Discussion :

[shakapouet]

Bonjour,

J'ai actuellement un site web sous wordpress héberger sur ovh.
Mon site a été fermé car je me suis fait hacker.
La personne de chez OVH m'a donné la liste des fichiers infectés. Ils ne rouvriront mon site web uniquement après avoir nettoyé les fichiers infectés

J'ai donc mon fichier distort.php qui est corrompu. Malheureusement je ne suis pas expert en dev PHP. J'aimerais savoir si une personne qui développe pourrait me trouver la faille de sécurité de mon fichier.

Voici le code du fichier distort.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
<?php
 
function html($data)
 
{
 
..........................
..........................
..........................
..........................
 
?>

Pour le moment j'ai retiré le fichier de mon serveur ftp. Dans l'attente d'une aide de votre part.

Cordialement

Shakapouet

[sabotage]

Est-ce que ce fichier était même présent sur ton site de base ?

Tu n'as pas une sauvegarde ?

[Invité]

Bonjour,

...c'est pourquoi il faut toujours conserver une COPIE SAINE des fichiers (sur son ordi., sur un disque dur externe,...).


[EDIT] Je suis d'accord avec sabotage.
Il semble que ce soit tout le script qui soit un hack.
Le fichier distort.php est a supprimer définitivement !
... et voir dans les autres fichiers où il a pu être inclus (à priori au début de chaque page index ?)

(j'ai supprimé le code de ton message)

[shakapouet]

Bonjour,

Aucune idée, si le fichier étais déjà présent. Je peut le retirer et contacter OVH pour leur dire que le fichier est supprimé et je verrais bien une fois mon site réouvert , si il y a des problèmes ou pas ?

Qu'en pensez vous ?

Cordialement

[cavo789]

Bonjour

Pour sûr tu trouveras d'autres bestioles sur ton site. Il est rare de n'en trouver qu'une.

Tu peux tenter de les débusquer avec mon scanner gratuit : https://www.aesecure.com/fr/blog/aes...quickscan.html.

Tu trouveras sur cette page-là un lien pour télécharger un script (aesecure_quickscan.php) qu'il suffit de placer dans le dossier que tu souhaites scanner (p.ex. ton dossier racine) et d'y accéder ensuite par URL http tonsite/aesecure_scan.php.

Bonne journée.

[furtif1]

Salut,

Si Ovh réactive ton site, pense à vérifier qu'il est bien à jour. La plupart des hacks de CMS viennent du fait que le site n'est pas mis à jour. Le moteur du CMS, mais également son thème, ses extensions ...etc

A+

[Tsilefy]

Salut,

Si Ovh réactive ton site, pense à vérifier qu'il est bien à jour. La plupart des hacks de CMS viennent du fait que le site n'est pas mis à jour. Le moteur du CMS, mais également son thème, ses extensions ...etc

A+

Exactement. Avant de réactiver le site, il faut savoir d'où vient la faille qui a permis au script d'être présent sur ton site.

Est-ce que tu as une sauvegarde? Si c'est le cas, télécharge ton site actuel (afin de garder une copie), et mets une sauvegarde propre en ligne (vérifie que la sauvegarde soit propre avant de supprimer les fichiers actuels et de remettre la sauvegarde).

Si tu n'as pas de sauvegarde, le meilleur moment pour en faire c'était avant; et le deuxième meilleur moment c'est à partir d'aujourd'hui.

Est-ce que tu as Wordpress? Vérifie qu'il est à jour, et que toutes les extensions sont à jour. Regarde s'il n'y a pas de comptes utilisateurs que tu n'a pas ajoutés. Idem si tu as Drupal, Joomla etc...

Modifie tous tes mots de passe (mysql, ftp, email, ssh etc...)

N'utilise plus FTP, passe en SFTP.

Vérifie ton site avec https://sitecheck.sucuri.net/

[scvo.0ne]

Le problème c'est qu'en cas de hack ovh bloque l'accès au site; donc pas de possibilité de scanner le site.

Il ne faut pas rétablir l'accès au site sans avoir corrigé complètement le problème, sous peine de voir le site être rebloqué assez rapidement.

Regarde les logs apache pour voir d'où vient le hack (en gros cherche distort.php, prend l'ip, et regarde à quoi à accédé cette ip).

N'essaye pas de mettre à jour ton wordpress vérolé, un hacker un minimum prévoyant aura pris soin de cacher un ou deux formulaires d'upload.

Le mieux est de ne récupérer que le nécessaire, càd la base de donnée et le dossier upload, puis de repartir sur une installation propre. Le thème et les plugins ça se récupère sans trop de soucis. Bien sur, vérifie ce que tu récupère (pas de scripts dans les uploads, pas d'user/article/page inconnu, ... )

A savoir, Ovh propose sur les mutus des snapshots de fichiers et de base de donnée sur plusieurs jours; ca peut être utile.

[cavo789]

Bonjour

Le problème c'est qu'en cas de hack ovh bloque l'accès au site; donc pas de possibilité de scanner le site.

En fait, il est possible de rétablir le site jusqu'au prochain passage du robot d'OVH qui va, s'il est malsain, bloquer à nouveau le site.
Mais oui, on peut le rétablir le temps du scan / nettoyage. Voir https://www.ovh.com/fr/g1392.procedu...eture-hack-ovh pour plus d'info

Il ne faut pas rétablir l'accès au site sans avoir corrigé complètement le problème, sous peine de voir le site être rebloqué assez rapidement.

On peut le rétablir le temps du scan ;-)

Bonne journée.

[Tsilefy]

En complément de tout ce qui a été dit, si tu as accès à une console ssh, tapes la commande suivante à la racine

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

find . -type f | xargs grep -n 'eval(base64_decode' > eval.txt

Cette commande va enregistrer dans le fichier eval.txt les numéros de ligne et les noms des fichiers qui contiennent "eval(base64_decode" dans ton serveur. L'immense majorité des malware PHP contiennent ce texte.

Si tu as des fichiers dans eval.txt, regarde s'ils sont légitimes ou pas, et s'ils ne le sont pas, supprimes-les. Attention, dans certains cas, le malware s'injecte aussi dans des fichiers PHP "normaux". Dans ce cas, il faut seulement supprimer la ligne en question. En cas de doute, n'hésite pas à demander ici.