Malware suite et fin
Le site/blog est maintenant stable.
A priori, l’infection provenait d’un malware sur mon PC qui utilisait mon client FTP pour se propager.
Merci aux sympathiques twittos qui m’ont conseillés sur twitter, au final j’ai fait une réinstalle de mon OS, un scan complet, réinstallé mon WordPress à partir des sources officiels, réinjecté mes fichiers de config en les ayant nettoyés manuellement, modifié mon password FTP et maintenant je ne conserve plus en mémoire mes identifiants/password dans mon client FTP, en effet ils sont lisibles en dur dans un fichier XML, je ne le savais pas, le malware si! Lire à ce sujet cet article très intéressant.
Pour moi c’est trop tard mais pour ceux que ça intéresse il y a un correctif de Konstantin Boyko qui circule là, ici et encore là. (!! ATTENTION !! en accédant à ces pages vous aurez sans doute une alerte de votre antivirus, c’est normal)
Il ne me reste plus qu’à peaufiner les détails du nouveau design, remettre le widget des commentaires récents et autres plugins qui vont bien…
Bonnes fêtes en passant.
[Edit 28/12/2009 - 00:51] Je viens de remettre le smartlook d’issuu (lecture embarqué des pdf)
[Edit 28/12/2009 - 23:16] Ajout du favicon, SEO, optimisation robots.txt
[Edit 29/12/2009 - 01:15] Ajout du module “Quelques documents” avec les pdf embarqués d’issuu, Modification de titre du module de “liens” (ex. blogoliste)
[Edit 06/01/2009 - 00:18 - @Marc-OH dans les commentaires]
- Modification du mot de passe FTP côté serveur
- sauvegarde de la base de données (elle n’est pas vérolée, elle servira en cas de pépin)
- Récupération des fichiers : wp-config.php, .htaccess, robots.txt et wp-content/uploads/*
- Suppression à la mano dans les fichiers récupérés du code en fin du source commençant par :
<script>/*GNU GPL*/ try... - Récupération d’un package WordPress sur le site officiel ainsi que les plugins à installer et le thème choisi
- Scan complet du PC avec suppression du pgm malveillant OU réinstallation de l’OS
- Connexion par ftp SANS sauvegarder les login/password dans le client FTP
- Suppression sur le serveur de tous les composant WordPress
- Installation du package wordpress sain
- réinjection des fichier wp-config.php, .htaccess, robots.txt et wp-content/uploads/*
- se connecter à l’admin, activer les plugins et le thème.
- peaufiner en customisant le thème et les réglages des différents plugins
Bon courage!
5 January 2010 - 19:20
Moi aussi, tout mes blogs sont infectés…
Est-ce que tu pourrais résumer l’intégralité de la procédure à suivre car j’aimerai tout reprendre depuis le début.
5 January 2010 - 21:06
Bonsoir,
@Marc-OH Dans la soirée, je mettrai en edit de cet article la procédure que j’ai suivi pas à pas
6 January 2010 - 9:44
Merci beaucoup Guillaume, cette procédure va m’être très utile !
6 January 2010 - 11:59
J’espère que cela suffira à résoudre ton pb.
6 January 2010 - 20:04
Bon… Après un scan de mon pc avec spybot, ad-aware et avast, rien. Avec quel soft as-tu trouvé le malware ?
7 January 2010 - 0:11
J’ai réinstallé mon OS, réponse en détail par mail
11 January 2010 - 10:18
Grâce à tes conseils, j’ai réussi à supprimer le méchant virus. J’ai par ailleurs réinstallé wordpress en version 2.8.6 mais maintenant je cherche à éviter à nouveau que ce genre de problème réapparaisse. Comment dois-je faire ? Existe-t’il un correctif ?
11 January 2010 - 11:30
Première chose : ne plus stocker login/password sur ton client FTP, les ressaisir à chaque fois.
Deuxième chose : j’ai installé ce plugin Protect WordPress Against Malicious URL Requests
Troisème chose : Exploit scanner permet de scanner les failles de sécurité de ton WP.
Quatrième chose : Sauvegarde régulièrement tout tes fichiers WP et ta base de données. En cas de coup dur tu pourras tout remettre sans te poser de question.
Pour finir : passe à la v2.9, ce n’ai pas encore fait chez moi mais cela ne devrait pas tarder.
12 January 2010 - 23:06
(Une dernière question et après j’arrête mon harcèlement !)
Les bases de données sont-elles corrompus à cause de ce virus ? Ou puis-je continuer à utiliser une bdd déjà existantes sans risque ?
13 January 2010 - 14:03
Non les bases de données ne sont pas touchées.
27 February 2010 - 15:49
J ai eu ce virus aussi, sur mon pc perso, en allant sur un site web infecté (surement un controle activeX, ou un script java ou js):
symptomes vus:
- tentative d installation d un faux antivirus “security essentials 2010″
- blocage du gestionnaire de taches
- blocage de sites web
- modification et creation de clés de registre à “security essentials 2010″
- creation d un fichier “helpers32.dll” dans system32
- modification du fichier hosts
- modification des fichiers index.* et *.js des sites web que je gère, et dont les comptes sont enregistrés dans filezilla, ca n a pas modifié ces fichiers en local sur mon pc, mais directement sur les serveurs d hébergement de mes sites, tres vicieux !, et il faut croire que les comptes sont donc enregistrés en “clair” dans Filezilla en effet !
Nettoyage:
- scan avast avant lancement windows, et en mode sans échec (x fois)
- scan malwarebytes (x fois)
- nettoyage manuel du registre des clés restantes “security essentials 2010″
- HiJackThis pour vérifier s il reste rien
- suppression des fichiers index.* et *.js sur les serveurs d’hébergement des sites infectés
- je confirme aussi, pas d infection de mes bases de donnés MySql
10 March 2010 - 19:49
Je suis d’accord avec votre méthodologie ici pour commencer maintenant au large de la pièce. Il n’ya tout simplement pas de meilleure façon de nettoyer votre système et être complètement libre de malware, sans faire une installation propre. Ces bouts de code peut creusent profondément dans le code et continuent de causer des méfaits, même avec un certificat de bonne santé par votre programme antivirus.
10 March 2010 - 22:25
THX @Malware