Le message vient de l’anti virus Kaperski :
découvert : cheval de Troie Trojan-Downloader.HTML.Agent.is URL: http://61.155.8.157/iframe/wp-stats.php
Ce que vous devez faire dans l’urgence :
- Supprimer ou renommer xmlrpc.php pour que l’on ne puisse plus accéder à votre blog par ce biais.
- Chercher quels sont les articles infestés en affichant la source de la page et en cherchent dedans la chaine « iframe ». Nettoyer déjà ces articles.
- Demander un réexamen de votre site à StopBadware.org qui aura sans doute déjà commencer à empêcher l’accès à votre site via Google. Connectez-vous à votre compte Google Webmaster Tools et demandez un réexamen de votre site si le messag « ce site risque d’endommager votre ordinateur » s’affiche dans les résultats de Google.
- Supprimer les derniers utilisateurs inscrits à votre blog si vous ne les connaissez pas.
- Empêcher la possibilité de créer des nouveaux utilisateurs (c’est, en général, inutile de toute façon, si vous trouvez un rédacteur, vous pouvez lui créer son compte et les simples lecteurs peuvent commenter sans se créer de compte chez vous).
- Chassez les éventuels autrres articles infesté en lançant cette recherche dans la base :
SELECT * FROM wp_posts WHERE post_content like '%IFRAME%' ;
(pour autant que vous ayiez installé WorPress en gardant le paramètre par défaut « wp_ » comme paramètre des tables).
Ces conseils sont tirés d’une discussion du support, cela m’est arrivé sur un site en WordPress 2.3.3 mais il se pourrait que cela soit aussi possible en 2.5. dans le doute, le 6° conseil est d’upgrader en 2.5 mais je crois que les idées idées 1 (virer xmlrpc.php) et 5 (empêcher l’inscription des nouveaux utilisateurs) sont à suivre dans tous les cas, si vous ne bloguez pas offline et si vous ne collectionez pas les inscriptions d’utilisateurs.
[Edit du 22/04/08] Merci à Cui et à Starkhay pour leurs excellents commentaires qui m’ont permis de mettre à jour cet article…
Tags : securite