Connect with us

Internet

[note de service] Sportscafe.fr hacké

Il y a

le

Vous êtes nombreux à me le signaler, mais malheureusement ce n’est pas une nouveauté pour moi : mon blog de sport Sportscafe.fr a été hacké il y a plusieurs semaines par injection de code malicieux.

Les pirates ont apparemment profité d’une faille dans un répertoire (je pense qu’il s’agit du répertoire « stats ») pour introduire un tas de saloperies (des centaines de liens spam cachés dans certains articles, des trojans, etc…) qui ont valu au site d’être signalé comme malveillant par Google et Firefox 3.

Alerte malware

J’ai nettoyé la base de données, viré tous les fichiers douteux, fait une réinstallation complète et upgradé WordPress en version 2.5.1, et je pense – mais je n’en suis pas certain car c’est difficile à débusquer – que le site est maintenant propre et sûr.

J’ai fait une demande de réexamen à Google il y a une semaine mais pour le moment ça n’a rien changé et le site est toujours signalé comme malveillant, je pense qu’il y a un délai pour que Google procède au dé-blacklistage du site, et j’espère qu’ils ne vont pas trop tarder à le faire…

> Lire aussi :  Comment recharger sa Tesla à l'énergie solaire ?

Si je lis cette page, je ne m’explique pas bien le paradoxe affiché entre ces deux phrases :

« Has this site acted as an intermediary resulting in further distribution of malware?

Over the past 90 days, www.sportscafe.fr/ did not appear to function as an intermediary for the infection of any sites.

Has this site hosted malware?

No, this site has not hosted malicious software over the past 90 days. »

Ce genre de mésaventure vous est déjà arrivé ? La quarantaine dure longtemps ?
D’autre part, connaissez-vous des outils ou un service (autre que Google) qui permette de faire une analyse de site afin de vérifier si celui-ci contient encore des trucs malveillants ?

22 Commentaires

22 Commentaires

  1. Fred

    19 juillet 2008 at 10 h 23 min

    Lamentable, faut que certains arrêtent de jouer aux Lapins Crétins et foutent la paix aux autres. Sans rire, je ne vois pas l’intérêt de pirater un blog (encore moins un blog de sport ^^).

    C’est comme les gamins qui s’amusent à rayer les voitures, ça…

    Sinon, tu vas réussir à récupérer le coup ?

  2. Joe Le Mort

    19 juillet 2008 at 10 h 26 min

    @Fred : je ne pense pas qu’ils en voulaient à Eric.
    Quand ils font ca, ils planchent sur un range d’IP, dès qu’ils trouvent un serveur dans ces IP, alors ils scannent pour trouver la faille. C’est malheureusement tombé sur Sportcafé 😉
    Voila pour le cours de « hack » 😀

  3. billyboylindien

    19 juillet 2008 at 10 h 32 min

    Nettoie bien tout, puis inscrit le site sur gg webmaster tools et va faire pénitence.
    Ça accélère le processus.

  4. Eric

    19 juillet 2008 at 10 h 35 min

    @billyboylindien tout ça c’est fait déjà depuis pas mal de temps, y compris la demande de réexamen

  5. jcfrog

    19 juillet 2008 at 11 h 05 min

    Quelle vérole ces hacker. Quand on pense qu’il y en a encore pour se croire utile. 3 ans d’âge mental.
    Aura-t-on un jour un GIGN international du web pour traquer sérieusement et punir lourdement ces voyous du Net?

  6. Hervé

    19 juillet 2008 at 12 h 03 min

    Première chose à faire c’est de comprendre comment ils ont fait cela.
    Je ne sais pas si tu es sur un dédié ou sur un mutualisé mais si tu as accès au log, vérifie tout.
    Tu dois absolument détecter la faille de ton site sinon cela recommencera.

    Il faut également savoir à quoi le hacker a eu accès. Dans la plus part des cas nettoyer ne suffit pas, il faut prendre son courage à 2 mains faire un joli rm * (si tu es sous linux) et réinstallé un backup en patchant la faille de sécu qui était présente dans l’ancienne version.

  7. YannTech

    19 juillet 2008 at 12 h 31 min

    WP 2.6 est sorti. Tant qu’à upgrader…

    FF3 est le plus rapide sur le phishing ainsi que la révocation des certificats SSL, quant au autres je ne sais pas.

    pour voir si tu es encore e***der par des n00bs du hack vérifie les logs apache et regarde soigneusement les referers (webmail/client mail/…), les pages les plus appellé, une différence dans les stats (tu me diras il sont biaisé par le blacklist). Awstats fais un peu du boulot

    Sinon comme dit précédemment sors le backup et sans faire un rm fais un diff !

  8. YannTech

    19 juillet 2008 at 12 h 36 min

    Tit’ 2.

    Change dans ton php.ini la variable expose_php = On à Off (histoire de pas voir que tu utilise la version PHP/5.2.0-8 +etch11 de debian etch)

    un vhost par défaut blanc et non maintenance.

    Install un outil genre fail2ban pour le futur.

    Bon courage.

  9. Lou

    19 juillet 2008 at 17 h 41 min

    Mon ancien blog était envahi malgré moi par plein de pubs p*orno. J’ai dû en créer un autre.J’étais dégoûtée, surtout qu’il commençait à bien fonctionner !

  10. Myst

    19 juillet 2008 at 20 h 07 min

    Alors je suis pas sur que les liens que je vais te donner servent vraiment (oui bon je suis vraiment mauvais niveau code et autre mais je m’y met lentement ^^’)

    http://www.validateur.ca/

    Alors ça ça ma l’air intéressant (mais bon je rappel j’y connais pas grand chose)

    Trouvé sur cette URL : http://www.rankspirit.com/outils-webmasters.php

    (Y’a peut être un truc plus intéressant hein ^^’)

  11. Donjipez

    20 juillet 2008 at 3 h 57 min

    Suis un newbie sur le net (je veux dire de façon un peu assidue avant juste pour le taf et bye) mais je vois pas l’intérêt de mettre des virus et autres dans un bar des sports. Sauf à tracer les visiteurs – j’ai crû comprendre que l’Etat nous prépare un truc du même tonneau ou pas loin – et les emmerder avec des pubs. Et faire ch*** pour rien.
    Bref, bon courage pour désinfecter
    PS : je suis pas moraliste hein, le mec qui hack la CIA ou je ne sais quoi ça me fait plutôt rire surtout s’il révèle des trucs où humilie les mecs…

  12. Jeremie Berrebi (Zlio)

    20 juillet 2008 at 10 h 46 min

    Encore un coup de Google qui joue au flic.

    Je connais un site qui n’a absolument jamais été hacké mais qui est aussi bloqué depuis quelques jours exactement comme toi.

  13. Jeremie+Berrebi+(Zlio)

    20 juillet 2008 at 10 h 53 min

    Oups, j’efface ce que j’ai dit. Le site concerné a bien été hacké aussi par des chinois…. 🙁

  14. Mathieu

    20 juillet 2008 at 13 h 30 min

    Dur dur. AU moins, j’aurai appris que tu as un blog de sport 🙂

  15. peff

    20 juillet 2008 at 15 h 36 min

    En parlant du fichier « stats.php », pendant le concours lorsque je tapais F5 sur Presse-Citron, Firefox me proposais d’enregistrer le fichier « stats.php ». Je pense que ça venait d’un problème chez moi… mais en lisant ce billet, je trouve ça bizarre, non?
    Je n’y connais rien mais j’espère qu’ils n’ont pas essayé de hacker Presse-Citron également…

  16. kuby

    20 juillet 2008 at 21 h 13 min

    « FF3 est le plus rapide sur le phishing ainsi que la révocation des certificats SSL, quant au autres je ne sais pas. »
    => j’ai pas trop bien compris la :S

  17. Nicolargo

    21 juillet 2008 at 10 h 35 min

    Il y a cet outils en ligne:

    http://unmaskparasites.com/

    Il permet le test de ton site Web en cherchant les failles connues…

  18. David+Lafon

    21 juillet 2008 at 14 h 12 min

    Le site Accessiweb avait subit le même désagrément le 16 juin dernier (j’en parlais justement ici http://www.web-intention.com/2008/06/16/accessiweb-hors-la-loi-par-google/). Le retour dans les grâces de Google s’était opéré dans les jours suivants (dixit Pierre Guillou).

  19. Guiltouf

    22 juillet 2008 at 13 h 00 min

    Hello Eric,

    J’ai eu le même problème que toi sur mon blog et mon site a été blacklisté google.

    Dans mon cas, c’était une faille dans w5.0 au niveau des fonctions rpc de WordPress.
    En regardant dans la base, je me suis aperçu qu’une balise iframe avait été insérée dans mes billets.
    => C’est cet iframe qui était reconnu comme « Hacké » et tant mieux

    Donc une fois que j’ai viré ce code mailicieux, j’ai fait une update vers w2.6 et ensuite j’ai envoyé un mail à google pour qu’ils puissent rescanner ma page.

    Ca a effectivement pris environ 15j pour être supprimé de la blacklist.

    Voili voilou.
    Bon courage et encore merci pour ton blog !

  20. Eric

    22 juillet 2008 at 14 h 03 min

    @Guiltouf, tel que tu le décris c’est exactement le même problème que moi. J’ai fait pareil que toi il y a une dizaine de jours et j’attends tjs avec impatience que Google déblackliste le site… On est encore dans les délais, ça me rassure un peu.

  21. Guiltouf

    22 juillet 2008 at 14 h 29 min

    Encore un peu de patience alors et beaucoup de mise à jour de wordpress 🙂
    D’ailleurs, j’ai pas encore mis la 6.1 moi…

  22. citoyenlambda

    9 août 2008 at 17 h 12 min

    c’est un peu tard mais quand le post est sorti je me suis souvenu d’un autre cas mais je ne retrouvais pas où.
    Aujourd’hui j’ai retrouvé :

    http://www.rutz.fr/wp/2008/04/12/attaque-de-cdpuvbhfzz-sur-mon-blog/

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Dernières news

Les bons plans

Les tests