Si vous arrivez sur cette page, c’est que vous vous êtes probablement fait piraté et que vous n’arrivez pas à identifier l’ampleur de l’attaque que vous avez subit. Vous avez beau sécuriser votre site internet, les failles qui apparaissent dans le temps est probable.

Si vous êtes sur WordPress et que vous avez toujours accès à l’administration, je vous conseil dans un premier temps d’installer WordFence et de lancer un scan. Il trouvera la majorité des fichiers pirate ou injection de code.

Sinon vous trouverez ci-dessous des commandes utiles pour identifier les fichiers malveillants ou ceux qui ont été modifiés par le Hacker.

Rechercher les fichiers récemment modifiés

Chercher les fichiers qui ont été modifiés les 30 derniers jours

find httpdocs/ -type f -ctime -30

 

Chercher les fichiers PHP uniquement :

find httpdocs/ -type f -name '*.php' -ctime -30

 

Chercher les fichiers modifier entre deux dates :

find . -type f -newermt 2015-12-15 ! -newermt 2016-01-23

 

Rechercher avec permission 777 et avec utilisateur root

find httpdocs -user root -perm 777 -ls

 

Rechercher une chaine de caractères dans un dossier

grep -R 'eval(' httpdocs/

Afficher que les chemins

grep -rl "rot13" /path

Rechercher un nom de fichier dans tous les dossiers

find vhosts/ -type f \( -iname "wp-config.php" \)

 

Toutes ces commandes vous permettront de faire votre investigation et d’identifier les fichiers infectés. Notez que vous pouvez aussi subir une modification de la base de données, généralement on vous insert des javascripts, il faut alors chercher le terme « <script> ».

Si vous avez d’autres commandes utiles à partager, n’hésitez pas à le mettre en commentaire.