Accueil > Uncategorized > VMnerds virusé
Oct/1229

 

Début Octobre, le blog VMnerds a été infecté malencontreusement par un malware. Nous avons été prévenus assez rapidement (merci Didier), mais nous avons mis 2 semaines pour l’éradiquer. J’espère que votre anti-virus vous avait alerté et surtout protégé de ce problème. A défaut, après quelques jours, Firefox et Google étaient en mesure de vous alerte de cette faille de sécurité comme on peut le voir sur les captures d’écrans ci-dessous:

Le malware a fait une injection de code zippé en début de mes pages index.php (Cf. capture ci-dessous). Cette injection venait charger une URL et afficher différentes pubs.

Malgré l’usage de différentes extensions pour sécuriser WordPress, je n’ai pu avoir qu’une action réactive. Aucun de ces modules n’a été en mesure d’éradiquer complètement le malware. En effet, le code était régénérer systématiquement après nettoyage.

Sans en être complètement sûr, je pense que l’infection se trouve dans la base de données et que l’intrusion est arrivée par une faille de sécurité dans « phpMyAdmin » ou dans une des extensions WordPress.

La seule solution efficace a été de tous supprimer, remettre un nouveau WP, importer le contenu, restaurer le répertoire « uploads », re-installer les extensions et surtout les reconfigurer manuellement. Avec le peu de temps que j’ai en ce moment pour écrire des articles, il m’a fallu 2 semaines 🙁 pour revenir au même niveau fonctionnel.

Après cette attaque, je peux vous dire que ca arrive même si je pensais y être préparé. Et malgré tout, je n’ai assez de recule pour vous recommander de bons modules d’extensions pour la sécurité, mais la sécurité ne pas tous, il faut surtout des sauvegardes.

Voici quelques lectures intéressantes:

Veuillez m’excuser pour la gêne que cela a pu occasionner.

 

  1. Tom
    30/10/2012 à 15:15 | #1

    Salut Jerem, suite à un piratage un peu pareil il y a quelques années sur un WP, j’ai mis en plus un plugin qui est chiant, mais putain lui au moins il est bien. En fait il te préviens en cas de changement (via un hash MD5 ou un modif de date de modification en fonction de ce que supporte ton serveur) des fichiers de ton WP, plugin compris. J’utilise donc Better WP Security (la meilleure extension selon moi) pour la sécurité de mon WP, et il possède maintenant cette fonctionnalité qui donc scanner régulièrement ton contenu, et si un fichier est modifié, il t’envoi un mail ou un l’affiche sur le dashboard (il m’a permis de détecté une attaque dernièrement suite a une faille dans un plugin : http://bit51.com/software/better-wp-security/
    A posséder d’urgence !!! =)

    N’hésite pas si tu as besoin d’aide la dessus je suis souvent sur du WP =)

  2. JBrison
    01/11/2012 à 01:01 | #2

    Merci @Tom j’ai justement découvert ce plugin. J’avais plusieurs plugins en place mais ils ne m’ont été d’aucune utilité (ou presque) lors de l’intrusion. J’ai commencé à mettre en place Better WP Security, il m’a l’air bien complet.
    Merci encore pour ce retour.

  3. Tom
    06/11/2012 à 15:02 | #3

    Un truc aussi a faire, c’est de vérifier que tu n’as pas de vieille version (thème ou plugin) du plugin souvent utilisé : Timthumb !
    Tu vois en ce moment je subit par exemple beaucoup d’attaque sur mes blogs. Je fais du blocage automatique perso, je m’emmerde pas !

  4. JBrison
    06/11/2012 à 20:13 | #4

    De nouveau merci @Tom .
    J’ai bien un module Timthumb dans une de mes plugin. C’est sans doute de la qu’est venu l’intrusion.
    Fin de l’enquête, correctif expliqué ici:
    http://korben.info/timthumb-exploit-wordpress.html

  5. Tom
    23/11/2012 à 15:16 | #5

    Oui il fut problème de beaucoup de faille de sécurité car employé par énormément de blog et de thème !

  1. Pas encore de trackbacks