RaphSEO [Se sortir d’un hack massif]

Tips-astuces
JFDupin 0 Comments Posted at
RaphSEO [Se sortir d’un hack massif]
https://twitter.com/RaphSEO/status/1607748222583177218

[Se sortir d’un hack massif] Bon, je doute que ce petit thread ait beaucoup de visibilité, n’ayant rien à vendre et ne vous promettant pas de devenir riche. Mais peut-être sera-t-il utile à 1 autre personne.

Contexte : je reçois une commande pour vente d’article et quand j’ai voulu me connecter au site en question pour poster, pas moyen. Là je découvre un bon vieux hack des familles avec js, base64 dans plein de fichiers et même de nouveaux fichiers

Conséquences : certains sites ne sont même plus accessibles et d’autres génèrent des redir vers de la crypto dès qu’un internaute clique n’importe où sur la page.

Me suis dit, fait chier. Mais ce n’était que la face cachée. La puce à l’oreille, je regarde un peu les autres sites sur le même serveur et bim 42 sites au total enfin pas que des sites, car certains sont justes des répertoires pour redir (des expi en 301) mais vérolés aussi

Il s’agit d’un serveur chez @o2switch

mais ce hack est sans rapport avec eux. Un vieux WP non mis à jour a servi de backdoor pour infecter tout le restant (oui sites non isolés). Bref mon entière faute, mais now faut se sortir les doigts. Spoiler : moins de 5 minutes par site

Enfin, moins de 5 min selon la taille du site et quand on sait où et quoi chercher. Le nettoyage manuel ? Tu peux oublier dans ce cas, il y en a partout. Et si tu oublies, 1 seul site, 1 seul rep, 1 seul fichier ou 1 seule ligne t’es mort. Voici comment j’ai procédé pas à pas

Go dans le FTP du site identifié au début. Je vois que certains fichiers ont été modifiés à une date identique. Plusieurs fichiers d’ailleurs. Donc j’ouvre ces fichiers et oh surprise des scripts js encodés…

je regarde d’autres fichiers les dates et heures collent. je regarde les autres sites ça collent aussi. Je viens d’identifier la date probable de modif. Attention la backdoor peut avoir été placée avant.

2ème étape identifier si tous les sites parmi les 42 sont concernés ou pas. Pas le temps de faire ça à la mano (oui je suis en pleine digestion de repas de noël) . J’ai remarqué que soit la home ne s’affiche pas, et ou la page d’admin/login inaccessible

donc via un petit excel pour générer les 2 urls pour chaque site je lance ensuite un crawl

3ème étape stopper l’épidémie. Les sites sains doivent le rester pour éviter de perdre plus de temps, de ranking et d’argent

donc je me connecte au Cpanel de ce serveur et voici ma procédure.

  • – go wptiger
  • – je fais une sauvegarde
  • – je mets à jour le core WP
  • – je MAJ plugins et thèmes
  • – je checke si tout fonctionne
  • – je fais une nouvelle sauvegarde clean et à jour

Vous répétez ça pour chaque site, c’est en principe assez rapide. Maintenant faut s’occuper des malades. Pour rappel pas d’accès à l’admin, et faire une MAJ depuis Cpanel ne fonctionne pas. Donc voici comment jai fait

Il faut restaurer votre site à une version antérieure au hack pour avoir un site clean et ensuite faire le nécessaire. Donc là 2 solutions :

  • – soit vous avez une sauvegarde dans WPtiger et donc vous restaurez
  • – sinon go Jetbackup dans Cpanel

Oui dans le Cpanel de O2switch il y a jetbackup qui fait des sauvegardes auto de son côté. Donc depuis cet outil vous restaurez vos fichiers et/ou BDD à une date antérieure. Attention, tout ce qui aura été ajouté / modifié après cette date sera perdu.

je recommande une sauvegarde dans wptiger avant de faire l’étape ci-dessus. mieux vaut avoir un backup pourri sur lequel on pourra retravailler que plus rien du tout

Grâce à cette restauration, j’ai de nouveaux accès à mes sites et admin. On répète les mêmes étapes que pour les sites épargnés tout à l’heure c’est à dire

  • – go wptiger
  • – je fais une sauvegarde
  • – je mets à jour le core WP
  • – je MAJ plugins et thèmes
  • – je checke si tout fonctionne
  • – je fais une nouvelle sauvegarde clean et à jour

on vérifie qu’on a bien traité tous les sites / répertoires de son serveur. Ensuite vous allez sur votre Cpanel et vous lancez un ImunifyAV pour faire un check supplémentaire. Vous corrigez / supprimez ce qu’il reste

Voila en principe si vous n’avez rien oublié, vous êtes tranquille. je recommande de surveiller quelques jours vos sites quand même. À votre bon cœur messieurs dames

Facebook Twitter Instagram Linkedin Youtube