Réparer votre site après un piratage de type « Backdoor »

Réparer votre site après un piratage de type « Backdoor »

Il fallait bien que ça arrive un jour…j’ai été piraté !

Rien que l’angoisse d’une telle probabilité suffit à vous faire trembler sur vos chaises…je sais que j’ai à présent toute votre attention (et aussi toute votre empathie).

Evidemment, si ça s’était mal fini, je ne serais pas là pour vous en parler…ce qui rend ce billet si intéressant : mais comment réparer une opération de type « Backdoor » ?

Début des festivités

Dans mon malheur, on peut dire que j’ai eu de la chance. D’abord, celle d’avoir un hébergeur très réactif qui a tout-de-suite coupé l’accès à mon site.

piratage backdoor

Ensuite, que cet incident se soit produit vers minuit, un moment où je n’avais rien d’urgent à faire (sauf dormir, évidemment, mais c’est très surfait).

J’ai donc pu intervenir de suite et personne ou presque n’a été dérangé par cette mise hors-ligne.

Un mot sur l’ennemi

Qu’est-ce qu’une opération de type Backdoor ? C’est l’exécution inhabituelle d’un script.

Cette opération peut-être tout à fait inoffensive ou être provoquée par vous-même, en particulier si vous êtes en train de développer de nouvelles fonctionnalités pour votre site.

Quand ce script est fallacieux, il est généralement exécuté à cause d’une faille de votre système. Le vol de vos identifiants n’est pas à l’origine de ce piratage : le vilain s’est glissé par une faille dans le code présent.

Le danger qui réside dans ce type d’infection est de ne pas réussir à réparer la faille…et se faire pirate à nouveau quelques jours plus tard.

A l’attaque

La procédure que je donne ici est adaptée à mon cas. Pour un complément d’information, merci de lire les liens situés en fin d’article.

Pour savoir quoi réparer, il faut étudier les logs d’erreur ou le message de votre hébergeur (s’il est explicite). Là encore, j’ai eu de la chance, mon message m’indique un fichier très connu de WordPress : wp-cron.php (voir capture d’écran précédente)

Pour info, ce fichier est en charge du lancement des tâches automatisées (par exemple, les mises à jour ou les sauvegardes automatiques…). Mais son rôle m’importe peu : je sais ce que j’ai besoin de savoir, il s’agit d’un fichier natif de WordPress.

Fichier WordPress piraté + WordPress pas à jour = on remet la dernière version de WordPress et tout devrait rentrer dans l’ordre!

J’ai donc simplement récupérer le dernier WordPress, un petit upload en FTP et Hop, j’étais déjà prêtre à rouvrir le site (en croisant les doigts quand même).

Quels type de fichier peut-être piraté ?

Typiquement, vos fichiers peuvent être de 3 catégories:

  • 1- fichiers de votre CMS
  • 2- fichier d’un plugin
  • 3- script « non-contrôlé » (de votre fabrication, ou trouvé sur un forum, un blog…)

Voici les grandes lignes de réparation que vous pouvez suivre:

  • 1- Mettez à jour votre site. Si vous possédez déjà la nouvelle version, parcourez les forums de la communauté à la recherche d’un fix. Si vous ne trouvez rien de concluant, essayez de réinstaller la dernière version (re-téléchargez-en une), elle a peut-être été mise à jour discrètement.
  • 2- Désactivez le plugin et cherchez soit à le réparer en vous rapprochant du développeur, soità le remplacer
  • 3- Que vous utilisiez un script maison au coeur d’un CMS, ou que votre site en entier soit réalisé à la main, ce cas de figure est toujours le plus difficile à résoudre. Débuggez votre site…et bon courage !

Rouvrir le site au public

Une fois le problème résolu, vous pouvez rouvrir votre site
en remettant les bons droits sur le répertoire racine (chmod 705 .).

Si simple que ça ? Super…ni une, ni deux, je saisis mon client FTP, veut changer les droits…et constate qu’ils sont déjà en 705.

Il est presque 1 heure du matin, je perds patience !

Heureusement, la solution est à portée de main, il suffit de passer par la commande « Saisir une commande personnalisée » et taper « SITE CHMOD 705 / »

piratage backdoor

Coup de sifflet final

Une heure pile-poil après avoir reçu le message d’OVH, mon site est à nouveau en ligne. Une semaine après, je n’ai pas eu de nouvelles infections ! Je commence à avoir mal aux doigts, je vais peut-être me décider à les dé-croiser ! 😉

Sources

Image courtesy of http://www.freedigitalphotos.net

A propos de MarieEve Louvel

Depuis 3 ans, je partage mes connaissances sur ce blog, pour les entrepreneurs désireux de créer leur site vitrine et/ou leur blog professionnel avec WordPress. Mon expérience professionnelle va de l'accompagnement à la formation, en passant par de la création de site ou de logiciel. Retrouvez mes cours en ligne sur mon site FeelWeb Formation [http://feelwebformation.com]

19 commentaires

  1. Bonjour Marie Eve,

    Je voudrais changer de thème WordPress pour relooker entièrement mon site.
    Je ne sais pas du tout de quoi il faut tenir compte pour le choix du thème qui me conviendrait.
    Il y en a tellement et je ne voudrais pas être bloqué vis à vis de certaines fonctions que je voudrais activer ultérieurement.
    D’autre part j’ai aussi peur que ça mette tout dans un désordre indescriptible que je ne saurais plus remettre à l’endroit.
    Quels seraient tes conseils?

    Répondre
    • Bonjour Philippe,

      Il y a trop à dire sur les thèmes pour l’expliquer ici :/ Je te conseille le blog wp-themes-pro qui t’en apprendra beaucoup.

      Par contre, si tu as peur de ton casser, sache que tu peux installer un thème MAIS NE PAS L’ACTIVER. Ensuite, tu vas dans la page des thèmes et tu cliques sur « Prévisualiser ». Ca te permet de voir comment fonctionnerait un thème sur ton site actuel, sans le changer vraiment.

      Répondre
      • Merci Marir-Eve je vais faire, ce que tu me dit là.
        En tout cas tes articles sont très bien.
        Un peut en lagunage assez technique quand même mais c’est vraiment bien.
        Et ta formation sue le HTML/CSS que j’ai achetée est très instructive déjà.
        Pourrais-tu en faire une autre sur le paramétrage d’un nouveau thème WordPress dans les détail?
        erci encore pour ton beau site qui doit te faire travailler énormément
        Bravo.

      • Bonjour,

        on me demande souvent une formation appliquée à la création de thème pour WordPress…mais on m’en demande d’autres aussi ! Je crois que je vais faire un sondage pour départager tout ça 😉 et savoir par laquelle commencer !

  2. Merci pour ce retour d’expérience. Je pense pas qu’il n’y aura une mauvaise nouvelle que celle d’être piraté. Votre explication est bien détaillée mais une me faut une relecture pour bien saisir aussi bien l’attaque que le remède.

    Répondre
  3. Il existe de nombreux petits scripts qui se lancent directement sur votre serveur et qui permettent de rechercher des backdoors dans vos applications web. Ces scripts renvoient les fichiers les plus sensibles et qui utilisent le plus souvent des fonctions php dangereuses.

    Répondre
  4. Bonjour Marie-Eve,

    J’ai moi-même eu un problème de ce genre il y a 2 à 3 mois et mon hébergeur (1and1) a été tout aussi réactif et m’a même donné la marche à suivre pour solutionner le tout.
    Je pense que c’est là qu’on prend réellement conscience de la qualité de son hébergeur.

    Amicalement,

    Bruno

    Répondre
  5. ATTENTION AUX FAILLES XSS ! Car j’ai pu introduire une balise SCRIPT, ce qui très risqué

    Répondre
    • Bonjour Ami,

      Sur quel formulaire as-tu pu introduire une balise script ? J’utilise des plugins réputés, je pensais qu’ils étaient sécurisés :( mais je n’ai pas vérifié. Merci pour ton aide.

      Répondre
      • Bonjour MarieEve,

        C’est sur le formulaire en bas de page pour les commentaires et j’ai juste introduit (sans ligne de code dedans afin de ne pas abimé ton blog, ce n’es pas mon but) dans l’input «  », si tu veux tu peux testé tes zones « input » et « textarea » avec un Regex que tu crée toi même, ce qui fait une première barrière de protection. Attention aux plugins de WordPress car ils ne sont pas tous fiable. Lorsque tu as un doute sur la fiabilité d’un plugin, crée le toi même, c’est le meilleur. Voici un petit lien utile sur certains Regex « http://www.expreg.com/memo.php ».
        Voila, j’espère que cela pourra t’aidé.

  6. Protège toujours t’es zones « input » ou autres avec un test sur les données entrée dans ton formulaire surtout en PHP 5 et protége t’es URL afin d’évité toutes injections SQL, ce qui pourrai détruire ta BD surtout avec sous WordPress.
    Mais bravo sur la qualité visuel de ton blog.

    Répondre
    • Je vais m’en occuper, merci à toi.

      Répondre
  7. C’est bien une aubaine pour moi de savoir qu’être pirater ne présente pas un grand risque si on sait se défendre de ce dernier. Merci pour les informations et les tutos.

    Répondre
  8. J’ai bien apprécié les commentaires de AMI. C’est bien de trouver des personnes de ce genre.

    Répondre
  9. bjr alors la oui,se faire pirater ,quand on n’est pas immunisé cela est préjudiciable pour la personne concerné ,hors il faut être près a toute éventualité en sachant que le nombre d’attaque augmente avec le temps alors mieux vaut avoir un bazouka comme antivirus,à présent je suis prévoyant car je mesuis déjà retrouvé dans une situation que celle ci sauf que j’étais un novice en la matière c’était comme à la bataille naval, touché coulé.Merci pour ses commentaires et a bientôt.

    Répondre
  10. Hello, j’ai subit le même type d’attaque l’année passée.. à la seule différence qu’il m’a fallut bien plus d’une heure pour réparer :

    Après le backup le site était toujours inaccessible.
    J’ai contacté OVH qui à jeté un coup d’oeil à mon ftp, ils m’ont dit qu’il y avait un caractère en trop au début du fichier .htacess.
    J’ouvre donc mon .htaccess et… pas de caractère, rien, nada…
    « Vous êtes sous windows ? » Me demande t’on.
    J’avais presque honte de répondre « heu, oui. » Sans trop savoir pourquoi cette question.

    OVH m’a demandé de me connecter à mon FTP via le site NET2FTP. Un client FTP en ligne et d’ouvrir mon .htaccess depuis ce client.

    Le caractère était bien là… mais visible uniquement avec linux.

    J’espère que ca servira à d’autres, et peut être leurs faire économiser 10€ de communication avec OVH. C’est qu’ils sont chères à la minutes les bougres ! Quoi qu’efficaces dans mon cas.

    J’ai mis des jours à trouver, enfin.. à leurs faire trouver !

    Répondre
  11. Salut MArie Eve j ai vu ton commentaire sur Crazyws..
    Pour sécuriser les sites worpress de mes clients j utilise l extension Itheme security cette extension est très bien noté par les utilisateurs et simple d utilisation.
    Itheme security va permette de renommer le compte admin,de modifier facilement votre fichier .htacess
    ce plugin détecte tout ce qui ne va pas il y a simplement à cliquer afin de corriger les problèmes.

    Répondre

Trackbacks/Pingbacks

  1. Lequel de ces 4 articles allez-vous préférer ? - [...] Apprenez comment réparer un site après un piratage de type Backdoor (sur Les Doigts dans le [...]

Soumettre un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

This Blog will give regular Commentators DoFollow Status. Implemented from IT Blögg

EmailEmail
PrintPrint