Incidet in Scyllam cupiens vitare Charybdim

Décidément, l’administration d’un blog donne l’impression d’aller tout droit de Charybde en Scylla.

Depuis quelques semaines, une faille de sécurité – sans doute causée par une négligence de ma part – a compromis à plusieurs reprises l’intégrité du blog. Si vous êtes un lecteur régulier de Mind Overflow, vous avez sans doute constaté que le thème disparaissait occasionnellement, comme si les feuilles de style CSS avaient été retirées. Pire encore, votre antivirus a peut-être eu des sautes d’humeur en venant en ces lieux.

Ce n’est guère surprenant. La faille – dont l’origine et la cause restent indéterminées – a manifestement entrainé une infection de mon espace par un cheval de Troie (trojan). Avant toute chose, je vous recommande ardemment de mettre sans tarder votre antivirus à jour et d’effectuer une analyse complète et approfondie de vos différents disques dur et espaces de stockage. En effet, il est possible qu’en accédant au blog, vous avez exposé votre ordinateur. Dans le doute, faites-un balayage.

Donc, Mind Overflow a été temporairement fragilisé. Normalement, le problème a été résolu. Du moins c’est ce que j’espère, car c’est la troisième fois en l’espace de deux semaines que je suis contraint de procéder à une réinitialisation complète, en supprimant entièrement le contenu hébergé (et en faisant les sauvegardes SQL et les exports FTP et WordPress nécessaires pour ne rien perdre ;-)). Un travail fastidieux, vraiment. Et guère amusant, surtout lorsqu’on voudrait publier des articles à la place !

Concrètement, en plus des mesures effectuées plus haut, j’ai procédé à un scan de mon système, des éléments récupérés ainsi que de la base de données, pour vérifier si aucun code malicieux ne s’est glissé durant le processus. J’en ai profité pour changer les mots de passe FTP, base de données SQL, Administration WordPress et de mon hébergeur, et j’ai vérifié les permissions CHMOD utilisées pour les fichiers et les dossiers. J’ai réinstallé les plugins et les thèmes via les liens les plus officiels possibles (notamment le répertoire d’extensions WordPress, pour être sûr de ne pas récupérer un fichier vérolé). Une bonne occasion de rajouter quelques plugins WordPress dédiés à la sécurité d’ailleurs…

Comme indiqué plus haut, je ne suis pas certain de l’origine de la faille, ni quelle manipulation a poussé le blog dans une telle galère. D’ailleurs, les trois soucis n’étaient pas tout à fait les mêmes. Par exemple, certains tentaient apparemment de rediriger les visiteurs sur une page web dont l’extension du nom de domaine était .ru (Russie). Il faut dire que depuis quelques jours, Askimet bloque de nombreux spams russes. Difficile de croire à un hasard.

La faille a permis d’injecter du code dans certains fichiers WordPress, comme les pages index.php, default.php, index.html, default.html ainsi que certains fichiers JavaScript (*.js). Selon les quelques renseignements que j’ai pu récolter, le cheval de Troie s’intitulait – pour la première affaire du moins – Troj.Downloader.JS.Agent. Il est recensé dans la catégorie des scripts impénétrables (obfuscated script). Le genre de code franchement illisible, difficile à percer et à comprendre.

Ce virus entrainait une page blanche, en lieu et place du contenu du blog, avec une supposée erreur PHP : « parse error: syntax error, unexpected ‘<’ in … on line xxx« , où … représente le chemin d’accès du fichier infecté en question. Évidemment, il n’y avait aucune erreur… Maintenant, reste à savoir si un nouveau pépin surviendra. A priori, vu les changement apportés, j’ose croire qu’aucun autre trojan viendra me casser les pieds. C’est que je n’ai guère envie de de tout réinstaller pour la quatrième fois.

Bref, voilà pour la petite histoire et les quelques jours de galère du blog. J’espère que ce billet vous aura éclairé, surtout si vous êtes passé dans le coin dernièrement. À propos, si vous avez connu une situation identique, n’hésitez pas à partager votre expérience. D’autant que je suis preneur d’un éventuel conseil qui me permettrait de protéger plus efficacement encore mon espace !

Et je vous rappelle qu’un scan antivirus de votre système est hautement recommandé, au cas où ! Croisons les doigts pour que les mesures prises fonctionnent :-).

Photo : Odysseus in front of Scylla and Charybdis – Domaine Public Johann Heinrich Füssli

2 Réponses to “Incidet in Scyllam cupiens vitare Charybdim”

  1. Paeleben dit :

    Bon et bien bon courage et merci de prendre ce temps pour nous.
    Il serait judicieux d’en parler sur les forums francophones de Wordpress, chose à laquelle tu as sûrement du déjà y penser !

    Au plaisir de te lire à nouveau.

  2. Soren dit :

    Avec le risque d’infection, je n’avais guère le choix : il fallait que je vous avertisse ;-). Il me semble que ce souci est connu du côté des plates-formes WordPress. J’espère que la version 3.0 du CMS renforcera la solidité des blogs !

Laissez une Réponse

CAPTCHA Audio
Rafraîchir l'image