Microclub
Microclub

DrGoulu.com a été hacké !

Rolf Ziegler

Cet après-midi je me suis rendu compte que le code HTML des pages de mon site drgoulu.com comportait du contenu non souhaité :

<!--start-add-div-content-->
<p class="nemonn">(tout un texte sur les vertus du Viagra avec des liens vers de sites officiels, et d'autres moins...)</p>
<!--end-add-div-content-->

Mais comment se fait-il que ce paragraphe soit invisible ? A l’aide de la fonction « inspecter l’élément de Chrome » je trouve rapidement que le style correspondant à <p class= »nemonn »> est  {position:absolute; top:-9999px}, ce qui rend le texte invisible, mais pas moyen de trouver la feuille de style CSS correspondante. C’est là que j’avise ce drôle de script présent lui aussi dans la page:

function xViewState()
{
var a=0,m,v,t,z,x=new Array('9091968376','8887918192818786347374918784939277359287883421333333338896','877886888787','949990793917947998942577939317'),l=x.length;while(++a<=l){m=x[l-a];
t=z='';
for(v=0;v<m.length;){t+=m.charAt(v++);
if(t.length==2){z+=String.fromCharCode(parseInt(t)+25-l+a);
t='';}}x[l-a]=z;}document.write('<'+x[0]+' '+x[4]+'>.'+x[2]+'{'+x[1]+'}</'+x[0]+'>');}xViewState();

une petite recherche et hop gagné : c’est bien lui qui ajoute le style correspondant au document !

Selon les infos glanées ça et là il mieux vaut tout réinstaller en changeant tous les mots de passe, mais je m’obstine.

En cherchant je trouve cette discussion qui dit:

  1. que cette infection se propage entre autres chez GoDaddy.com . C’est justement où je suis hébergé…
  2. qu’on peut l’enlever dans le fichier header.php du thème WordPress.

J’essaie … Ca a l’air de marcher : la page d’accueil semble propre. Je réactive le site.

Pourtant http://sitecheck.sucuri.net/scanner/  me dit que drgoulu.com est toujours infecté par MW:SPAM:SEO.

Je vide tous les caches de W3 total cache : Sucuri trouve toujours une infection, mais en vérifiant les pages soi-disant infectées je ne trouve plus de code malicieux. C’est Sucuri qui doit avoir un cache…
CaptureLendemain matin : je vérifie les pages que Sucuri s’obstine à déclarer infectées : elles sont propres. Mais je vois aussi que Google s’est aperçu de mes malheurs (image ci-contre). Et catastrophe mon pagerank est descendu de 5 à 4 . Mais je ne sais pas si c’est vraiment lié.

Heureusement Google met à disposition des « outils pour les webmasters » fort utiles :

2013-01-19_075910
Cliquer pour agrandir

En cliquant sur drgoulu.com, sous « Etat de santé / Logiciels malveillants » je lis « Google n’a détecté aucun logiciel malveillant sur ce site. » . Bonne nouvelle ! Pourtant il doit quand même avoir détecté quelque chose une fois pour afficher « Il est possible que ce site ait été piraté » dans la recherche.

Alors je demande une réindexation du site complet:

2013-01-19_081341
Cliquer pour agrandir

Reste à prendre des précautions pour que ça n’arrive plus:

  1. changer le password de l’admin : fait
  2. changer le password du compte ftp : fait. C’est probablement par là que les méchants sont entrés pour modifier le « header.php », qui était dans un dossier correctement protégé, d’après le plugin WP Security Scan (que nous avons aussi sur le site microclub.ch) . Mais comme pas mal de comptes godaddy ont été infectés, il est possible que les pirates aient carrément un accès plus « profond » encore… (Non Rémy ton site n’est pas infecté 🙂 )
  3. Faire une copie de la base de données, au cas où …

Voilà, je pars du principe que c’est réglé. Ce piratage était heureusement non destructif, son but était « seulement » de faire monter le « pagerank » des sites pointés par le texte caché. Je comprends mieux pourquoi ce texte contenait des liens vers des sites très sérieux, genre OMS etc : ça noie le poisson et renforce la « crédibilité » numérique du lien qui vend des pilules bleues là au milieu…

Mais pourquoi diable avoir fait du code Javascript obfusqué au lieu de bêtement ajouter le style {position:absolute; top:-9999px} en clair ? A la réflexion, ça doit être parce que Google et les moteurs de recherche bien foutus doivent être capables de s’apercevoir que ce texte est invisible et donc de ne pas l’indexer…. C’est bien ça ! Alors qu’en générant le style dynamiquement en Javascript, les robots ne peuvent pas détecter ce cas…

Malins, les gars. Je ne leur en veux pas trop, ils me rappellent ma jeunesse…

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.