Bonjour,
Je me permet de déposer ce message ici en étant un peu désorienté. L'un des blogs que j'administre (mutualisé pro OVH) a été hacké récemment. Je n'ai aucune idée de la faille qui a été exploité mais ils ont réussi à créer des dossiers et pages sur le ftp ainsi que d'inséré du code frauduleux sur plusieurs pages (essentiellement les pages php dans le dossier du theme). La plus grosse partie se trouvant sur la page du header et du footer.
Une fois les bouts de codes retirés j'ai remis le blog en ligne et désactivé la quarantaine de google. Sauf que 48h plus tard je me rends compte qu'un script a été installé depuis dans le dossier plugins et que grace à wordpress je constate qu'un visiteur fréquente une page php dans un sous-répertoire du dossier plugin depuis plusieurs heures (/plugins/wp_add). De retour sur le ftp et je constate que le dossier en question est impossible à supprimer (erreur -125). J'ai fini par réussir à transvaser les dossiers plugins clean dans un nouveau répertoire nommé "plugins" et renommer l'ancien (".plugins-hack").
Quelques heures plus tard ce sont d'autres fichiers qui ont été réinstallé sur le ftp (à la racine du dossier plugin directement). Le dossier hacké (wp_add) a été supprimé mais je constate que le hack continue d'être actif puisque la même adresse ip à visité la page en une dizaine d'heures plus de 300 fois.
Le mot de passe du ftp a été changé bien entendu. Plusieurs plugins wordpress egalement. J'effectue en ce moment une clean install de wordpress et de rapatrier les articles de l'ancien vers le nouveau blog mais j'aimerai pouvoir arrêter voir de kicker si possible l'adresse ip qui utilise mon domaine pour envoyer du spam.
Si vous avez des idées pour m'aider, merci à vous !
Je me permet de déposer ce message ici en étant un peu désorienté. L'un des blogs que j'administre (mutualisé pro OVH) a été hacké récemment. Je n'ai aucune idée de la faille qui a été exploité mais ils ont réussi à créer des dossiers et pages sur le ftp ainsi que d'inséré du code frauduleux sur plusieurs pages (essentiellement les pages php dans le dossier du theme). La plus grosse partie se trouvant sur la page du header et du footer.
Une fois les bouts de codes retirés j'ai remis le blog en ligne et désactivé la quarantaine de google. Sauf que 48h plus tard je me rends compte qu'un script a été installé depuis dans le dossier plugins et que grace à wordpress je constate qu'un visiteur fréquente une page php dans un sous-répertoire du dossier plugin depuis plusieurs heures (/plugins/wp_add). De retour sur le ftp et je constate que le dossier en question est impossible à supprimer (erreur -125). J'ai fini par réussir à transvaser les dossiers plugins clean dans un nouveau répertoire nommé "plugins" et renommer l'ancien (".plugins-hack").
Quelques heures plus tard ce sont d'autres fichiers qui ont été réinstallé sur le ftp (à la racine du dossier plugin directement). Le dossier hacké (wp_add) a été supprimé mais je constate que le hack continue d'être actif puisque la même adresse ip à visité la page en une dizaine d'heures plus de 300 fois.
Le mot de passe du ftp a été changé bien entendu. Plusieurs plugins wordpress egalement. J'effectue en ce moment une clean install de wordpress et de rapatrier les articles de l'ancien vers le nouveau blog mais j'aimerai pouvoir arrêter voir de kicker si possible l'adresse ip qui utilise mon domaine pour envoyer du spam.
Si vous avez des idées pour m'aider, merci à vous !
