IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Des centaines de sites WordPress infectés par une porte dérobée récemment découverte.


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Femme Profil pro
    Rédacteur Web
    Inscrit en
    Mars 2020
    Messages
    838
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur Web

    Informations forums :
    Inscription : Mars 2020
    Messages : 838
    Points : 58 045
    Points
    58 045
    Par défaut Des centaines de sites WordPress infectés par une porte dérobée récemment découverte.
    Des centaines de sites WordPress infectés par une porte dérobée récemment découverte,
    ce nouveau logiciel malveillant pour Linux exploite 30 vulnérabilités dans des plugins WordPress

    Une nouvelle souche de malware Linux fait le tour des sites Web basés sur WordPress, cherchant à exploiter 30 vulnérabilités connues dans plusieurs plugins et thèmes WordPress obsolètes. Baptisé Linux.BackDoor.WordPressExploit.1, le malware injecte des JavaScript malveillants dans les sites Web cibles. Il est conçu pour cibler les versions 32 bits de Linux, mais peut également fonctionner sur les versions 64 bits.

    Nom : Screenshot_2023-01-05 WordPress sites infected – Recherche Google.png
Affichages : 432155
Taille : 305,1 Ko

    Une fois de plus, l'importance des mises à jour en temps voulu est devenue évidente. Selon les chercheurs de la société de sécurité Dr.Web, le logiciel malveillant, Linux.BackDoor.WordPressExploit.1, basé sur Linux installe une porte dérobée qui permet aux sites infectés de rediriger les visiteurs vers des sites malveillants. Il est également capable de désactiver la journalisation des événements, de passer en mode veille et de s'éteindre. Il s'installe en exploitant des vulnérabilités déjà corrigées dans des plugins que les propriétaires de sites Web utilisent pour ajouter des fonctionnalités telles que le chat en direct ou les rapports métriques au système de gestion de contenu principal WordPress.

    « Si les sites utilisent des versions obsolètes de ces modules complémentaires, dépourvues de correctifs essentiels, les pages Web ciblées sont injectées avec des scripts Java malveillants. Par conséquent, lorsque les utilisateurs cliquent sur n'importe quelle zone d'une page attaquée, ils sont redirigés vers d'autres sites », écrivent les chercheurs de Dr.Web.

    Des recherches telles que celle-ci indiquent que plus de 1 300 sites contiennent le JavaScript qui alimente la porte dérobée. Il est possible que certains de ces sites aient supprimé le code malveillant depuis la dernière analyse. Néanmoins, cela donne une indication de la portée du malware.

    Les plugins exploités comprennent :

    • WP Live Chat Support Plugin
    • WordPress - Yuzo Related Posts
    • Yellow Pencil Visual Theme Customizer Plugin
    • Easysmtp
    • Plugin WP GDPR Compliance
    • Thème de journal sur le contrôle d'accès WordPress (vulnérabilité CVE-2016-10972)
    • Thim Core
    • Google Code Inserter
    • Total Donations Plugin
    • Post Custom Templates Lite
    • WP Quick Booking Manager
    • Facebook Live Chat par Zotabox
    • Blog Designer WordPress Plugin
    • WordPress Ultimate FAQ (vulnérabilités CVE-2019-17232 et CVE-2019-17233)
    • Intégration WP-Matomo (WP-Piwik)
    • WordPress ND Shortcodes pour Visual Composer
    • WP Live Chat
    • Page Coming Soon et mode de maintenance
    • Hybride
    • Plugin WordPress Brizy
    • FV Flowplayer Video Player
    • WooCommerce
    • Page Coming Soon de WordPress
    • Thème WordPress OneTone
    • Plugin WordPress Simple Fields
    • Plugin WordPress Delucks SEO
    • Poll, Survey, Form & Quiz Maker by OpinionStage (en anglais)
    • Social Metrics Tracker
    • Récupérateur de flux RSS WPeMatico
    • Plugin Rich Reviews


    « Si une ou plusieurs vulnérabilités sont exploitées avec succès, la page ciblée est injectée avec un JavaScript malveillant qui est téléchargé à partir d'un serveur distant. L'injection est effectuée de telle sorte que lorsque la page infectée est chargée, ce JavaScript est lancé en premier, quel que soit le contenu original de la page. À ce stade, chaque fois que l'utilisateur clique sur la page infectée, il est transféré vers le site Web vers lequel les attaquants veulent qu'il se rende », explique le compte rendu de Dr.Web.

    Le JavaScript contient des liens vers divers domaines malveillants, notamment :
    • lobbydesires[.]com
    • letsmakeparty3[.]ga
    • deliverygoodstrategies[.]com
    • gabriellalovecats[.]com
    • css[.]digestcolect[.]com
    • clon[.]collectfasttracks[.]com
    • comte[.]trackstatistics[.]com


    Nom : Screenshot_2023-01-05 Hundreds of WordPress sites infected by recently discovered backdoor.png
Affichages : 6209
Taille : 111,7 Ko

    Les chercheurs ont trouvé deux versions de la porte dérobée : Linux.BackDoor.WordPressExploit.1 et Linux.BackDoor.WordPressExploit.2. Selon eux, le malware pourrait être utilisé depuis trois ans. Linux.BackDoor.WordPressExploit.1 est développé avec des fonctionnalités supplémentaires, notamment le passage en mode veille, l'arrêt automatique et la mise en pause de l'enregistrement de ses actions. Le malware est conçu pour cibler les versions 32 bits de Linux mais peut également fonctionner sur les versions 64 bits.

    En plus de Linux.BackDoor.WordPressExploit.1, Dr. Web est également tombé sur une variante du même backdoor. La différence est que Linux.BackDoor.WordPressExploit.2 possède une adresse de serveur C2 différente, une adresse de domaine différente à partir de laquelle le JavaScript malveillant est téléchargé et cible 11 plugins supplémentaires.

    Les plugins WordPress sont depuis longtemps un moyen courant d'infecter les sites. Alors que la sécurité de l'application principale est assez solide, de nombreux plugins sont truffés de vulnérabilités qui peuvent conduire à une infection. Les criminels utilisent les sites infectés pour rediriger les visiteurs vers des sites utilisés pour le phishing, la fraude publicitaire et la diffusion de logiciels malveillants. Les personnes qui gèrent des sites WordPress doivent s'assurer qu'elles utilisent les versions les plus récentes du logiciel principal et des plugins. Ils doivent mettre à jour en priorité les plugins énumérés ci-dessus.

    10 étapes pour réparer un WordPress infecté par un malware

    Étape 1 : Sauvegardez toute votre base de données et vos fichiers

    • Utilisez la fonction d'instantané du site de l'hébergeur pour sauvegarder l'ensemble du site. Comme le site sera volumineux, le téléchargement prendra du temps.
    • Vous pouvez également essayer le plugin de sauvegarde de WordPress si vous avez pu vous connecter. Si vous n'y arrivez pas, cela signifie que votre base de données a été compromise.
    • Voici le plugin MalCare de BlogVault, un moyen abordable et rapide de réparer WordPress infecté par un logiciel malveillant. Disponible en version gratuite et payante (version payante à 99 $/an).
    • Faites maintenant une sauvegarde supplémentaire de la base de données en utilisant le plugin MalCare.
    • Si vous pouvez vous connecter, utilisez Outils > cliquez sur " Exporter " et exportez un fichier XML de l'ensemble de votre contenu.
    • De plus, si vous avez plusieurs installations de WordPress sur le serveur, vous devrez sauvegarder chacune d'entre elles.

    Remarque : n'oubliez pas de sauvegarder votre fichier .htaccess, puis de le télécharger. Vous pouvez localiser ce fichier invisible dans le gestionnaire de fichiers de l'hébergeur. Vous avez besoin de ces données de sauvegarde pour les recopier sur votre site propre. Parfois, le fichier .htaccess peut aussi être piraté, alors assurez-vous de l'examiner de plus près.

    Étape 2 : Télécharger et analyser les fichiers de sauvegarde

    Une fois la sauvegarde des fichiers effectuée, téléchargez-la puis ouvrez le fichier zip et vérifiez les fichiers suivants dans le processus de réparation de WordPress infecté par un logiciel malveillant.

    • Fichiers de base de WordPress : Téléchargez WordPress à partir de WordPress.org et faites correspondre vos fichiers téléchargés à vos fichiers sur WordPress. Vous aurez besoin de ces fichiers plus tard pour examiner le piratage.
    • Fichier wp-config.php : Le fichier le plus important, car il contient votre nom, votre nom d'utilisateur et votre mot de passe pour la base de données de votre WordPress, qui sera utilisé pour le processus de restauration.
    • Fichier .htaccess : Utilisez un programme FTP (ex-FileZilla) pour visualiser le dossier de sauvegarde ou votre fichier invisible.
    • Dossier wp-content : Dans ce dossier, vous trouverez trois dossiers comprenant les téléchargements, les thèmes, les plugins et les images téléchargées. Cela montre que vous avez une excellente sauvegarde de votre site.
    • La base de données : Pour les urgences, vous devriez conserver un fichier SQL de l'exportation de votre base de données.


    Étape 3 : Supprimez tous les fichiers du dossier public_html

    • Une fois que vous avez confirmé que votre sauvegarde est complète, supprimez tous vos fichiers dans le dossier public_html à l'aide du gestionnaire de fichiers de l'hébergeur.
    • Laissez le dossier cgi-bin et les autres dossiers liés au serveur (libres de tout fichier piraté).
    • Utilisez le gestionnaire de fichiers plutôt que le FTP pour supprimer les fichiers, car il est beaucoup plus rapide que les autres. Si vous êtes capable d'utiliser SSH, cela fonctionnera également. (n'oubliez pas de supprimer les fichiers invisibles compromis)

    Note : Si vous utilisez plusieurs sites web sur le même compte, n'oubliez pas de suivre les mêmes étapes pour chaque site. Une infection croisée est possible, alors sauvegardez-les tous, téléchargez-les et nettoyez-les.

    Étape 4 : Réinstaller WordPress

    • Il est maintenant temps de réinstaller WordPress. S'il a été installé à l'origine dans le répertoire public_html, réinstallez WordPress au même endroit. S'il était dans le sous-répertoire, installez-le dans un domaine supplémentaire.
    • Prenez la référence de votre sauvegarde et éditez le fichier wp.config.php sur le WordPress nouvellement installé. Cela vous aidera à connecter l'ancienne base de données à WordPress nouvellement installé.

    Remarque : Ne pas retélécharger le fichier wp-config.php précédent, car le nouveau fichier sera exempt de tout code piraté. De plus, la nouvelle installation aura de nouveaux cryptages de connexion.

    Étape 5 : Réinitialiser les permaliens et le mot de passe

    • Connectez-vous à votre nouveau site > réinitialisez tous les noms d'utilisateur et mots de passe.
    • Si vous trouvez des utilisateurs non reconnus, cela signifie que votre base de données a été compromise. Dans ce cas, vous devez contacter un professionnel pour supprimer tout code indésirable laissé dans votre base de données.


    Étape 6 : Réinstallation des plugins

    Maintenant vous pouvez réinstaller tous les plugins à partir du développeur de connexion premium ou du dépôt WordPress. Assurez-vous que vous n'installez pas les plugins précédents, c'est ainsi que vous réparez WordPress infecté par un malware.

    Étape 7 : Réinstaller les thèmes

    Ensuite, installez les thèmes à partir des nouveaux téléchargements. Les utilisateurs peuvent personnaliser les fichiers de thème, prendre des références à partir de fichiers de sauvegarde et reproduire les nouvelles modifications dans le fichier actuel.

    Remarque : n'utilisez pas le thème précédent, car il sera difficile de reconnaître les fichiers piratés.

    Étape 8 : Scanner et télécharger les images à partir de la sauvegarde

    Voici l'étape délicate dans le processus de réparation d'un WordPress infecté par un logiciel malveillant, l'utilisateur doit télécharger des images à partir des fichiers de sauvegarde. Mais vous devez faire attention à ne pas copier de fichiers piratés vers le nouveau contenu de WordPress. Pour cette raison, suivez les étapes suivantes :

    • Examinez chaque dossier, année/mois sur eux.
    • Ouvrez chaque dossier et assurez-vous qu'il n'y a que des images à l'intérieur et pas de fichiers H ou JavaScript ou quoi que ce soit d'autre que ce que vous avez téléchargé sur votre bibliothèque de médias.
    • Une fois que vous êtes confirmé sur vos images, vous pouvez les télécharger sur le serveur en utilisant le FTP.


    Étape 9 : Analysez votre système

    Recherchez les chevaux de Troie, les virus et les logiciels malveillants sur votre système. Lorsque vous avez terminé toutes les étapes mentionnées ci-dessus, il est maintenant temps de protéger votre serveur pour l'avenir. Pour cela, suivez les étapes suivantes du processus de réparation d'un WordPress infecté par un logiciel malveillant :

    • Installez le plugin Shield WordPress Security de iControlWP et activez-le. Passez en revue tous ses paramètres et exécutez une fonction d'audit pendant quelques mois, pour suivre chaque activité sur le site.
    • Exécutez le pare-feu et l'anti-malware Brute-Force et analysez votre site en profondeur. Confirmez que tout est couvert en utilisant le Site check de Sucuri.
    • Une fois que vous avez vérifié que le site est propre, désactivez le plugin Anti-Malware car vous n'avez pas besoin de deux plugins pare-feu en même temps. Ce bouclier vous informera en cas de changement dans les fichiers de base.


    Étape 10 : Installer et activer les plugins de sécurité

    Lorsque vous avez terminé toutes les étapes mentionnées ci-dessus, il est maintenant temps de protéger votre serveur pour l'avenir. Pour cela, suivez les étapes suivantes du processus de réparation d'un WordPress infecté par un logiciel malveillant :

    • Installez le plugin Shield WordPress Security de iControlWP et activez-le. Passez en revue tous ses paramètres et exécutez une fonction d'audit pendant quelques mois, pour suivre chaque activité sur le site.
    • Exécutez le pare-feu et l'anti-malware Brute-Force et analysez votre site en profondeur. Confirmez que tout est couvert en utilisant le Site check de Sucuri.
    • Une fois que vous avez vérifié que le site est propre, désactivez le plugin Anti-Malware car vous n'avez pas besoin de deux plugins pare-feu en même temps. Ce bouclier vous informera en cas de changement dans les fichiers de base.


    Source : Dr Web

    Et vous ?

    Quel es votre avis sur le sujet ?

    Voir aussi :

    Des milliers de sites Web utilisent un plug-in WordPress bogué qui permet une prise de contrôle complète d'un site, toutes les versions seraient concernées et il n'y a pas de correctif

    Une campagne d'attaques massives cible 900*000 sites WordPress en une semaine, la redirection des visiteurs vers des sites malveillants et l'installation de portes dérobées PHP ont été découvertes

    Les sites WordPress seraient piratés dans les secondes qui suivent l'émission des certificats TLS, les cybercriminels utilisent abusivement le protocole Certificate Transparency proposé par Google

    La part de marché de WordPress diminue, perdant 0,4 % de parts de marché au profit de Wix et Squarespace, selon le blogueur Joost de Valk

  2. #2
    Membre éprouvé
    Homme Profil pro
    Administrateur Systèmes, Clouds et Réseaux /CAO/DAO/Ingénierie Electrotechnique
    Inscrit en
    Décembre 2014
    Messages
    454
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 47
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Administrateur Systèmes, Clouds et Réseaux /CAO/DAO/Ingénierie Electrotechnique

    Informations forums :
    Inscription : Décembre 2014
    Messages : 454
    Points : 1 000
    Points
    1 000
    Par défaut
    Mais comme je suis étonné...

  3. #3
    Membre habitué Avatar de vivid
    Profil pro
    Inscrit en
    Février 2006
    Messages
    194
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2006
    Messages : 194
    Points : 155
    Points
    155
    Par défaut
    passer par des intermédiaires peut-être qu'un jour il y en a qui comprendrons... rien n'est moins sur

  4. #4
    Membre actif
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Juillet 2021
    Messages
    87
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : Juillet 2021
    Messages : 87
    Points : 273
    Points
    273
    Par défaut
    Les CMS quel enfer
    Le dev web quelle galère

Discussions similaires

  1. Réponses: 0
    Dernier message: 23/09/2018, 11h31
  2. Réponses: 1
    Dernier message: 27/12/2017, 17h08
  3. Réponses: 2
    Dernier message: 06/04/2017, 22h47
  4. Réponses: 1
    Dernier message: 26/07/2014, 18h43
  5. Extraire des données d'un site sans passer par une API
    Par Addon75 dans le forum Général Dotnet
    Réponses: 5
    Dernier message: 29/06/2014, 17h02

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo