VIRUS / MALWARE

Un site internet n’est jamais définitivement terminé (lors, et après sa livraison). Il peut être amélioré continuellement, ce qui est une bonne chose.

Mais surtout, LE PLUS IMPORTANT, et de le surveiller, le contrôler, le maintenir.
En effet, les thèmes choisis, les extensions, les versions de WordPress, etc., sont régulièrement mis à jour par leurs auteurs.

Pourquoi ?
Très simplement souvent parce que ces auteurs comblent des failles dans leurs produits. Des failles que l’on appelle « Backdoor », « faille zéro day », etc..

Depuis le premier confinement dû à la Covid19 (début 2020), les attaques, virus, et autres joyeusetés ont considérablement augmenté la part de travail de surveillance des agences proposant des contrats de maintenance.
C’est bien simple, concernant Pictopagina, ce fut la principale activité du 1er semestre 2020.


Depuis une bonne année, un virus sévit sur le Net, et il est rudement vicieux : Nobodycrew.3414

NE SURTOUT PAS CLIQUER SUR AUTORISER (ALLOW)

Comme il est demandé ici sur cette image.

Voici quelques Urls de redirection (depuis un site vérolé donc) que j’ai pu noter :
https://redbigtaskdog.me/?p=guywkylcmu5gi3bpgu4dknq&sub1=Hooks34&sub2=Daddya

https://tvnotfollowsite.me/?p=guywkylcmu5gi3bpgu4dknq&sub1=feramo23&sub2=desellery7
https://jackbiggestfollow.me/?p=guywkylcmu5gi3bpgu4dknq&sub1=feramo23&sub2=desellery7
https://0.redbigtaskdog.me/?p=guywkylcmu5gi3bpgu4dknq&sub1=Wildy&sub2=iron4
https://0.colorskyactiveline.me/?p=gqztombqgi5gi3bpgi3toma&sub1=simla&sub2=dihimom

 

De fait, on retrouve de nouveaux administrateurs (malicieux) sur le tableau des Users…
Tel celui-ci : jaradaracccc@gmail.com (Kremenchug, Ukraine)

Et ci-dessous : trainwordpressai@site.com (Belize)

En étudiant complètement les codes du premier site client touché, j’ai donc pu déterminer qu’il s’agissait du virus Nobodycrew.3414

Des infos sur ce virus, sur le site de Wordfence : https://www.wordfence.com/docs/how-to-clean-a-hacked-wordpress-site-using-wordfence/

MAIS KOMENQUIFONT ?

Ce virus profite d’une faille Backdoor (sur une extension, sur un thème, etc.), pour outrepasser l’accès à l’administration d’un site WordPress.
Même le dossier wp-admin n’échappe pas à l’intrusion !!!

Il installe sur le niveau zéro d’un site, un fichier “wp-xmlrpc.php” (en plus de xmlrpc.php).
Donc les protections de sécurité sont mises à mal. Ouch !

Voici (ci-contre) l’analyse (partielle) de ce fichier index.php modifié dans le dossier wp-admin, où l’on voit des codes malicieux “chr” (pour character).

De ce fait, il va pouvoir infecter le site dans son entier, modifiant (entre autres) tous les fichiers index.php présents sur le site.

Voici (ci-contre) l’analyse de ce fichier index.php modifié au niveau zéro, où l’on voit des codes malicieux “chr” (pour character).
Le code “require _DIR_ n’est plus actif (actif = rouge, commentaire = en vert)

Alors que le fichier “normal”
doit correspondre à ceci
(cliquer sur l’image)

Je vous laisse apprécier le travail de compréhension des codes malicieux “chr”, à l’aide de ce lien :
https://codes-sources.commentcamarche.net/source/14406-liste-des-codes-de-caractere-chr

Traduire chaque fichier, chaque code vérolé, relève alors de la gageure.

Même le fichier .htaccess s’en trouve modifié (!!! ???). 
J’ai également remarqué un dossier supplémentaire : lte

 

Éradiquer ce virus, en étudiant et corrigeant le code “à la main”, est quasi chose impossible. J’ai pourtant bien tenté ma chance, mais las, sans résultat probant.
Des sociétés spécialisées vous proposent leurs services, mais à quels prix !

Voyez ici, le résultat d’une étude (scan d’un de mes sites perso), où 114 fichiers altérés ont été repérés.

Cliquer sur l’image ci-contre pour voir le fichier au format Acrobat.pdf

UN PLUGINS DE TROP !

Sur un des sites qui sont hébergés sur mon Offre Unique Mutualisée, j’ai remarqué à la date supposée du piratage (les 5 et 9/03/2021), un plugins (une extension) de trop !
Je n’ai pas souvenir de l’avoir installée… elle répond au doux nom de : wp-strongs

Fichier Pdf du code de ce Plugins : cliquer ici

En étudiant le code de ce plugins, on voit des codes malicieux, et l’auteur serait : https://wpstrongs.com

Mais là, vous aurez beau chercher, on ne trouve rien.

Serait-il à l’origine du marasme ?

PICTOPAGINA & O2SWITCH À LA RESCOUSSE ?

Suite aux attaques dues à ce virus, j’ai déjà dû rectifier le site d’une cliente (hébergé chez OVH), ainsi que TOUS les miens (sur mon offre unique O2Swicth) lorsqu’ils furent touchés les 17 et 18/03/2021…

Car pour tous les sites hébergés sur des serveurs mutualisés (les moins chers, plusieurs sites internet sur un même disque-dur), les sites contigüs seront également contaminés par la vérole…


Je tiens à préciser, que désormais, je conseille à tous mes clients de choisir O2Switch comme hébergeur.

En effet, ce dernier propose une assistance (je les ai même au téléphone) quasi immédiate.
De plus, leurs outils sur le CPanel de votre site, permettent de remédier à bon nombres de situations malencontreuses.

 

Il est évident que je continue (au 19/03/2021) à faire des recherches sur ce Malware…

SAUVEGARDE DES SITES WORDPRESS

On voit donc qu’il est donc primordial de surveiller, sauvegarder, les sites, ET CE, quotidiennement, à l’aide d’outils spécialisés (achats de licences en nombre de la part de Pictopagina).

Concernant la sauvegarde régulière des sites, on notera, avec l’incendie du DataCenter OVH à Strasbourg (mars 2021), que certains n’avaient pas prévu de sauvegarde, et n’ont plus que leurs yeux pour pleurer…
Ce sont 3,5 millions de sites qui ont été impactés, et près de 12000 à 16000 sites qui sont à jamais perdus… https://www.youtube.com/watch?v=7q62bVb7TrQ

Il est à noter que la seule sauvegarde du site sous WordPress n’est pas suffisante, il faut également régulièrement sauvegarder la base de Données (Bdd).
Il faudra aussi prévoir de sauvegarder sur un autre site que celui du site sauvegardé (chez l’hébergeur), comme par exemple, sur Dropbox et bien entendu, rapatrier de temps en temps, les sauvegardes sur un ordinateur ou tout autre device individualisé du serveur de l’hébergeur..

D’ailleurs à ce titre, je prévois de rédiger un article concernant : Sauvegardes informatiques et RGPD.
Car en réalité, ce sont les clients d’OVH (ou d’autres hébergeurs) qui n’avaient pas prévu de sauvegarde, qui pourraient se voir inquiétés par la CNIL pour manquement grave à cette règle du RGPD.
Alors certes, OVH n’a octroyé QUE 30€ d’avoir, à une commerçante en ligne qui se plaignait d’un préjudice financier, mais cette commerçante pourrait bien voir l’histoire se retourner contre elle.

Voir cet article : https://www.lemagit.fr/actualites/252497935/Incendie-OVHcloud-les-entreprises-decouvrent-leur-absence-de-sauvegardes

CONTRAT DE MAINTENANCE PICTOPAGINA

Pictopagina offre la première année de ce contrat (voir votre devis), ainsi, vous avez loisir à vérifier durant ce temps, que tout va bien pour votre site.
Et si jamais il y a un problème, je vous contacte et tente (réussi) de résoudre ledit problème.

Voir le chapitre “Contrat de Maintenance”, en cliquant sur le bouton ci-contre

2 commentaires

  1. Contrairement à ce que j’ai pu entendre et/ou lire, non, faire un site WordPress n’est pas à la portée de tous.
    Si l’on veut être sûr d’être conforme au niveau juridique, mais surtout, savoir son site être sécurisé au maximum possible, il vous faudra passer par des professionnels…

    Après tout, si vous changez un moteur, vous faites appel à un garagiste, si vous changez une chaudière, vous faites appel à un plombier, etc.

    Alors imaginez, vous retrouvez confronté à des pirates ayant EUX, tous les connaissances nécessaires pour vous pourrir la vie !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée Champs requis marqués avec *

Publier des commentaires

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.