Migration du blog terminée en moins de 3 heures »

ART-WP a été attaqué !

Il faut en être conscient et s’y préparer : lorsque l’on a un site ou un blog sur Internet, il peut rapidement devenir la cible de personnes mal intentionnées. Les dégâts occasionnées peuvent être divers, du parfois anodin à des choses beaucoup plus graves. ART-WP a été la cible d’un petit malin qui a cherché à se créer des backlinks facilement. Je vous raconte tout.

Souvent, lorsque ce genre d’accident se produit, les webmasters corrigent et restent discrets. Peur d’avouer qu’ils se sont fait piéger ? Il n’y a, à mon avis, pas de honte à cela. Au contraire, il faut en tirer des enseignements et prendre des mesures pour éviter que cela se reproduise. Alors, autant vous en faire profiter avant que cela ne vous arrive.

Détection de l’attaque

C’est évidemment la première des choses. Votre blog peut, en effet, avoir été attaqué et que vous ne vous en soyez pas rendu compte. Dans le cas de ART-WP, le premier indice a été donné par les Google Webmaster Tools (Outils pour les Webmasters). L’image ci-contre vous montre le graphique correspondant aux pages explorées par les robots Google par jour : l’augmentation soudaine du nombre de pages est plus que significative (les rapports fournis par les outils Google sont toujours décalés dans le temps – il y a toujours quelques jours de décalage). C’est une première alerte. En effet, il n’y a pas eu plusieurs centaines de nouvelles pages publiées ces derniers jours !

La seule explication plausible est évidemment l’ajout de nouvelles pages (à moins d’un dysfonctionnement des outils fournis par Google, ce qui est quand même peu probable).

Wait and see ?

Le quotidien étant très chargé en ce moment (ce qui explique – mais n’excuse pas ! – la diminution du rythme de publication depuis quelques jours), j’ai remis l’étude du phénomène à plus tard (ce matin). De toute façon, il n’y avait aucun dysfonctionnement apparent du blog.

Première conséquence

Hier soir, l’utilisation quotidienne de SEO Soft m’indique une chute « vertigineuse » du positionnement des principaux mots clés sur lesquels je travaille (entre 100 et 200 places sur chacun d’eux). A partir de là, les questions se bousculent : « qu’est-ce que j’ai fait pour me faire pénaliser ainsi ? », « sur quel site ai-je déposé un commentaire récemment ? », « qu’est-ce que j’ai modifié sur le blog ? », … Questions évidemment sans réponses.

Deuxième conséquence

C’est la suite logique : la part de visites provenant des moteurs de recherche (Google en particulier) connait une baisse (chute) dont l’allure correspond à la courbe du positionnement !

Deuxième indice

La nuit ayant porté conseil … l’utilisation de SEO Quake indique une augmentation plus que significative des pages indexées par Google. Normal, cela avait déjà été constaté avec les Webmasters tools. Seulement, là, en faisant défiler les pages, des titres et URL qui ne correspondent à rien de connu apparaissent : travail-avec-internet.fr/wp-admin/images/xxx, où xxx correspond à des noms « bizarre » (une recherche sur Google retourne 1370 résultats, ce qui correspond au premier graphique). La visite de la première page trouvée ne correspond en rien au blog, la deuxième non plus, ni la troisième, ni les suivantes … C’est certain, YA 1 TRUC !!!

Trouver l’origine du phénomène

C’est en fait assez simple, la réponse est dans la question : http://travail-avec-internet.fr/wp-admin/images indique clairement que quelque chose se passe du côté du répertoire correspondat. En effet :

dans ce répertoire, deux fichiers ont été crés le 23 janvier à 10h50. Un fichier .htaccess qui contient une réécriture d’url vers un script nommé alemoa.php (le deuxième fichier crée dans ce répertoire), lui-même contenant du code en base64,
un sous dossier nommé .log, contenant un sous-dossier ‘travail-avec-internet.fr’. Ce dernier contenant les fameuses pages html qui sont venues augmenter le nombre de pages du site.

Rien, semble-t-il de bien méchant, si ce n’est un impact négatif sur le référencement et un espace disque conséquent occupé par ces fameuses pages.

Réparation

Il suffit de faire le ménage … supprimer l’ensemble des fichiers qui ont été ajoutés.

Mesures à prendre et conséquences

La première mesure à prendre (en urgence) est évidemment de modifier les identifiants de connexion FTP.

La seconde est une vérification poussée de tous les répertoires de l’hébergement, au moins en recherchant les fichiers modifiés à partir de la même date (23/01 pour ART-WP).

La troisième touche le ou les ordinateurs à partir desquels vous travaillez sur votre site. En effet, à un moment ou à un autre, le « pirate » a réussi à obtenir vos identifiants FTP (par prudence, il serait judicieux de modifier tous les identifiants des comptes ou services qui présentent une quelconque importance pour vous) et si votre ordinateur est infecté, il n’y a pas de raison pour qu’il ne réitère pas son « exploit ».

Concernant les conséquences, elles sont évidentes :

chute du positionnement,
perte de temps,
doutes sur la sécurité,
et peut-être des effets de bord non encore constatés.

Votre avis ?

Imprimer

Commentaires (28)
Pings (1)

#1 écrit par MarieEve de creer-site-web-pro il y a 1 an

Aïe ça fait toujours flipper ce genre de découverte. Heureusement, tu as vite réagi! Merci pour ton retour d’expérience, ça servira sûrement.
Attention aux thèmes gratuits non-officiels qui peuvent être une porte d’entrée pour certains petits malins.
Dernier article de MarieEve@creer-site-web-pro : Modifiez votre design avec ces snippets CSS

Répondre Citer
- #2 écrit par damien il y a 1 an
  
  Bonjour Marie-Eve, effectivement, les thèmes gratuits présentent un risque. Mais là, je pense que c’est autre chose. Pour le moment, un scan minutieux est en cours sur tous mes ordis …
  
  Répondre Citer
#3 écrit par Mikaël il y a 1 an

Bonjour Damien,
Et bien mon ami que de frayeurs!
En fait ton article et mise en garde
donne à réfléchir.
Pour une grande partie des blogueurs
n’ont pas ton talent et ton expérience,
Est ce que nous aurons, même en suivant
scrupuleusement tes explications le moyen
de nous débarrasser des pirates /hacker.
Surement changer le mot de passe avec
un mot de passe aléatoire fourni par un
logiciel au moins une fois par semaine.
ça va nous rassurer, mais nous mettre
à l’abri je ne sais pas.
Le côté positif c’est que le succès fait
des envieux et des jaloux,
Félicitations.
Amicalement
Mikaël
Dernier article de Mikaël : Obtenez ce que vous voulez !

Répondre Citer
#4 écrit par Sinje il y a 1 an

Bonjour Damien !
C’est effrayant. Je pense que je serais assez démunie face à un tel évènement! Merci de ta réaction à chaud.
Ce sera très utile au cas où!
Bonne continuation
Sinje

Répondre Citer
#5 écrit par Sco! il y a 1 an

Allô Damien,
J’ai effectivement remarqué une augmentation vertigineuse de tes pages indexées (en activant Seo Quake) depuis une semaine environ. Ce nombre a également augmenté encore ce matin (dimanche 29) par rapport à hier.

Justement, le nombre de pages indexées, comment se fait-il qu’il varie lorsqu’on n’ajoute pas de pages ou d’articles? Le mien monte et descend d’un jour à l’autre.

À quelle fréquence modifier les identifiants de connexion FTP?

Souhaitons-nous tous bonne chance et soyons vigilants!

Sco!
Dernier article de Sco! : Resto sans routine

Répondre Citer
- #6 écrit par damien il y a 1 an
  
  Hello Sco!, le nombre de pages indexées risque de rester un moment assez élevé. J’ai mis quelque chose en place pour le faire diminuer et que tout rentre dans l’ordre mais cela va prendre un peu de temps. Dès que j’aurai l acertitude que cela fonctionne, je ferai un petit article.
  Pour la fréquence de changement de mot de passe, je ne suis pas certain que ce soit la bonne façon d’aborder le problème. Même si tu le modifie tous les jours, tu auras réduit le risque, mais tu ne l’auras pas traité.
  
  Répondre Citer
#7 écrit par zenie il y a 1 an

Bonjour Damien, Le monde est plein de fourberies..alors je te souhaite bon courage pour la suite.

zenie
Dernier article de zenie : Quand la vie vous parle

Répondre Citer
- #8 écrit par damien il y a 1 an
  
  Bonjour Zenie et merci pour tes encouragements (à tous les autres également !). Je considère que c’est du passé, qu’il faut en tirer des conclusions et prendre des mesures. J’aurais très bien pu ne rien dire, mais je pense qu’une partie de celles et ceux qui lisent ce blog régulièrement auront pu prendre conscience qu’Internet n’est pas le monde des Bisounours. L’objectif n’était pas d’affoler, mais d’informer.
  
  Répondre Citer
#9 écrit par Charles de mille astuces pour changer de vie il y a 1 an

Bonjour Damien,
c’est fait peur ce que tu viens de nous raconter dans ce billet, qu’est ce que j’aurais fait si j’étais dans ce cas? vraiment pas grand chose!
il y a quelqu’un temps j’ai lu des billets sur la protection des blogs mais j’avoue je n’ai pas prêté trop grande attention mais avec ce qui vient de t’arriver il faudra que je me penche un peu sur la question.
courage à toi et surtout bravo! d’avoir detecté de coup de maitre la taupe et surtout ne baisse pas les bras.
et comme Napoléon Hill le dit une attaque quelconque cache le germe d’un succès.
bonne continuation!!!
Dernier article de Charles@mille astuces pour changer de vie : Découvrez les 30 principales causes de l’échec qui vous privent du succès (2/2)

Répondre Citer
- #10 écrit par damien il y a 1 an
  
  Hello Charles, la sécurité est en effet un volet qui est trop souvent négligé. Cependant, il ne faut pas non plus devenir parano. Il faut surveiller et réagir en cas de doute.
  
  Répondre Citer
#11 écrit par Madeleine Lamarre il y a 1 an

Bonjour Damien, wow, quelle aventure?
Heureusement que tu as rapidement détecté qu’il y avait quelque chose d’anormal. Quelques questions me viennent en tête.
Est-ce que cela veut dire que nous devons regarder sur Google chaque jour?

Si tu n’avais pas vérifié sur Google, qu’est-ce qui aurait pu arriver à plus long terme?

Y a-t-il d’autres façons de voir ce genre d’attaque?

Merci de nous partager cette information.

Répondre Citer
- #12 écrit par damien il y a 1 an
  
  Bonjour Madeleine, il y a des choses qu’il faut surveiller régulièrement. Ici, le mal n’était pas très important (c’est relatif …). L’auteur de cet acte déplacé avait déposé environ 1500 pages sur mon blog et s’était débrouillé pour qu’elle soit accessible par une url « discrète ». Les dégâts subis par le blog sont globalement les suivants : Google a détecté et placé dans son index ces pages (qui n’ont rien à voir avec la thématique et qui sont bourrées de liens vers différents sites dont la plupart sont anglophones. Les quelques uns qui sont en français vont être contactés très rapidement. Tout est conservé : les pages ainsi que les logs. Mais c’est un peu long à étudier). Donc, je pense que la « qualité » des pages et leurs thématiques n’ont pas plu à Google qui a fait descendre mon classement. J e travaille là dessus et je ferai certainement un retour d’expérience prochainement.
  
  Répondre Citer
#13 écrit par wilfried18 il y a 1 an

Bonne chance a toi?

Cela peut nous servir

Je voulais savoir si il y a des plugin , ou service ou astuce pour savoir si on est ou a eté victime d’un piratage plus ou moins méchant

Merci et bon courage

Répondre Citer
#14 écrit par zenie il y a 1 an

Bonjour Damien, tout ce qui ne nous tue pas nous rend plus fort !

ça ne t’a pas tué donc tu vas en ressortir grandi, grandi de connaissances et de tout un savoir.
On apprend tous les jours, alors c’est sûr que ça ne fait pas plaisir quand ça arrive un coup dur mais on en ressort plus grand avec une connaissance plus aiguisée.

Je parie que tu vas découvrir plein de choses qui te sont inconnues et qu’un jour tu diras « merci les gars d’avoir voulu m’attaquer, vous m’avez rendu service ! »

zenie
Dernier article de zenie : Quand la vie vous parle

Répondre Citer
#15 écrit par Jean-marc il y a 1 an

Cher damien,
Ce qui vous est arrivé est déplorable et je présume pour le dire vulgairement (chiant).
Mais que dire des blogueurs en herbe qui (comme moi), s’efforcent de faire un blog simple et qui n’ont pas les compétences pour deviner d’où viennent ces attaques, et comment y remédier.
L’internet n’est pas si facile que l’on ne dit
Bonne chance à toi et merxi de cette information.
Jean-marc chocolattitude.com

Répondre Citer
#16 écrit par Jerome il y a 1 an

Oh lala depuis le début j’ai la trouille que ça m’arrive !
Pas sur ma bécane parce que je suis bien protégé mais côté hébergeur je suis un peu tendu…
J’ai un truc imparable à te proposer mais je ne suis pas là pour faire ma pub, je te contacte en privé
En tous cas tu as bien fait d’en faire un article car ça participe à l’éducation générale des internautes quant aux problèmes de sécurité, tout le monde est concerné.
Tout le monde doit y être sensible !
Je bosse dans la sécurité (informatique) depuis 7 ans et je t’assure que la plus part du temps, le problème se situe entre le clavier et la chaise

Répondre Citer
- #17 écrit par damien il y a 1 an
  
  Salut Jerome, la fameuse « IFM » (Interface Fauteuil Machine) …
  
  Répondre Citer
#18 écrit par Alessandro il y a 1 an

Salut Damien,

Et bien non didjeuuu, t’es un vrai sherlock’ode !

Heureusement que pour le cas, on peut réparer même si forcément on perd du temps.

Moi j’ai reçu des commentaires qui n’avaient rien à voir avec le sujet des articles et surtout qui étaient bien trop récurrent et en anglais !!!

Heureusement, on peut les caser en indésirables mais le petit malin (ou robot) qui s’amuse à faire ça peut passer à plus méchant par la suite…

A+
Dernier article de Alessandro : Enregistrer une interview à plus de 5613 km de distance !

Répondre Citer
#19 écrit par Nadine il y a 1 an

Bonsoir Damien,
Eh bien quelle virtuosité. L’enquête est menée rondement et le problème cerné avec brio.
Ceci dit je ne suis pas certaine de m’en sortir aussi bien même avec tes explications éclairées. Il ne me reste plus qu’à implorer l’Univers pour être épargnée par ce fléau! LOL )
En tout cas chapeau.
Dernier article de Nadine : Le Chat et le Feng Shui

Répondre Citer
#20 écrit par Jeremy Goldyn il y a 1 an

Bonjour Damien,

En tout cas, tu sais gérer les problèmes ! D’un côté ça ne m’étonne pas de toi !

N’hésitez pas à utiliser plusieurs mot de passe pour vos services. C’est pas marrant mais c’est une bonne sécurité.

Répondre Citer
#21 écrit par David de creation blog il y a 1 an

COUP DUR ! Heureusement tu as su rétablir la situation rapidement, le problème, c’est que bien souvent on se charge du coté sécurité lorsqu’il est trop tard au lieu de s’en charger en amont, il existe de nombreuses solutions pour éviter cela, ( en vrac : bien configurer le .htacces, utiliser des plugins tel que : WordPress Backup to Dropbox, TAC, WSD security etc…) et j’en passe, bref essayer de sécuriser au maximum son blog est un élément de base pour avoir l’esprit tranquille, ça me donne une idée pour un prochain article tiens

Répondre Citer
- #22 écrit par damien il y a 1 an
  
  Bonjour David, tu as malheureusement raison …
  
  Répondre Citer
#23 écrit par mo il y a 1 an

Bonjour Damien,

on voit que la sécurité 100% n’existe et qu’il y aura toujours des gens indélicats, dont le plaisir consiste , à saper le travail des autres.
comme dans la vie de tous les jours, les épreuves font grandir et font aussi avancer et incitent à réfléchir par deux fois pour s’armer avant tout de prudence!
j’ai quelques petits soucis d’url qui s’incrustent sur mon blog, et je ne sais pas ce qui se cache derrière ?. est-ce grave ou pas?
bon courage et cordialement
MO
Dernier article de mo : Vit chaque instant comme si c’était le dernier

Répondre Citer
- #24 écrit par damien il y a 1 an
  
  Bonjour Mo, j’ai vu ton problème d’URL et j’avais proposé une solution. Il semblerait que cela n’a pas fonctionné (cela a même empiré me semble-t’il). Contacte-moi, on regardera de plus près.
  
  Répondre Citer
#25 écrit par Abcmoteur il y a 1 an

Wow… ce n’est jamais le genre de nouvelle qui rassure. :s

As-tu trouvé la raison de ce problème ? Ne serait-ce pas une extension malicieuse ?
Dernier article de Abcmoteur : Le meilleur poste de pilotage dont vous pouvez rêver

Répondre Citer
- #26 écrit par damien il y a 1 an
  
  Dans ce genre de situation, il est toujours difficile d’avoir des certitudes, d’autant que lorsque c’est bien fait (et c’était le cas), le « visiteur » indélicat en profite pour effacer les log de la période correspondant à ses actions. Par recoupement, et après « quelques » recherches, il semblerait que ce soit du à un script qui n’était pas à jour dans un thème installé sur un blog de test (timthumb.php).
  
  Répondre Citer
#27 écrit par Laurent de politique en france il y a 1 an

A priori tu t’en tires bien !
Il y a un peu moins d’un an, j’ai été victime d’une attaque par injection mysql et non seulement il a été très difficile de réparer ça mais… en vérité, j’ai toujours deux ou trois trucs bizarres qui y sont directement liés. J’ai dû notamment renoncer définitivement à un plugin qui, même réinstallé à neuf (avec suppression de table dans la BDD etc.), rend mon site un peu « fou » dès que je le réactive :-/

A noter que je suis passé par le site Sucuri pour m’aider, vu que je n’avais absolument pas le temps de m’en occuper (trop de travail à ce moment là…).
Dernier article de Laurent@politique en france : Jean-Luc Mélenchon : pourquoi il sera Président

Répondre Citer
Tapez votre commentaire

Vous pouvez utiliser ces tags HTML: <a> <abbr> <acronym> <b> <blockquote> <cite> <code> <del> <em> <i> <q> <strike> <strong>

Cocher cette case pour qu'un lien vers votre dernier article apparaisse.
Vous pouvez indiquer votre Nom sous la forme Nom@Mots Clés.
Notifiez-moi des commentaires à venir via Email. Vous pouvez aussi vous abonner sans commenter.
Flux de commentaires pour cet article