threatover Patrik Grobshäuser

PHARMA HACK · WORDPRESS · NETTOYÉ

.htaccess malware removal.

Quelques lignes en plus dans .htaccess peuvent rediriger tous les visiteurs mobiles, exécuter du PHP depuis le dossier uploads, ou cacher des pages de spam que Google voit. On nettoie, puis on durcit. Forfait 279 $.

MÉCANISME

.htaccess est petit, puissant et facile à manquer.

WordPress n’utilise .htaccess que pour les permaliens — quelques lignes bien connues. Les attaquants y ajoutent des règles de réécriture, des gestionnaires d’ErrorDocument et des overrides d’exécution PHP qui détournent le trafic et exécutent du code là où ils ne devraient pas.

Il peut y avoir plusieurs .htaccess dans votre installation. Nous listons chaque copie sur le système de fichiers, comparons à la version WordPress standard, puis nettoyons ou supprimons celles qui n’ont rien à y faire.

.htaccess — ajout typique d’un attaquant
01 
02   RewriteCond %{HTTP_USER_AGENT} mobile [NC]
03   RewriteCond %{HTTP_REFERER} google\.com [NC]
04   RewriteRule .* https://evil.example/ [R=302,L]
05 
06
07 // A 302 conditioned on mobile + Google referrer
08 // is the signature of a cloaked redirect hack.

What I remove

Chaque .htaccess de l’installation, audité.

  • TRIAGE DES PLUGINS

    Chaque .htaccess sur le système de fichiers est trouvé et lu — racine, wp-admin, wp-content, uploads, parfois quelques-uns dont vous ignoriez l’existence.

  • RÈGLES DE RÉÉCRITURE

    Règles de réécriture malveillantes et directives de redirection supprimées. Le bloc WordPress standard est restauré.

  • GESTIONNAIRES PHP

    Directives AddHandler et AddType qui laissent PHP s’exécuter depuis uploads ou des dossiers de thèmes — supprimées.

  • DURCISSEMENT

    Règles de protection ajoutées : accès direct à wp-config.php interdit, exécution PHP bloquée dans uploads, xmlrpc.php restreint.

  • RECHERCHE GOOGLE

    Réexamen Google Safe Browsing soumis. Indexation demandée dans Search Console pour les URL affectées.

  • RAPPORT

    Rapport médico-légal en langage clair, vecteur d’entrée identifié, avant/après de chaque .htaccess inclus.

Tarifs

Cleanup

$279

flat, one-time, per site

Manual cleanup, entry-vector identification, written forensic report.

Démarrer un nettoyage

Monitoring

$29 / mo

per site, cancel any time

Surveillance continue, durcissement, un nettoyage par an inclus.

Se protéger

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Voir tous les services →

E-mail [email protected] or use the contact form.