threatover Patrik Grobshäuser

PHARMA HACK · WORDPRESS · NETTOYÉ

WordPress favicon malware removal.

Les attaquants déguisent des backdoors PHP en favicons parce que personne ne les regarde. On trouve les faux, on supprime la backdoor qui les a déposés et on vous explique par où elle est entrée. Forfait 279 $.

MÉCANISME

Un fichier favicon n’est qu’une image. Sauf quand ce n’en est pas une.

L’astuce est simple : l’attaquant dépose un fichier nommé favicon.ico_bak, favicon_baddc6.ico ou wp-favicon.php dans vos dossiers WordPress. La plupart ressemblent à des sauvegardes normales. Certains sont en réalité du PHP que le serveur exécute quand on l’appelle correctement.

Les hébergeurs et les extensions de sécurité ignorent les fichiers qui ressemblent à des images, et c’est précisément pour ça que l’attaquant choisit ce déguisement. On liste chaque fichier ressemblant à un favicon, on compare à un WordPress propre, et on confirme ce que c’est vraiment.

find — fichiers favicon qui n’en sont pas
01 find . -type f \( -name 'favicon*.ico*' \\
02     -o -name 'favicon*.php' \\
03     -o -name '*-favicon*' \)
04
05 // Anything outside the theme root, or any PHP file
06 // in the list, is a candidate for a backdoor.

What I remove

Chaque endroit où cette infection se cache.

  • TRIAGE DES PLUGINS

    Chaque fichier au nom de type favicon est listé et inspecté — en-têtes d’image, taille, date de dernière modification.

  • FICHIERS

    Faux fichiers favicon supprimés. Le PHP déguisé en image est extrait avant suppression pour savoir ce qu’il faisait.

  • BACKDOORS

    La backdoor qui les a déposés — généralement dans wp-content/uploads ou mu-plugins — est trouvée et supprimée.

  • BASE DE DONNÉES

    wp_options et widgets actifs vérifiés pour toute persistance liée. Tâches planifiées auditées.

  • DURCISSEMENT

    Exécution PHP désactivée dans les dossiers uploads. Permissions resserrées pour que l’astuce ne soit plus rejouable.

  • RAPPORT

    Rapport médico-légal en langage clair, vecteur d’entrée nommé, ce qu’il faut changer avant la remise des clés.

Tarifs

Cleanup

$279

flat, one-time, per site

Manual cleanup, entry-vector identification, written forensic report.

Démarrer un nettoyage

Monitoring

$29 / mo

per site, cancel any time

Surveillance continue, durcissement, un nettoyage par an inclus.

Se protéger

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Voir tous les services →

E-mail [email protected] or use the contact form.