Un malware sur mon blog ?!
Par Yohann CIURLIK le 28 avril 2009, 01:02 Merci à Blacknight de m’avoir prévenu aussi rapidement! Rassurez-vous, je l’ai supprimé aussi vite que possible 
Le Malware en question est une iFrame invisible chargeant un script malicieux qui redirige tous vos liens vers urlseek20.vmn.net. Je suis en cours d’analyse des logs de mon serveur afin de vérifier qu’il n’existe aucune faille au niveau de mon WordPress. Je vous tiendrais au courant le cas échéant.
Si vous, aussi, avez détecté un malware sur mon blog via votre antivirus, n’hésitez pas à m’en parler.
Cet article vous a plu ? Abonnez-vous au blog par mail ou flux RSS : vous recevrez automatiquement les nouveaux billets !
Vérifie bien que tu n’ai pas de fichiers malicieux cachés sur ton espace.
Souvent dans des répertoires invisibles par ftp et pas faciles a voir avec des « ls » sur unix.
Ces répertoires sont souvent nommés avec un espace, un point, un double point et placés au fin fond de ton arborescence…
Bon courage
Merci Benoit
Je vais vérifier tout ça….
Mais la question reste : quel est le script qui à permis l’upload d’un ver dans mon article ?!
A suivre…
Hello Yohann,
j’ai le même problème sur mon portfolio (www.nicolas-veyret.com) et je tourne depuis quelques jours sans trouver comment virer cette salop****. Au départ je pensais que c’était lié à Joomla (que j’ai utilisé pour mettre en place mon site). J’ai fait les mises à jour de sécurité Joomla! mais sans succès. Je dois dire que là je coince ! J’ai un peu de mal à comprendre :/
@Nico vérifie si tu n’as pas de « Web Stats » en commentaire dans ton code source…
Je ne sais toujours pas comment c’est arrivé même en regardant les logs …
Wp ou Joomla ???
J’ai regardé mais il n’y a pas de « Web Stats » en commentaire dans mon code… :/
Ouais c’est très bizarre comme truc…
C’est sous Joomla!, mon portfolio est sous Joomla!. On dirait donc bien que quel que soit le CMS, c’est possible de se faire infecter.
@Nico J’ai un Joomla à la racine de mon site
Je vais bientôt le virer…
Avant, je vais devoir prévoir la migration de mon blog à la racine pour un accès simplifié.
Il faut migrer vers Dotclear
Mouarf ^^ Jamais de la vie
Il semblerait qu’il s’agit d’un Malware provenant de Joomla…. na !
Attention, beaucoup de templates pour WordPress circulent sur Internet et il faut bien vérifier TOUT le code PHP car certains mettent des bouts de code malveillants. Le code en question n’est pas censé engendrer un tel message car c’est plutôt la confidentialité des données qui est attaquée.
Cela dit, si certains ont mis cet eval() qui fait appel à un script externe, on peut imaginer que d’autres sites qui proposent des templates auraient pu mettre autre chose..
@Rom’s effectivement il faut faire attention à cela et c’est très bien de le rappeler.
Pour mon cas ici présent, j’avais pris la peine de vérifier auparavant et comme j’ai refais le design quasiment entièrement à la main, le problème ne pas venir de là…
Commence peut-être par mettre à jour en 2.7.1, tu n’es qu’en 2.7
Sinon attention aux plugins, accès FTP, ssh, etc.