Ces jours-ci, tout le monde est mobilisé car nous sommes mis à rude épreuve et surtout nos clients.

Un malware a fait irruption et menace la sécurité des sites. Cette intrusion s’effectue par le FTP dont il faut avoir la connaissance du mot de passe. 1&1 affirme que le problème ne provient pas de leur serveur et que nous devrions vérifier de notre côté.

Bilan au moment où j’écris ces lignes, 14 sites touchés ! Le seul point commun est d’être hébergé chez 1&1. Les sites que nous avons chez Amen ou chez OVH n’ont rencontré eux aucun souci. Coup de chance ou de malchance, le résultat est plutôt désagréable.

Comment fonctionne t-il ?

Je n’écrirai pas le code ici mais seulement quelques indications du code pour que vous compreniez rapidement si vous êtes concernés ou non.

<?php $sRetry
$sUserAgent $stCurlHandle $stCurlLink
if( 'google' 'yahoo' 'baidu' 'msn' 'opera' 'chrome' 'bing' 'safari' 'bot'
base64_decode()
?>

Ce code est prévu pour ne s’afficher que si vous êtes un internaute, dans les autres cas, il se cache et devient invisible pour les moteurs de recherche. Cette infection se retrouve ainsi dans l’ensemble des fichiers index.php et dans plusieurs fichiers de vos thèmes Wordpress ou Prestashop.

Comme toutes attaques de ce type, une backdoor est mise en place et ce fichier prend toute sorte de forme. Tantôt, vous retrouvez un ‘counter.php’, d’autre fois un ‘wp-rss.php’

Comment s’en défaire ?

Regardez la date de modification de vos fichiers. Souvent, c’est un indicateur pour savoir si une page a été modifié récemment (et donc pas par vous). Trouvez le code malicieux et supprimez-le.

Regardez les droits d’accès de vos fichiers (755 est beaucoup trop élevé pour un fichier, 644 est plus souvent adapté). Si la valeur, alors le fichier est surement infecté.

Les fichiers infectés sont des noms classiques : index.php, header, footer et vos thèmes.

Finissez la guérison en changeant vos mots de passe, surtout ceux du FTP mais aussi base de données.

Vous saurez très rapidement si vous avez réussi à guérir votre site. Si ce n’est pas le cas, le problème est de retour dès le lendemain et vous pouvez reprendre à zéro.

J’espère que ces quelques pistes sont pour vous des pistes pour démarrer votre recherche. Quoiqu’il en soit, je vous souhaite une bonne guérison.