Passer au contenu

[note de service] Sportscafe.fr hacké

Vous êtes nombreux à me le signaler, mais malheureusement ce n’est pas une nouveauté pour moi : mon blog de sport Sportscafe.fr a été hacké il…

Vous êtes nombreux à me le signaler, mais malheureusement ce n’est pas une nouveauté pour moi : mon blog de sport Sportscafe.fr a été hacké il y a plusieurs semaines par injection de code malicieux.

Les pirates ont apparemment profité d’une faille dans un répertoire (je pense qu’il s’agit du répertoire “stats”) pour introduire un tas de saloperies (des centaines de liens spam cachés dans certains articles, des trojans, etc…) qui ont valu au site d’être signalé comme malveillant par Google et Firefox 3.

Alerte malware

J’ai nettoyé la base de données, viré tous les fichiers douteux, fait une réinstallation complète et upgradé WordPress en version 2.5.1, et je pense – mais je n’en suis pas certain car c’est difficile à débusquer – que le site est maintenant propre et sûr.

J’ai fait une demande de réexamen à Google il y a une semaine mais pour le moment ça n’a rien changé et le site est toujours signalé comme malveillant, je pense qu’il y a un délai pour que Google procède au dé-blacklistage du site, et j’espère qu’ils ne vont pas trop tarder à le faire…

Si je lis cette page, je ne m’explique pas bien le paradoxe affiché entre ces deux phrases :

“Has this site acted as an intermediary resulting in further distribution of malware?

Over the past 90 days, www.sportscafe.fr/ did not appear to function as an intermediary for the infection of any sites.

Has this site hosted malware?

No, this site has not hosted malicious software over the past 90 days.”

Ce genre de mésaventure vous est déjà arrivé ? La quarantaine dure longtemps ?
D’autre part, connaissez-vous des outils ou un service (autre que Google) qui permette de faire une analyse de site afin de vérifier si celui-ci contient encore des trucs malveillants ?

📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.

Opera One - Navigateur web boosté à l’IA
Opera One - Navigateur web boosté à l’IA
Par : Opera
22 commentaires
22 commentaires
  1. Lamentable, faut que certains arrêtent de jouer aux Lapins Crétins et foutent la paix aux autres. Sans rire, je ne vois pas l’intérêt de pirater un blog (encore moins un blog de sport ^^).

    C’est comme les gamins qui s’amusent à rayer les voitures, ça…

    Sinon, tu vas réussir à récupérer le coup ?

  2. @Fred : je ne pense pas qu’ils en voulaient à Eric.
    Quand ils font ca, ils planchent sur un range d’IP, dès qu’ils trouvent un serveur dans ces IP, alors ils scannent pour trouver la faille. C’est malheureusement tombé sur Sportcafé 😉
    Voila pour le cours de “hack” 😀

  3. Quelle vérole ces hacker. Quand on pense qu’il y en a encore pour se croire utile. 3 ans d’âge mental.
    Aura-t-on un jour un GIGN international du web pour traquer sérieusement et punir lourdement ces voyous du Net?

  4. Première chose à faire c’est de comprendre comment ils ont fait cela.
    Je ne sais pas si tu es sur un dédié ou sur un mutualisé mais si tu as accès au log, vérifie tout.
    Tu dois absolument détecter la faille de ton site sinon cela recommencera.

    Il faut également savoir à quoi le hacker a eu accès. Dans la plus part des cas nettoyer ne suffit pas, il faut prendre son courage à 2 mains faire un joli rm * (si tu es sous linux) et réinstallé un backup en patchant la faille de sécu qui était présente dans l’ancienne version.

  5. WP 2.6 est sorti. Tant qu’à upgrader…

    FF3 est le plus rapide sur le phishing ainsi que la révocation des certificats SSL, quant au autres je ne sais pas.

    pour voir si tu es encore e***der par des n00bs du hack vérifie les logs apache et regarde soigneusement les referers (webmail/client mail/…), les pages les plus appellé, une différence dans les stats (tu me diras il sont biaisé par le blacklist). Awstats fais un peu du boulot

    Sinon comme dit précédemment sors le backup et sans faire un rm fais un diff !

  6. Tit’ 2.

    Change dans ton php.ini la variable expose_php = On à Off (histoire de pas voir que tu utilise la version PHP/5.2.0-8 +etch11 de debian etch)

    un vhost par défaut blanc et non maintenance.

    Install un outil genre fail2ban pour le futur.

    Bon courage.

  7. Mon ancien blog était envahi malgré moi par plein de pubs p*orno. J’ai dû en créer un autre.J’étais dégoûtée, surtout qu’il commençait à bien fonctionner !

  8. Suis un newbie sur le net (je veux dire de façon un peu assidue avant juste pour le taf et bye) mais je vois pas l’intérêt de mettre des virus et autres dans un bar des sports. Sauf à tracer les visiteurs – j’ai crû comprendre que l’Etat nous prépare un truc du même tonneau ou pas loin – et les emmerder avec des pubs. Et faire ch*** pour rien.
    Bref, bon courage pour désinfecter
    PS : je suis pas moraliste hein, le mec qui hack la CIA ou je ne sais quoi ça me fait plutôt rire surtout s’il révèle des trucs où humilie les mecs…

  9. Encore un coup de Google qui joue au flic.

    Je connais un site qui n’a absolument jamais été hacké mais qui est aussi bloqué depuis quelques jours exactement comme toi.

  10. En parlant du fichier “stats.php”, pendant le concours lorsque je tapais F5 sur Presse-Citron, Firefox me proposais d’enregistrer le fichier “stats.php”. Je pense que ça venait d’un problème chez moi… mais en lisant ce billet, je trouve ça bizarre, non?
    Je n’y connais rien mais j’espère qu’ils n’ont pas essayé de hacker Presse-Citron également…

  11. “FF3 est le plus rapide sur le phishing ainsi que la révocation des certificats SSL, quant au autres je ne sais pas.”
    => j’ai pas trop bien compris la :S

  12. Hello Eric,

    J’ai eu le même problème que toi sur mon blog et mon site a été blacklisté google.

    Dans mon cas, c’était une faille dans w5.0 au niveau des fonctions rpc de WordPress.
    En regardant dans la base, je me suis aperçu qu’une balise iframe avait été insérée dans mes billets.
    => C’est cet iframe qui était reconnu comme “Hacké” et tant mieux

    Donc une fois que j’ai viré ce code mailicieux, j’ai fait une update vers w2.6 et ensuite j’ai envoyé un mail à google pour qu’ils puissent rescanner ma page.

    Ca a effectivement pris environ 15j pour être supprimé de la blacklist.

    Voili voilou.
    Bon courage et encore merci pour ton blog !

  13. @Guiltouf, tel que tu le décris c’est exactement le même problème que moi. J’ai fait pareil que toi il y a une dizaine de jours et j’attends tjs avec impatience que Google déblackliste le site… On est encore dans les délais, ça me rassure un peu.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *