Vulnérabibilité WordPress : /iframe/wp-stats.php
Depuis hier certains utilisateurs ont des messages bizarre en accédant à un de mes sites.
Le message vient de l’anti virus Kaperski :
découvert : cheval de Troie Trojan-Downloader.HTML.Agent.is URL: http://61.155.8.157/iframe/wp-stats.php
Ce que vous devez faire dans l’urgence :
- Supprimer ou renommer xmlrpc.php pour que l’on ne puisse plus accéder à votre blog par ce biais.
- Chercher quels sont les articles infestés en affichant la source de la page et en cherchent dedans la chaine « iframe ». Nettoyer déjà ces articles.
- Demander un réexamen de votre site à StopBadware.org qui aura sans doute déjà commencer à empêcher l’accès à votre site via Google. Connectez-vous à votre compte Google Webmaster Tools et demandez un réexamen de votre site si le messag « ce site risque d’endommager votre ordinateur » s’affiche dans les résultats de Google.
- Supprimer les derniers utilisateurs inscrits à votre blog si vous ne les connaissez pas.
- Empêcher la possibilité de créer des nouveaux utilisateurs (c’est, en général, inutile de toute façon, si vous trouvez un rédacteur, vous pouvez lui créer son compte et les simples lecteurs peuvent commenter sans se créer de compte chez vous).
- Chassez les éventuels autrres articles infesté en lançant cette recherche dans la base :
SELECT * FROM wp_posts WHERE post_content like '%IFRAME%' ;(pour autant que vous ayiez installé WorPress en gardant le paramètre par défaut « wp_ » comme paramètre des tables).
Ces conseils sont tirés d’une discussion du support, cela m’est arrivé sur un site en WordPress 2.3.3 mais il se pourrait que cela soit aussi possible en 2.5. dans le doute, le 6° conseil est d’upgrader en 2.5 mais je crois que les idées idées 1 (virer xmlrpc.php) et 5 (empêcher l’inscription des nouveaux utilisateurs) sont à suivre dans tous les cas, si vous ne bloguez pas offline et si vous ne collectionez pas les inscriptions d’utilisateurs.
[Edit du 22/04/08] Merci à Cui et à Starkhay pour leurs excellents commentaires qui m’ont permis de mettre à jour cet article…
Tags : securite
Pour une recherche rapide des IFRAME, un petit coup de SQL s’impose :
Connectez vous à votre base (via PhpMyAdmin ou autre) et lancez sur la table wp-posts la requête suivante :
SELECT * FROM wp_posts WHERE post_content like '%IFRAME%' ;Cela dit, la faille dans RPC a été décelée dans la 2.3 et a été rapidement patchée. Faut-il une fois de plus rappeler de mettre à jour ses logiciels (et WP2.5 apporte en ça cette amélioration importante de mettre nettement plus facilement à jour ses extensions, notamment, même si la fonction, encore un peu jeune, souffre de quelques défauts).
Merci, CUI pour ce compléments très utile. en parcourant le forum du support il m’avait semblé lire que quelqu’un avait eu le pb en 2.5
J’ajoute que ta requête est vraiment utile : je viens de trouver un 2° article infecté, comme il n’était pas sur la home, c’était assez difficile à repérer.
Si vous avez modifié lors de l’installation de WordPress, le préfixe de vos tables (par défaut wp), il faut modifier dans la requête « wp_posts » en conséquence
.
D’ailleurs, changez ce préfixe est un élément de sécurité !!
Merci bcp pour le tuto
Ben il faut se mettre à jour, oui.. le problème c’est que c’est pas toujours facile, beaucoup de choses ayant changé… Et si en plus on a un peu personnalisé le truc, c’est encore pire.
Je suis en 2.1, je viens de rencontrer le soucis… Et c’est galère: j’ai pas le temps de passer en une version supérieure…