serveur wordpress siteweb ubuntu 14.04 (aide hacked tout les soirs!)

nickthevoice · Le 17/12/2014, à 23:18

Bonjour !

Je me fais hacker à tout les soirs sur un de mes sites par "HACKED by CH3STR".

J'ai un serveur ubuntu 14.04 avec site en wordpress.

J'ai passé un rkhunter il a trouver usr/var/unhide.rb qui m'a l'aire d'être un faux positif. rien d'autre.
un clamav à trouver 2 fichiers infectés dans le site mais pourtant même après le cleanup, il réussit encore et encore a changer ce qu'il veut et hacker ma page d'accueil du site.

J'ai aussi ajouter un plugin antivirus a wordpress sans résultat
Tout les ports sont bloqué à l'execption du 80 et ssh.

J'aimerais bien votre aide pour savoir comment me débarrasser de ce hacker SVP

nicK

patked · Le 17/12/2014, à 23:34

hello

je suis loin d'être un spécialiste sécurité, mais j'ai tellement vu dans les forum des gens faire du chmod à tout va lors de l'instal wordpress...
Si ça m'arrivait, je ferais un export de ma base avec PHPMYSQL. Puis destruction du rep WORDPRESS et ré install sans aucun CHMOD ou CHOWN, ré iimport de ma base avec un nouveau PHP%YSQL. Maintenant, je ne connais pas la taille de ton site et l'audience.
Bien sur, nouveau mot de passe partout (php, wordpress, login etc.

Patked

bruno · Le 17/12/2014, à 23:58

Bonsoir,

Il est possible que l'intrus ait exploité une faille de wordpress ou de l'une de ses extensions pour faire une injection de code. Mais ce n'est qu'une possibilité et tant que l'on ne sait pas exactement jusqu'à quel point le serveur a été compromis la démarche à suivre est de mettre le serveur hors ligne, puis d'examiner les logs, les historiques de commandes, les fichiers php du wordpress et la base de données afin de comprendre quelle faille a été exploitée par l'intrus et quels étaient les trous de sécurité.

Une fois cela analysé et compris on réinstalle proprement le serveur.

mazarini · Le 20/12/2014, à 00:10

C'est probablement un plugin qui est en cause. Tu peux essayer de ne pas remettre tes plugins au départ et de les réactiver un par un pour trouver lequel est en cause.
Le plus simple, c'est peut être de t'adresser à http://www.wordpress-fr.net/support pour des conseils sur wordpress.

Pseudo supprimé · Le 21/12/2014, à 14:49

il réussit encore et encore a changer ce qu'il veut et hacker ma page d'accueil du site

S'il fait ce qu'il veut, tu es bon pour tout re-installer.
Encore, il est gentil le monsieur, puisqu'il te prévient ...

nam1962 · Le 21/12/2014, à 14:51

Essaie ninjafirewall

DJiK · Le 21/12/2014, à 15:04

Tu peux protéger aussi l'identification avec un 2d mot de passe dans le .htaccess: http://azur-dev.kiao.net/1162-proteger-wordpress (C'est toujours bien de toutes façons contre les nombreuses tentatives d'accès.)

Tu dis tous les ports sont bloqués, pas de FTP? pas d'accès direct à la BDD?

Dernière modification par DJiK (Le 21/12/2014, à 15:05)

jplemoine · Le 21/12/2014, à 15:16

S'il a réussi à mettre un rootkit, ça ne sert à rien : il agit via une porte dérobée...
--> réinstallation complète du serveur.
Et comme le conseille plusieurs personnes, ne pas "jouer" avec les permissions sans savoir exactement ce que l'on fait.
Normalement, il n'y a que quelques répertoires et/ou fichiers qui sont en écriture.
Les gens mettent parfois toutes les permissions à tout le monde sur tout le site.

Aux spécialistes, le hacker aurait-il pu utiliser la fameuse faille sur bash ? Si oui, a-t-il pu installer une porte dérobée ?

jplemoine · Le 21/12/2014, à 15:18

Peux-tu te connecter en ssh sur le serveur et donner le retour de

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 17/12/2014, à 23:18

serveur wordpress siteweb ubuntu 14.04 (aide hacked tout les soirs!)

#2 Le 17/12/2014, à 23:34

Re : serveur wordpress siteweb ubuntu 14.04 (aide hacked tout les soirs!)

#3 Le 17/12/2014, à 23:58

Re : serveur wordpress siteweb ubuntu 14.04 (aide hacked tout les soirs!)

#4 Le 20/12/2014, à 00:10

Re : serveur wordpress siteweb ubuntu 14.04 (aide hacked tout les soirs!)

#5 Le 21/12/2014, à 14:49

Re : serveur wordpress siteweb ubuntu 14.04 (aide hacked tout les soirs!)

#6 Le 21/12/2014, à 14:51

Re : serveur wordpress siteweb ubuntu 14.04 (aide hacked tout les soirs!)

#7 Le 21/12/2014, à 15:04

Re : serveur wordpress siteweb ubuntu 14.04 (aide hacked tout les soirs!)

#8 Le 21/12/2014, à 15:16

Re : serveur wordpress siteweb ubuntu 14.04 (aide hacked tout les soirs!)

#9 Le 21/12/2014, à 15:18

Re : serveur wordpress siteweb ubuntu 14.04 (aide hacked tout les soirs!)

Pied de page des forums