Nous avons été mandaté pour dépanner le site d’un confrère. Victime d’une attaque suite à un manquement dans les mises à jour, et à une sécurité perfectible (au fil des années d’autres mesures auraient pu améliorer la structure). Attention, la phrase précédente ne vise personne, aucune responsabilité n’est à trouver. Si le client n’a pas souscrit à un contrat de maintenance, et qu’il ne fait pas de mise à jour, et aucun entretien particulier, il est normal qu’une panne survienne.
La technique, malgré un fichier .htaccess assez restrictif, a dû emprunter une faille de sécurité sur une extension non mise à jour ou non maintenue.
LCACHEPWR, PCACHEPWR AND BLOB
La crainte dans ce genre de cas, c’est que hormis les fichiers ajoutés ou modifié dans votre WordPress, il y ait eu une injection SQL. Pas de chance, après inspection, je trouve deux tables qui ne devraient pas exister sur un site WP. Une table appelée préfixe_lcachepwr et l’autre préfixe_pcachepwr. A l’intérieur, des appels de BLOB avec des chiffres. Des lignes, beaucoup de lignes (au moins 5000).
ALORS C’EST QUOI UN BLOB ?
Des images stockées en hexadécimal ou du code en mode binaire par exemple (voir les articles suivants ici et là). BLOB est l’acronyme de Binary Large OBject.
On va pas disséquer pour savoir ce que contiennent ces images ou ce code, ce qu’il faut c’est trouver la ou les portes d’entrée sur le FTP et les tables à effacer.
Encore une nouvelle technique à mettre dans le cahier de vérifications !
Nous intervenons régulièrement pour tenter de sauver des sites victimes d’attaques. Soit en nettoyant le site, soit en exportant le contenu pour le réimporter sur une base propre, tant que cela reste faisable.
Nous avons les compétences en php, mySql, Javascript, pour déceler les éventuelles portes d’entrée et les supprimer.