PHARMA HACK · WORDPRESS · NETTOYÉ
WordPress favicon malware removal.
Les attaquants déguisent des backdoors PHP en favicons parce que personne ne les regarde. On trouve les faux, on supprime la backdoor qui les a déposés et on vous explique par où elle est entrée. Forfait 279 $.
MÉCANISME
Un fichier favicon n’est qu’une image. Sauf quand ce n’en est pas une.
L’astuce est simple : l’attaquant dépose un fichier nommé favicon.ico_bak, favicon_baddc6.ico ou wp-favicon.php dans vos dossiers WordPress. La plupart ressemblent à des sauvegardes normales. Certains sont en réalité du PHP que le serveur exécute quand on l’appelle correctement.
Les hébergeurs et les extensions de sécurité ignorent les fichiers qui ressemblent à des images, et c’est précisément pour ça que l’attaquant choisit ce déguisement. On liste chaque fichier ressemblant à un favicon, on compare à un WordPress propre, et on confirme ce que c’est vraiment.
01 find . -type f \( -name 'favicon*.ico*' \\ 02 -o -name 'favicon*.php' \\ 03 -o -name '*-favicon*' \) 04 05 // Anything outside the theme root, or any PHP file 06 // in the list, is a candidate for a backdoor.
What I remove
Chaque endroit où cette infection se cache.
-
TRIAGE DES PLUGINS
Chaque fichier au nom de type favicon est listé et inspecté — en-têtes d’image, taille, date de dernière modification.
-
FICHIERS
Faux fichiers favicon supprimés. Le PHP déguisé en image est extrait avant suppression pour savoir ce qu’il faisait.
-
BACKDOORS
La backdoor qui les a déposés — généralement dans wp-content/uploads ou mu-plugins — est trouvée et supprimée.
-
BASE DE DONNÉES
wp_options et widgets actifs vérifiés pour toute persistance liée. Tâches planifiées auditées.
-
DURCISSEMENT
Exécution PHP désactivée dans les dossiers uploads. Permissions resserrées pour que l’astuce ne soit plus rejouable.
-
RAPPORT
Rapport médico-légal en langage clair, vecteur d’entrée nommé, ce qu’il faut changer avant la remise des clés.
Tarifs
Cleanup
$279
flat, one-time, per site
Manual cleanup, entry-vector identification, written forensic report.
Démarrer un nettoyageMonitoring
$29 / mo
per site, cancel any time
Surveillance continue, durcissement, un nettoyage par an inclus.
Se protégerPart of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.
Voir tous les services →E-mail [email protected] or use the contact form.