Attaque WordPress ?

Attaque WordPress ?

Site OutWordPress est un outil génial, facile à prendre en main et de ce fait de plus en plus utilisé sur la toile. Il devient alors une cible privilégié des cyber-attack tentant pour diverses raison d’y trouver des failles. Il y quelques heures, j’avais trouvé un comportement suspect dans l’affichage d’un des sites que je développe. Comme si une partie de la CSS était mal interprétée, voire modifié par un élément invisible. A l’heure actuelle, je ne sais pas si cela a un lien ou non avec la suite des évènements, mais cela m’a poussé à faire un tour sur le serveur. Là j’ai été interpellée par des fichiers suspects situés à la racine des répertoires comportant un WordPress et dans le répertoire Kernel d’un bon vieux Xoops.

Des heures et des heures à me creuser les méninges et m’énerver, soirée perdue, mauvaise nuit et humeur de chien le matin. Il est claire que je me passerais bien de ce genre de prise de tête ! Mais j’ai malgré tout la responsabilité de m’assurer de ne pas propager ou contaminer d’autres utilisateurs.

Le premier fichier étant un “..“, pas évident donc de faire des recherches sur ce genre de mot clef. Tous contenant la même suite de caractères indéchiffrable, mais en Base64. Le fichier renommé puis effacé du serveur, il revient à nouveau lorsque le site est visité.

vFPuWN80hSq17G4OF8oyhg==
6gi4EYJk02vwpTBOQpZ2
6AuvDYBkyXD1vjNY
6A2vDYJkyXfxpSlRSpM=
6gm5EYFk0mvzoTJOQpZw
6gi4EYJk02vwpTVOQpd8
6AuvDYBkyXH5vjBU
6gi1EYRnyXfyoilUSg==
7wqvDYJ/1nH3vjZVQQ==
4givCIV/1Xfxvj5Q
4wmvDoZoyXfypylSQJQ=
6gi3EYN/0HzvoT9S
6gS5EYVnyXDvoTVX
4g2vDYNhyXT1vjZSQQ==
6gy4EYFh0WvwpjJOSpA=
7hKwC4p/1XDxvjZVQw==
6gu5EYFgyXfyvjVTQw==
6AuvDYFhyXb5vjRZ

L’autre fichier lui se présente sous un nom aléatoire et contient une liste d’adresse IP :

130.0.233.18
130.0.237.24
149.154.154.191
151.236.17.13
151.236.18.8
178.209.52.218
178.73.210.163
37.235.53.202
46.17.57.141
46.246.93.130
5.61.45.110
176.99.6.245
151.236.25.47
151.236.28.97
151.236.26.86
151.236.20.19
144.76.178.235
188.116.23.77
80.67.12.206
5.61.38.129
37.230.118.51
5.187.5.185
5.187.1.129
5.187.4.155
209.159.153.165
144.76.178.236
176.9.193.201

Après une longue soirée à faire des recherches autour de ce qui me semble être une attaque, le serveur a fini par être mis sous quarantaine, ce qui va dans le sens de ma découverte. J’ai trouvé sur un forum un autre utilisateur allemand ciblant un problème similaire : http://forum.wpde.org/allgemeines/124570-ploetzliche-unerwuenschte-werbeeinblendung-2.html, mais ne donnant pas de solution.

En analysant les logs à la volée du serveur (ce qui n’est pas possible chez tous les hébergeurs) j’ai pu constater de très étranges requêtes de ce genre :

54.208.242.36 – – [26/Feb/2014:21:22:13 +0100] “GET /artist/feed/ HTTP/1.1” 200 31055 “http://cyborgjeff.untergrund.net/ ” “../..//../..//../..//../..//../..//../..//../..//../..//etc/passwd”
54.208.242.36 – – [26/Feb/2014:21:20:39 +0100] “GET /artist/feed/ HTTP/1.1” 200 31055 “8w52fwoq’);select pg_sleep(24); –” “Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36”
54.208.242.36 – – [26/Feb/2014:21:20:13 +0100] “GET /artist/feed/ HTTP/1.1” 200 31055 “SomeCustomInjectedHeader:injected_by_wvs” “Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36”

Rien de très rassurant. Je n’ai pour l’heure plus la main pour pousser plus loin l’analyse de ce problème et je me concentre à m’assurer de l’état de santé de mes autres serveurs, d’en faire des backups et pousser un peu plus leur sécurité face à une attaque WordPress importante qui d’après la presse spécialisée se serait amorcée il y a déjà quelques mois.

Voici un peu de lecture pour les prochains jours :
http://wptavern.com/how-to-find-hacked-wordpress-files

Vous aimerez aussi...

  • Saturation serveur19 mai 2012 Saturation serveur (8)
    Déjà quelques jours que je m'arrache les cheveux et perd un temps précieux sur un sérieux problème d'attaque Web sur mon serveur, un soucis qui semble s'orienter autour d'attaque de […]
  • Problème d’upload d’images dans WordPress, ça marche !29 novembre 2018 Problème d’upload d’images dans WordPress, ça marche ! (1)
    Voilà un bon moment que je n'avais plus mis à jour mon site Tracker.Cyborgjeff.comDu coup, voilà qu'à nouveau je tombe sur un soucis d'upload de fichiers images dans mes articles. […]
  • Méhins et autres frustrations18 février 2017 Méhins et autres frustrations (1)
    C'est une peu comme cela, comme chaque hiver, il y a une série de trucs qui ne fonctionnent pas comme on veut ! Le Sèche Linge était mort, c'était début janvier, il y a deux semaines, […]

14 réactions au sujet de « Attaque WordPress ? »

  1. Bref, l’attaque était assez sérieuse et ciblée sur l’entièreté du serveur. Fait intéressant, le parasitage de ma CSS était bien lié à une affichage masqué de publicité. Cela m’a permis donc de mettre en lumière l’attaque !

    La porte d’entrée était à la base la vétusté de certains site WordPress. Sans que ce ne soit spécialement dû à l’un des miens, voilà l’occasion de se pencher sur ce genre de problème et d’envisager des solutions d’htmlisation d’anciens sites !

    j’ai fait un essai avec WinHTTrack Website copier, mais je trouve les résultats perfectibles.

    Il existe par ailleurs un plugin WordPress pour ce genre de problème, mais qui implique une installation supérieur à la 3.3

    http://wordpress.org/plugins/static-html-output-plugin/

  2. Salut, merci pour ce post. Moi aussi j’ai le meme problème et je me tire les cheveux. As tu par hasard trouvé la cause et la solution? Merci de la partager :) Vincent

  3. Bonjour Vincent. Je n’ai malheureusement pas eu toutes les infos pour te répondre. Il s’agissait au final d’une attaque globale de tout un serveur sur lequel se trouvait un espace qui m’était dédié. L’attaque était capable de passer sur tout le serveur et d’y repérer les installation type WordPress ou Xoops, mais il semble la faille d’origine provenait d’une vieille instance de WordPress chez l’un des utilisateurs du serveur. Les informations que j’ai pu rassemblée au près de l’administrateur ont permis de mettre en évidence le problème.

  4. Un grand merci! Lorsque je trouve la solution de ce maudit hack, je reviens poster une réponse. A plus tard.

  5. I have the same problem.
    But only the file “.. ” and the index.php modified at the first row. I don’t find the random file with ip list.
    Somebody have a solution?

    Thank You

  6. the random IP list was not present in all my folders. I especialy find it in old Xoops and WordPress CMS installation. So maybe near the website with a potential danger ?

  7. I managed to fix the issue for WordPress sites: Save your DB and your ‘wp-content’ folder and then perform a clean re-install of WordPress. The culprit for me was a theme (Thesis 1.6). The worm propagated onto all of the folders of my server and infected WP and non WP sites, but recent apache updates have fixed the hole and the worm does not seem to propagate any more. Good luck!

  8. @ Luciano: I also didn’t have the file with the list of IP. Just the .. PS: Make sure when you save your ‘wp-content’ folder to delete ‘Thesis 1.6’. At least this is what I did as I identified that theme to be responsible for the hack. But it may be that other themes or plugins are infected. So slowly add your themes and plugins one by one and test your site. To test: I have noticed that I needed to access my infected site on a mobile device using a mobile (non wifi) network with a fresh IP (go on and off plane mode to refresh your mobile ip) for the file .. to reappear.

  9. Grazie Vincent,

    io ho oltre 100 siti sul mio server e stò ancora cercando di capire quale sito ha fatto entrare l’hacker.
    provo a cercare Thesis sul server.
    Per adesso ho eseguito acuni script shell per trovare i file infetti.

  10. I have already the same problem.
    All account of my server have the php files infected.
    I think is a server problem and NOT an account problem.

    Any news?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.