Magazine Blog

Vulnérabibilité WordPress : /iframe/wp-stats.php

Publié le 21 avril 2008 par Yann L'Hostis

badware malveillantDepuis hier certains utilisateurs ont des messages bizarre en accédant à un de mes sites.

Le message vient de l’anti virus Kaperski :

découvert : cheval de Troie Trojan-Downloader.HTML.Agent.is URL: http://61.155.8.157/iframe/wp-stats.php

Ce que vous devez faire dans l’urgence :

  1. Supprimer ou renommer xmlrpc.php pour que l’on ne puisse plus accéder à votre blog par ce biais.
  2. Chercher quels sont les articles infestés en affichant la source de la page et en cherchent dedans la chaine « iframe ». Nettoyer déjà ces articles.
  3. Demander un réexamen de votre site à StopBadware.org qui aura sans doute déjà commencer à empêcher l’accès à votre site via Google. Connectez-vous à votre compte Google Webmaster Tools et demandez un réexamen de votre site si le messag « ce site risque d’endommager votre ordinateur » s’affiche dans les résultats de Google.
  4. Supprimer les derniers utilisateurs inscrits à votre blog si vous ne les connaissez pas.
  5. Empêcher la possibilité de créer des nouveaux utilisateurs (c’est, en général, inutile de toute façon, si vous trouvez un rédacteur, vous pouvez lui créer son compte et les simples lecteurs peuvent commenter sans se créer de compte chez vous).
  6. Chassez les éventuels autrres articles infesté en lançant cette recherche dans la base : SELECT * FROM wp_posts WHERE post_content like '%IFRAME%' ;
    (pour autant que vous ayiez installé WorPress en gardant le paramètre par défaut « wp_ » comme paramètre des tables).

Ces conseils sont tirés d’une discussion du support, cela m’est arrivé sur un site en WordPress 2.3.3 mais il se pourrait que cela soit aussi possible en 2.5. dans le doute, le 6° conseil est d’upgrader en 2.5 mais je crois que les idées idées 1 (virer xmlrpc.php) et 5 (empêcher l’inscription des nouveaux utilisateurs) sont à suivre dans tous les cas, si vous ne bloguez pas offline et si vous ne collectionez pas les inscriptions d’utilisateurs.

[Edit du 22/04/08] Merci à Cui et à Starkhay pour leurs excellents commentaires qui m’ont permis de mettre à jour cet article…


Tags : securite

Retour à La Une de Logo Paperblog

A propos de l’auteur


Yann L'Hostis 58 partages Voir son profil
Voir son blog

l'auteur n'a pas encore renseigné son compte l'auteur n'a pas encore renseigné son compte l'auteur n'a pas encore renseigné son compte

Dossier Paperblog