[note de service] Sportscafe.fr hacké

Vous êtes nombreux à me le signaler, mais malheureusement ce n’est pas une nouveauté pour moi : mon blog de sport Sportscafe.fr a été hacké il y a plusieurs semaines par injection de code malicieux.

Les pirates ont apparemment profité d’une faille dans un répertoire (je pense qu’il s’agit du répertoire « stats ») pour introduire un tas de saloperies (des centaines de liens spam cachés dans certains articles, des trojans, etc…) qui ont valu au site d’être signalé comme malveillant par Google et Firefox 3.

sportscafe alerte [note de service] Sportscafe.fr hacké

J’ai nettoyé la base de données, viré tous les fichiers douteux, fait une réinstallation complète et upgradé WordPress en version 2.5.1, et je pense – mais je n’en suis pas certain car c’est difficile à débusquer – que le site est maintenant propre et sûr.

J’ai fait une demande de réexamen à Google il y a une semaine mais pour le moment ça n’a rien changé et le site est toujours signalé comme malveillant, je pense qu’il y a un délai pour que Google procède au dé-blacklistage du site, et j’espère qu’ils ne vont pas trop tarder à le faire…

Si je lis cette page, je ne m’explique pas bien le paradoxe affiché entre ces deux phrases :

« Has this site acted as an intermediary resulting in further distribution of malware?

Over the past 90 days, www.sportscafe.fr/ did not appear to function as an intermediary for the infection of any sites.

Has this site hosted malware?

No, this site has not hosted malicious software over the past 90 days. »

Ce genre de mésaventure vous est déjà arrivé ? La quarantaine dure longtemps ?
D’autre part, connaissez-vous des outils ou un service (autre que Google) qui permette de faire une analyse de site afin de vérifier si celui-ci contient encore des trucs malveillants ?

A propos de l'auteur : Eric

Je suis blogueur, éditeur de contenus numériques et je conseille et accompagne quelques entreprises dans leur développement sur internet.
Voir tous les articles de Eric

Tags: hack, pirates, Sportscafe

22 commentaires pour "[note de service] Sportscafe.fr hacké"

1

Fred le 19 juillet 2008 à 10:23

Lamentable, faut que certains arrêtent de jouer aux Lapins Crétins et foutent la paix aux autres. Sans rire, je ne vois pas l’intérêt de pirater un blog (encore moins un blog de sport ^^).

C’est comme les gamins qui s’amusent à rayer les voitures, ça…

Sinon, tu vas réussir à récupérer le coup ?
2

Joe Le Mort le 19 juillet 2008 à 10:26

@Fred : je ne pense pas qu’ils en voulaient à Eric.
Quand ils font ca, ils planchent sur un range d’IP, dès qu’ils trouvent un serveur dans ces IP, alors ils scannent pour trouver la faille. C’est malheureusement tombé sur Sportcafé
Voila pour le cours de « hack »
3

billyboylindien le 19 juillet 2008 à 10:32

Nettoie bien tout, puis inscrit le site sur gg webmaster tools et va faire pénitence.
Ça accélère le processus.
4

Eric le 19 juillet 2008 à 10:35

@billyboylindien tout ça c’est fait déjà depuis pas mal de temps, y compris la demande de réexamen
5

jcfrog le 19 juillet 2008 à 11:05

Quelle vérole ces hacker. Quand on pense qu’il y en a encore pour se croire utile. 3 ans d’âge mental.
Aura-t-on un jour un GIGN international du web pour traquer sérieusement et punir lourdement ces voyous du Net?
6

Hervé le 19 juillet 2008 à 12:03

Première chose à faire c’est de comprendre comment ils ont fait cela.
Je ne sais pas si tu es sur un dédié ou sur un mutualisé mais si tu as accès au log, vérifie tout.
Tu dois absolument détecter la faille de ton site sinon cela recommencera.

Il faut également savoir à quoi le hacker a eu accès. Dans la plus part des cas nettoyer ne suffit pas, il faut prendre son courage à 2 mains faire un joli rm * (si tu es sous linux) et réinstallé un backup en patchant la faille de sécu qui était présente dans l’ancienne version.
7

YannTech le 19 juillet 2008 à 12:31

WP 2.6 est sorti. Tant qu’à upgrader…

FF3 est le plus rapide sur le phishing ainsi que la révocation des certificats SSL, quant au autres je ne sais pas.

pour voir si tu es encore e***der par des n00bs du hack vérifie les logs apache et regarde soigneusement les referers (webmail/client mail/…), les pages les plus appellé, une différence dans les stats (tu me diras il sont biaisé par le blacklist). Awstats fais un peu du boulot

Sinon comme dit précédemment sors le backup et sans faire un rm fais un diff !
8

YannTech le 19 juillet 2008 à 12:36

Tit’ 2.

Change dans ton php.ini la variable expose_php = On à Off (histoire de pas voir que tu utilise la version PHP/5.2.0-8 +etch11 de debian etch)

un vhost par défaut blanc et non maintenance.

Install un outil genre fail2ban pour le futur.

Bon courage.
9

Lou le 19 juillet 2008 à 17:41

Mon ancien blog était envahi malgré moi par plein de pubs p*orno. J’ai dû en créer un autre.J’étais dégoûtée, surtout qu’il commençait à bien fonctionner !
10

Myst le 19 juillet 2008 à 20:07

Alors je suis pas sur que les liens que je vais te donner servent vraiment (oui bon je suis vraiment mauvais niveau code et autre mais je m’y met lentement ^^’)

http://www.validateur.ca/

Alors ça ça ma l’air intéressant (mais bon je rappel j’y connais pas grand chose)

Trouvé sur cette URL : http://www.rankspirit.com/outils-webmasters.php

(Y’a peut être un truc plus intéressant hein ^^’)
11

Donjipez le 20 juillet 2008 à 03:57

Suis un newbie sur le net (je veux dire de façon un peu assidue avant juste pour le taf et bye) mais je vois pas l’intérêt de mettre des virus et autres dans un bar des sports. Sauf à tracer les visiteurs – j’ai crû comprendre que l’Etat nous prépare un truc du même tonneau ou pas loin – et les emmerder avec des pubs. Et faire ch*** pour rien.
Bref, bon courage pour désinfecter
PS : je suis pas moraliste hein, le mec qui hack la CIA ou je ne sais quoi ça me fait plutôt rire surtout s’il révèle des trucs où humilie les mecs…
12

Jeremie Berrebi (Zlio) le 20 juillet 2008 à 10:46

Encore un coup de Google qui joue au flic.

Je connais un site qui n’a absolument jamais été hacké mais qui est aussi bloqué depuis quelques jours exactement comme toi.
13

Jeremie+Berrebi+(Zlio) le 20 juillet 2008 à 10:53

Oups, j’efface ce que j’ai dit. Le site concerné a bien été hacké aussi par des chinois….
14

Mathieu le 20 juillet 2008 à 13:30

Dur dur. AU moins, j’aurai appris que tu as un blog de sport
15

peff le 20 juillet 2008 à 15:36

En parlant du fichier « stats.php », pendant le concours lorsque je tapais F5 sur Presse-Citron, Firefox me proposais d’enregistrer le fichier « stats.php ». Je pense que ça venait d’un problème chez moi… mais en lisant ce billet, je trouve ça bizarre, non?
Je n’y connais rien mais j’espère qu’ils n’ont pas essayé de hacker Presse-Citron également…
16

kuby le 20 juillet 2008 à 21:13

« FF3 est le plus rapide sur le phishing ainsi que la révocation des certificats SSL, quant au autres je ne sais pas. »
=> j’ai pas trop bien compris la :S
17

Nicolargo le 21 juillet 2008 à 10:35

Il y a cet outils en ligne:

http://unmaskparasites.com/

Il permet le test de ton site Web en cherchant les failles connues…
18

David+Lafon le 21 juillet 2008 à 14:12

Le site Accessiweb avait subit le même désagrément le 16 juin dernier (j’en parlais justement ici http://www.web-intention.com/2.....ar-google/). Le retour dans les grâces de Google s’était opéré dans les jours suivants (dixit Pierre Guillou).
19

Guiltouf le 22 juillet 2008 à 13:00

Hello Eric,

J’ai eu le même problème que toi sur mon blog et mon site a été blacklisté google.

Dans mon cas, c’était une faille dans w5.0 au niveau des fonctions rpc de WordPress.
En regardant dans la base, je me suis aperçu qu’une balise iframe avait été insérée dans mes billets.
=> C’est cet iframe qui était reconnu comme « Hacké » et tant mieux

Donc une fois que j’ai viré ce code mailicieux, j’ai fait une update vers w2.6 et ensuite j’ai envoyé un mail à google pour qu’ils puissent rescanner ma page.

Ca a effectivement pris environ 15j pour être supprimé de la blacklist.

Voili voilou.
Bon courage et encore merci pour ton blog !
20

Eric le 22 juillet 2008 à 14:03

@Guiltouf, tel que tu le décris c’est exactement le même problème que moi. J’ai fait pareil que toi il y a une dizaine de jours et j’attends tjs avec impatience que Google déblackliste le site… On est encore dans les délais, ça me rassure un peu.
21

Guiltouf le 22 juillet 2008 à 14:29

Encore un peu de patience alors et beaucoup de mise à jour de wordpress
D’ailleurs, j’ai pas encore mis la 6.1 moi…
22

citoyenlambda le 9 août 2008 à 17:12

c’est un peu tard mais quand le post est sorti je me suis souvenu d’un autre cas mais je ne retrouvais pas où.
Aujourd’hui j’ai retrouvé :

http://www.rutz.fr/wp/2008/04/.....-mon-blog/

Ajouter un commentaire

Cliquer ici pour annuler la réponse.

Du bon usage des commentaires et des discussions sur Presse-citron :

- Vous n'avez pas besoin d'être inscrit pour commenter, mais l'anonymat n'est pas incompatible avec la courtoisie et le respect de chacun.

- Les messages injurieux, agressifs, inutilement grossiers, les critiques gratuites et non argumentées et les attaques personnelles seront supprimés sans préavis et leurs auteurs bloqués.

- Bien sûr, tout commentaire publicitaire ou spam sera sauvagement piétiné et son auteur tricard jusqu'à la quinzième génération.

- Pour signaler une faute de frappe ou de syntaxe, contactez-nous exclusivement via cette page.

C'est à vous maintenant !

La vie en Web !
Presse-citron est un site d'information sur les tendances et les bons plans du web, les médias sociaux et les technologies mobiles.