Infections ? Ou vraies fausses alertes ?

[AMUA]

Bonjour toutes et tous 

Ce matin, comme d'habitude, un scan anti-infections est lancé à partir du site wordpress et du plugin installé dessus Anti-Malware from GOTMLS.NET.

Des infections (backdoors notamment) sont signalées au niveau de fichiers de notre forum smf hébergé au même endroit chez ovh.

Voir capture infra.

S'agit-il, s'il vous plaît, d'infections, ou de faux positifs ?

Avant de lancer la désinfection, avec le risque d'endommager le forum, nous sollicitons vos avis.

Merci infiniment et bonne journée

[AMUA]

Je précise :

1) l'hébergement est en mutualisé chez ovh (risque de propagations d'infections d'un site à l'autre ?)
2) Le forum smf mis en place depuis plusieurs années a fait l'objet de très nombreux scans quotidiens par le soft : jusqu'à ce matin, pas de signalement des 4 backdoors (ce sont les backdoors qui inquiètent car selon Maximus23, l'autre menace, déjà connue depuis un certain temps, n'est qu'un faux positif (on a oublié de décrocher avant de faire la capture)).

[maximus23]

Bonjour,

Tu as mis une vérification Heuristique ?

Je ferai la vérification ce soir pour voir ce qu'il en est ne t'inquiète pas je ferai le nécessaire au cas ou

[maximus23]

Bonjour,

Bon j'ai vérifié j'avais ce qu'il fallait sous la main WP = WordPress 4.5.3 en ordre pas de soucis.

Smf tout vérifié rien détecté et re-vérification des fichiers par comparaison date et taille pas de différence par rapport au dernier backup que j'ai.

Donc soit tu pousses le mode heuristique soit ton plug-in a un soucis de détection est-il mis à jour ?

[AMUA]

Bonsoir Maximus23 ! 

Merci beaucoup !!

Oui le plugin est à jour : le scan a eu lieu juste après la maj.

Donc plutôt, s'il te plaît, des faux positifs ? 

[maximus23]

Bonsoir,

Oui effectivement des faux positifs car le fichier incriminé date de 2011 sans modifications

[AMUA]

Bonjour Maximus23,

Merci beaucoup !!!!!!

Très bonne fin d'après-midi 

[alexetgus]

Salut tous,

Il y a quand même une chose à savoir.
Beaucoup de monde récupère des mods, thèmes, et autres machins normalement payants en version "nulled".
Ces versions nulled ne sont jamais gratuites ! Il faut le savoir !

Systématiquement, une backdoor est installée avec le nulled.
Cette backdoor peut mettre un an avant d'être ouverte, ça dépend. Des bots ratissent régulièrement le net à la recherche de ces backdoors et quand ils les trouvent, ils les exploitent !
Quand une de ces backdoor est ouverte, elle lance un programme d'installation qui, la plupart du temps, rendra le site impossible à désinfecter tant il aura été modifier dans ses fichiers et sa base de données.

Ensuite, soit votre site deviendra une porte ouverte pour qu'on puisse en faire ce que l'on veut, un site de cul, par exemple.
Soit il deviendra un relais pour poster des milliers et des milliers de de SPAM.
Ce genre d'aventure fini souvent par la fermeture de l'hébergement pour non respect des CGU avec les hébergements mutualisés.
Pour les autres, ceux qui ont un serveur, ça conduira au blacklistage de l'IP du serveur et/ou du domaine.

La dernière vérole en date dont je me souvienne et qui trainait sur tous les softs en version nullled s'appelait CryptoPHP.

[AMUA]

Bonjour Alexetgus 

Merci beaucoup pour ton information qui est très importante et très utile !!!!!!!

Il faudrait que ce que tu viens de dire soit lu par tous les membres du forum.

Je savais que pour wordpress, les thèmes, notamment gratuits, très souvent, sont vérolés. Mais je ne savais qu'il en est de même pour des thèmes et mods smf.

Sur wordpress, je sais qu'il existe des plugins qui permettent de vérifier la qualité des plugins, widgets et thèmes. Une communauté de spécialistes semble très vigilante : observations, échanges d'infos....

Notre forum smf mis en place depuis plusieurs années n'a toutefois pas connu de spams à ce jour et reste (semble ?) sous notre bon contrôle. Maximus23 n'a pas remarqué d'activités illicites.

Encore merci Alexetgus  pour l'info cruciale et te souhaitant, de Paris, un très bon week end. 

[alexetgus]

Salut,

Attention ! Je parle des thème et mods en version "nulled" !
A l'origine, c'est des thèmes ou mods qui sont payants mais qu'on trouve gratuitement sur d'autres sites que celui de leur éditeur.

Faut pas tout mélanger non plus.
Si tu charges tes thèmes et mods sur le site de SMF, à priori tu ne devrais pas avoir de problème.

[AMUA]

Salut Alexetgus,

Merci pour les précisions. En tous les cas, on n'est jamais assez prudent. Un homme averti en vaut deux.

Excellente journée