (de natif WP) ne sont que des fichiers qui peuvent créer des templates 'html' - sauf s'il t'as ajouté toi tout histoire de PHP qui fait autre chose ==> risque.

marceo
24/05/2014, 15h59
Citation Envoyé par NouveauEnVille
le plus sûr serait de tout ré-insaller à neuf, mais en même temps identifier la faille par laquelle ils passent, sinon ça risque de recommencer.
Arf je n'ai pas envie d'en arriver là. J'ai pas mal modifié mon template et je n'ai pas envie de perdre toute mes modifs... Enfin ce sera le dernier recours.

J'ai fait un scan avec wordfence, j'ai trouvé un fichier qui devait être à l'origine du phishing planqué dans le dossier du template "twentyten". Donc j'ai supprimé tout ça mais les spams sont encore là. Je n'arrive pas à trouvé d'où ils sont émis...

NouveauEnVille
24/05/2014, 11h58
Je n'ai pas d'hébergement mutualisé, et ne connais wordpress que par le nom, donc, ça va encore être un message inutile de ma part...

Cependant, juste effacer les fichiers/répertoires du FTP qui ne sont pas à toi, ça n'est que moyennement utile (mais à faire bien entendu). En effet, une faille "quelque part" permet à des hackers de copier leurs fichiers sur ton site. Donc, les fichiers effacés, la faille est toujours là, et ils peuvent donc l'exploiter à nouveau, encore et encore. De plus, il y a les fichiers que tu "voies", mais il est fort possible qu'ils aient aussi modifié des fichiers déjà existant pour y laisser un backdoor.

Donc, de toute façon, le plus sûr serait de tout ré-insaller à neuf, mais en même temps identifier la faille par laquelle ils passent, sinon ça risque de recommencer. De plus, ça n'est certainement par un piratage "manuel", certainement un bot exploitant des failles connues. Ceux qui sont "experts" en WP vont certainement te demander la liste des plugins que tu utilises ainsi que leur version, ça peut être un commencement.

marceo
24/05/2014, 11h00
Bonjour à tous,

Voilà cela fait plusieurs jours (bientôt deux semaines) que je me bats pour sortir mon site d'une belle galère, mais je n'y arrive pas. C'est pourquoi je demande votre aide aujourd'hui.

Environnement : Serveur mutualisé - wordpress, dernière version.

Pour résumer :
Stade 1 : Il y a deux semaine mon site tombe en 403. Je me rends compte que c'est OVH qui a tout bloqué car mon site présente des pages de phishing. En effet je vérifie sur mon FTP et je trouve des nouveaux dossiers, contenant ces fameuses pages de phishing. Je supprime tout ça, lèvre l'erreur 403 et ça repart.
Stade 2 : Mes envois d'emails automatiques sont bloqués. En effet mon site semble envoyer automatiquement des centaines d'emails de spams... Ajouté à cela, un nouveau dossier de "phishing" est venu s'installer sur mon serveur... cool -__-'. Je le supprime à nouveau, mais cette fois-ci je change tout : code FTP, identifiants WP, je mets à jours TOUT mon site et TOUS les plugins, active le par feu applicatif ovh, je supprime tout ce qui est inutile sur mon serveur... bref je nettoie tout ça.
Stade 3 : Pendant quelques jours tout se passe bien. Mes emails automatiques sont débloqués, pas de retours de dossiers suspects sur mon serveur. Je me dit que mon nettoyage à porté ces fruits et que c'est reglè. ET BIM ! C'est reparti comme en 40, envoi de mail de nouveau bloqué depuis 2 jours. Là je ne sais plus quoi faire, j'ai fait tout ce qu'OVH m'a recommandé mais je n'arrive pas à trouver d'où ça vient...


Infos supplémentaires :
Les tentatives de phishing était pour la BNP (Si jamais qqun se reconnait on ne sait jamais...).

ET les messages d'erreurs de mail ressemble à ça (si ça peut aider) :
Reporting-MTA: dns; mo158.mail-out.ovh.net X-Postfix-Queue-ID: 50686FF9380 X-Postfix-Sender: rfc822; bounce-id=D140=U596815.start.ovh.net=1400568395347151851@ 93.mail-out.ovh.net Arrival-Date: Sat, 24 May 2014 10:14:19 +0200 (CEST) Final-Recipient: rfc822; rlaramee@videotron.ca Original-Recipient: rfc822;rlaramee@videotron.ca Action: failed Status: 5.1.1 Remote-MTA: dns; mx.videotron.ca Diagnostic-Code: smtp; 550 5.1.1 unknown or illegal alias: rlaramee@videotron.ca
J'ai vu que ce problème était arrivé à d'autres membres du forum mais pas de solutions en vue. Donc si quelqu'un se reconnait dans ce cas et peut m'apporter des éléments de réponse je suis preneur !