Attaque WordPress ?
WordPress est un outil génial, facile à prendre en main et de ce fait de plus en plus utilisé sur la toile. Il devient alors une cible privilégié des cyber-attack tentant pour diverses raison d’y trouver des failles. Il y quelques heures, j’avais trouvé un comportement suspect dans l’affichage d’un des sites que je développe. Comme si une partie de la CSS était mal interprétée, voire modifié par un élément invisible. A l’heure actuelle, je ne sais pas si cela a un lien ou non avec la suite des évènements, mais cela m’a poussé à faire un tour sur le serveur. Là j’ai été interpellée par des fichiers suspects situés à la racine des répertoires comportant un WordPress et dans le répertoire Kernel d’un bon vieux Xoops.
Des heures et des heures à me creuser les méninges et m’énerver, soirée perdue, mauvaise nuit et humeur de chien le matin. Il est claire que je me passerais bien de ce genre de prise de tête ! Mais j’ai malgré tout la responsabilité de m’assurer de ne pas propager ou contaminer d’autres utilisateurs.
Le premier fichier étant un « ..« , pas évident donc de faire des recherches sur ce genre de mot clef. Tous contenant la même suite de caractères indéchiffrable, mais en Base64. Le fichier renommé puis effacé du serveur, il revient à nouveau lorsque le site est visité.
vFPuWN80hSq17G4OF8oyhg==
6gi4EYJk02vwpTBOQpZ2
6AuvDYBkyXD1vjNY
6A2vDYJkyXfxpSlRSpM=
6gm5EYFk0mvzoTJOQpZw
6gi4EYJk02vwpTVOQpd8
6AuvDYBkyXH5vjBU
6gi1EYRnyXfyoilUSg==
7wqvDYJ/1nH3vjZVQQ==
4givCIV/1Xfxvj5Q
4wmvDoZoyXfypylSQJQ=
6gi3EYN/0HzvoT9S
6gS5EYVnyXDvoTVX
4g2vDYNhyXT1vjZSQQ==
6gy4EYFh0WvwpjJOSpA=
7hKwC4p/1XDxvjZVQw==
6gu5EYFgyXfyvjVTQw==
6AuvDYFhyXb5vjRZ
L’autre fichier lui se présente sous un nom aléatoire et contient une liste d’adresse IP :
130.0.233.18
130.0.237.24
149.154.154.191
151.236.17.13
151.236.18.8
178.209.52.218
178.73.210.163
37.235.53.202
46.17.57.141
46.246.93.130
5.61.45.110
176.99.6.245
151.236.25.47
151.236.28.97
151.236.26.86
151.236.20.19
144.76.178.235
188.116.23.77
80.67.12.206
5.61.38.129
37.230.118.51
5.187.5.185
5.187.1.129
5.187.4.155
209.159.153.165
144.76.178.236
176.9.193.201
Après une longue soirée à faire des recherches autour de ce qui me semble être une attaque, le serveur a fini par être mis sous quarantaine, ce qui va dans le sens de ma découverte. J’ai trouvé sur un forum un autre utilisateur allemand ciblant un problème similaire : http://forum.wpde.org/allgemeines/124570-ploetzliche-unerwuenschte-werbeeinblendung-2.html, mais ne donnant pas de solution.
En analysant les logs à la volée du serveur (ce qui n’est pas possible chez tous les hébergeurs) j’ai pu constater de très étranges requêtes de ce genre :
54.208.242.36 – – [26/Feb/2014:21:22:13 +0100] « GET /artist/feed/ HTTP/1.1 » 200 31055 « http://cyborgjeff.untergrund.net/ » « ../..//../..//../..//../..//../..//../..//../..//../..//etc/passwd »
54.208.242.36 – – [26/Feb/2014:21:20:39 +0100] « GET /artist/feed/ HTTP/1.1 » 200 31055 « 8w52fwoq’);select pg_sleep(24); — » « Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36 »
54.208.242.36 – – [26/Feb/2014:21:20:13 +0100] « GET /artist/feed/ HTTP/1.1 » 200 31055 « SomeCustomInjectedHeader:injected_by_wvs » « Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36 »
Rien de très rassurant. Je n’ai pour l’heure plus la main pour pousser plus loin l’analyse de ce problème et je me concentre à m’assurer de l’état de santé de mes autres serveurs, d’en faire des backups et pousser un peu plus leur sécurité face à une attaque WordPress importante qui d’après la presse spécialisée se serait amorcée il y a déjà quelques mois.
Voici un peu de lecture pour les prochains jours :
http://wptavern.com/how-to-find-hacked-wordpress-files
Depuis quelques jours, la presse spécialisée relaie un nombre important de consoles Nintendo WiiU devenues inutilisables. Voilà qui a de (Lire la suite)
"Je n'arrive pas à envoyer de SMS depuis mon nouvel iPhone" !! Arf, je me souviens effectivement qu'il n'avait été (Lire la suite)
Ah les statistiques de visite des sites web, c'est un truc qui m'a toujours passionné ! J'avais bien sur mon (Lire la suite)
13 réflexions sur « Attaque WordPress ? »
Bref, l’attaque était assez sérieuse et ciblée sur l’entièreté du serveur. Fait intéressant, le parasitage de ma CSS était bien lié à une affichage masqué de publicité. Cela m’a permis donc de mettre en lumière l’attaque !
La porte d’entrée était à la base la vétusté de certains site WordPress. Sans que ce ne soit spécialement dû à l’un des miens, voilà l’occasion de se pencher sur ce genre de problème et d’envisager des solutions d’htmlisation d’anciens sites !
j’ai fait un essai avec WinHTTrack Website copier, mais je trouve les résultats perfectibles.
Il existe par ailleurs un plugin WordPress pour ce genre de problème, mais qui implique une installation supérieur à la 3.3
http://wordpress.org/plugins/static-html-output-plugin/
Salut, merci pour ce post. Moi aussi j’ai le meme problème et je me tire les cheveux. As tu par hasard trouvé la cause et la solution? Merci de la partager :) Vincent
Bonjour Vincent. Je n’ai malheureusement pas eu toutes les infos pour te répondre. Il s’agissait au final d’une attaque globale de tout un serveur sur lequel se trouvait un espace qui m’était dédié. L’attaque était capable de passer sur tout le serveur et d’y repérer les installation type WordPress ou Xoops, mais il semble la faille d’origine provenait d’une vieille instance de WordPress chez l’un des utilisateurs du serveur. Les informations que j’ai pu rassemblée au près de l’administrateur ont permis de mettre en évidence le problème.
tu trouveras peut-être des infos auprès de Scamp qui gère le serveur en question ici : http://www.pouet.net/topic.php?which=9811&page=1
Un grand merci! Lorsque je trouve la solution de ce maudit hack, je reviens poster une réponse. A plus tard.
Good Luck
I have the same problem.
But only the file « .. » and the index.php modified at the first row. I don’t find the random file with ip list.
Somebody have a solution?
Thank You
the random IP list was not present in all my folders. I especialy find it in old Xoops and WordPress CMS installation. So maybe near the website with a potential danger ?
I managed to fix the issue for WordPress sites: Save your DB and your ‘wp-content’ folder and then perform a clean re-install of WordPress. The culprit for me was a theme (Thesis 1.6). The worm propagated onto all of the folders of my server and infected WP and non WP sites, but recent apache updates have fixed the hole and the worm does not seem to propagate any more. Good luck!
@ Luciano: I also didn’t have the file with the list of IP. Just the .. PS: Make sure when you save your ‘wp-content’ folder to delete ‘Thesis 1.6’. At least this is what I did as I identified that theme to be responsible for the hack. But it may be that other themes or plugins are infected. So slowly add your themes and plugins one by one and test your site. To test: I have noticed that I needed to access my infected site on a mobile device using a mobile (non wifi) network with a fresh IP (go on and off plane mode to refresh your mobile ip) for the file .. to reappear.
Grazie Vincent,
io ho oltre 100 siti sul mio server e stò ancora cercando di capire quale sito ha fatto entrare l’hacker.
provo a cercare Thesis sul server.
Per adesso ho eseguito acuni script shell per trovare i file infetti.
Merci pour vos retour Vincent et Luciano, j’espère que cela pourra aider encore d’autres internautes !
I have already the same problem.
All account of my server have the php files infected.
I think is a server problem and NOT an account problem.
Any news?