Désactivation de mon site pour Phishing

(www.1patrimoine.compatrimoine.com

Google a aussi blacklisté votre site, donc c'est probablement vrai...

Si je reçois du phishing provenant d'un site, je mettrai tout en oeuvre pour que l'hébergeur le ferme d'autorité.
Salubrité publique.

avec mes maigres connaissances

hélas ceci ne justifie en rien de réouvrir un site hostile et malfaisant.

Avez-vous investigué vos logs ?
Avez-vous investigué le contenu de votre site (via FTP/SFTP évidemment) avent de vouloir le réouvrir au public ?

Merci de vos réponses à ces deux questions.

Bonjour Fritz2Cat

Entièrement d'accord avec vous. On ne plaisante pas avec la sécurité en ligne.

J'ai continué d'éplucher les logs après avoir envoyé ma demande, et je crois avoir trouvé le problème : vers 18h30 hier, alors que je n'étais pas connecté un module "masterx" a été ajouté sur le site. Cependant, je ne le vois pas dans le contenu via Filezilla...

Je continue mes recherches.

Trouvé ! Merci la recherche automatique sur tout le site. Le dossier contient l'élément signalé dans le mail que j'ai reçu. Je supprime tout ça...

Auriez-vous une idée de ce qui a pu se passer ? Car, encore une fois, je n'étais même pas connecté lors de l'ajout de ce module...

Auriez-vous une idée de ce qui a pu se passer ? Car, encore une fois, je n'étais même pas connecté lors de l'ajout de ce module...

Personne d'autre que vous ne peut le savoir. C'est qu'il devait y avoir de gros trous de sécurité dans votre site.

Je supprime tout ça...

Entretemps votre nom de domaine est cramé chez Google, ça va être dur de se refaire une virginité...

Mhmm... mais voilà qui est parfait [dis-je ironiquement]

Je suis en train de passer au SFTP. Y a t il d'autres choses que vous me recommanderiez de faire avant de tenter la remise en ligne ?

Je suis en train de passer au SFTP.

FTP/SFTP ça ne change rien concernant votre piratage, c'est ce que vous avez téléchargé vers votre site qui est troué.
Avec quoi avez-vous construit votre site ?

J'ai utilisé wordpress, et ai installé le theme blocksy, avec le blocksy companion.

Rien d'autre.

J'ai utilisé wordpress, et ai installé le theme blocksy, avec le blocksy companion.

Ca se passerait sur un de mes sites, c'est certain que j'aurais envie de creuser.

* Analyser les logs FTP (au cas peu probable où votre mot de passe FTP aurait fuité - ça s'est déjà vu avec des PC de webmaster infecté, où les mots de passe FTP mémorisés ont été dérobés)
* Analyser les logs web, et plus précisément à la date et l'heure qui correspond à la date de création des fichiers intrus sur l'hébergement.

Il n'y a rien dans les logs FTP.

Par contre dans le log web, j'ai la date et l'heure :
> _54.36.149.87 1patrimoine.compatrimoine.com - [11/May/2021:00:18:30 +0200] "GET /robots.txt HTTP/1.1" 404 196 "-" "Mozilla/5.0 (compatible; AhrefsBot/7.0; +http://ahrefs.com/robot/)"_
> _54.36.148.254 1patrimoine.compatrimoine.com - [11/May/2021:00:18:31 +0200] "GET / HTTP/1.1" 200 338 "-" "Mozilla/5.0 (compatible; AhrefsBot/7.0; +http://ahrefs.com/robot/)"_
> _208.110.85.70 1patrimoine.compatrimoine.com - [11/May/2021:01:27:32 +0200] "GET / HTTP/1.1" 200 338 "http://www.google.com.hk" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.90 Safari/537.36"_
> _104.168.47.55 1patrimoine.compatrimoine.com - [11/May/2021:02:07:16 +0200] "GET /wordpress/wp-content/plugins//masterx/xl.php?watchx=true HTTP/1.1" 200 209 "https://1patrimoine.com/wordpress/wp-content/plugins//masterx/xl.php?watchx=truepatrimoine.com/wordpress/wp-content/plugins//masterx/xl.php?watchx=true" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.115 Safari/537.36"_
[/quote]

Je n'ai rien trouvé dans les logs FTP. En revanche j'ai trouvé un passage du log web qui me semble être le début du problème. Puis-je le poster ici ? J'aimerais beaucoup pouvoir profiter de votre expertise.

Si vous postez du code ou des logs, svp utilisez le bouton !

Voici le premier passage ou l'on trouve la mention de ce fameux "masterx". J'ai ajouté la ligne précédente et la ligne suivante au cas ou.


37.111.211.179 1patrimoine.compatrimoine.com - [10/May/2021:07:01:16 +0200] "GET /favicon.ico HTTP/1.1" 404 196 "http://1patrimoine.com/wordpress/wp-admin/update.php?action=upload-pluginpatrimoine.com/wordpress/wp-admin/update.php?action=upload-plugin" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.141 Safari/537.36"
37.111.211.179 1patrimoine.compatrimoine.com - [10/May/2021:07:01:22 +0200] "GET /wordpress/wp-content/plugins/masterx/wp-blog.php HTTP/1.1" 200 2758 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.141 Safari/537.36"
37.111.211.179 1patrimoine.compatrimoine.com - [10/May/2021:07:01:33 +0200] "GET /wordpress/wp-content/plugins//masterx/87.php HTTP/1.1" 200 2276 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.141 Safari/537.36"

Le log commence à 5h30 ce jour là par :

54.36.148.254 1patrimoine.compatrimoine.com - [10/May/2021:05:39:45 +0200] "GET / HTTP/1.1" 200 338 "-" "Mozilla/5.0 (compatible; AhrefsBot/7.0; +http://ahrefs.com/robot/)"
37.111.218.171 1patrimoine.compatrimoine.com - [10/May/2021:05:51:20 +0200] "GET /wordpress/wp-admin/setup-config.php?step=1&language=en HTTP/1.1" 200 1135 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.141 Safari/537.36"

Et des POST, mais sans mention du "masterx" commencent à partir 5h51, voici le premier :

`37.111.218.171 1patrimoine.compatrimoine.com - [10/May/2021:05:51:24 +0200] "POST /wordpress/wp-admin/setup-config.php?step=2 HTTP/1.1" 200 694 "http://1patrimoine.com/wordpress/wp-admin/setup-config.php?step=1&language=enpatrimoine.com/wordpress/wp-admin/setup-config.php?step=1&language=en" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.141 Safari/537.36"`

37.111.211.179

L'attaquant était sur 37.111.211.179, probablement au Bangladesh...
Il faudrait filtrer sur "37.111.211.179" et suivre le cheminement de cet attaquant. Peut-être allez-vous trouver le maillon faible.

Votre Wordpress et l'ensemble de vos plugins étaient à jour ?

Il s'agissait de la première ligne du log contenant le 37.111.211.179. La revoici avec les lignes suivantes :

37.111.211.179 1patrimoine.compatrimoine.com - [10/May/2021:06:59:56 +0200] "GET /wordpress///wp-login.php HTTP/1.1" 200 2761 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.141 Safari/537.36"
37.111.211.179 1patrimoine.compatrimoine.com - [10/May/2021:06:59:59 +0200] "GET /wordpress/wp-includes/css/buttons.min.css?ver=5.7.1 HTTP/1.1" 200 1453 "http://1patrimoine.com/wordpress///wp-login.phppatrimoine.com/wordpress///wp-login.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.141 Safari/537.36"
37.111.211.179 1patrimoine.compatrimoine.com - [10/May/2021:06:59:59 +0200] "GET /wordpress/wp-admin/css/forms.min.css?ver=5.7.1 HTTP/1.1" 200 6178 "http://1patrimoine.com/wordpress///wp-login.phppatrimoine.com/wordpress///wp-login.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.141 Safari/537.36"
37.111.211.179 1patrimoine.compatrimoine.com - [10/May/2021:06:59:59 +0200] "GET /wordpress/wp-admin/css/l10n.min.css?ver=5.7.1 HTTP/1.1" 200 686 "http://1patrimoine.com/wordpress///wp-login.phppatrimoine.com/wordpress///wp-login.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.141 Safari/537.36"
37.111.211.179 1patrimoine.compatrimoine.com - [10/May/2021:06:59:59 +0200] "GET /wordpress/wp-admin/css/login.min.css?ver=5.7.1 HTTP/1.1" 200 2023 "http://1patrimoine.com/wordpress///wp-login.phppatrimoine.com/wordpress///wp-login.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.141 Safari/537.36"
37.111.211.179 1patrimoine.compatrimoine.com - [10/May/2021:06:59:59 +0200] "GET /wordpress/wp-includes/css/dashicons.min.css?ver=5.7.1 HTTP/1.1" 200 35730 "http://1patrimoine.com/wordpress///wp-login.phppatrimoine.com/wordpress///wp-login.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.141 Safari/537.36"
37.111.211.179 1patrimoine.compatrimoine.com - [10/May/2021:06:59:59 +0200] "GET /wordpress/wp-includes/js/jquery/jquery.min.js?ver=3.5.1 HTTP/1.1" 200 30916 "http://1patrimoine.com/wordpress///wp-login.phppatrimoine.com/wordpress///wp-login.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.141 Safari/537.36"

Wordpress était à jour, j'avais fait l'installation manuellement. En revanche pour les plugins... je ne sais pas, et je n'ai plus accès à la liste des plugins sur Ovh. Savez-vous si éventuellement je peux retrouver cette information via Filezilla ?

Et du coup, la question à 102 457 519,53 ৳ : Vous pensez que le site est bon à jeter ou alors, ça peut encore le faire ?

Dans tous les cas, encore mille mercis pour votre aide et vos conseils !

54.36.148.254 1patrimoine.compatrimoine.com - [10/May/2021:05:39:45 +0200] "GET / HTTP/1.1" 200 338 "-" "Mozilla/5.0 (compatible; AhrefsBot/7.0; +http://ahrefs.com/robot/)"
37.111.218.171 1patrimoine.compatrimoine.com - [10/May/2021:05:51:20 +0200] "GET /wordpress/wp-admin/setup-config.php?step=1&language=en HTTP/1.1" 200 1135 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.141 Safari/537.36"

Il y a quand même un truc qui me chiffonne, votre site il était accessible via /wordpress/ dans l'URL ?

La première des deux adresses 54.36.148.254 c'est une adresse d'OVH et .254 c'est plutôt chasse gardée chez OVH.

Il y a quand même un truc qui me chiffonne, votre site il était accessible via /wordpress/ dans l'URL ?

Non, j'avais essayé pour gagner du temps et je n'y avais pas eu accès. Cependant, je n'ai tenté qu'une fois, le jour ou wordpress avait été incrémenté.

Bonjour Chers tous,

Après ce week end ou je ne travaillais pas, je me reconnecte ce matin et j'ai pu voir que le module de Phishing a été remis. Apparement, à nouveau par le biais de wordpress. Voici la première entrée dans le log :

`185.151.245.210 1patrimoine.compatrimoine.com - [16/May/2021:05:57:12 +0200] "GET /wordpress/wp-content/plugins//masterx/shx.php HTTP/1.1" 403 261 "http://1patrimoine.com/wordpress/wp-content/plugins//masterx/shx.phppatrimoine.com/wordpress/wp-content/plugins//masterx/shx.php" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17"`

A ce stade, je me dis que le plus simple serait probablement de supprimer le module wordpress et de le réinstaller, quite à recommencer depuis le début. Cependant Fritz2Cat a évoqué le fait que google safe search ayant identifié mon site comme un site de phishing, mon référencement risque d'être complètement aux fraises.

Je pose donc la question : est-ce que cela vaut le coup d'essayer de soigner ce site, ou faut-il que je me résolve à prendre un nouveau nom de domaine ?

Bonjour

Vous parlez de "module" wordpress, donc installé depuis OVH ?
A priori, leur modèle n'est pas du tout à jour.

Il faut partir sur une installation propre et manuelle (c'est pas très compliqué), avec des mots de passe bien durs à trouver (long notamment).
Mettez le moins de plugins possible.
Et attention au thème que vous mettez, prenez quelque chose de connu et bien mis à jour (ou même un thème par défaut au moins au début pour voir si votre petit malin revient.

Merci pour votre réponse. Suite à un soucis avec l'installation automatique, j'avais fait une installation manuelle de wordpress. J'avais utilisé le thème Blocksy qui me semblait assez connu, et pour ce qui est des plug-in, en dehors de wordpress, je n'avais que le blocksy companion.

Je retiens l'idée du changement de thème !