Faille WordPress et hack d’un de mes blogs
J’ai eu la désagréable surprise de voir un fichier peu ragoûtant déposé sur le répertoire /wp-content/ d’un de mes blogs WordPress.
Ce fichier s’appelle 379436.php. qui avait été initialement téléchargé sous l’appellation code393272.php. Il a été déposé sur ce blog le 23 septembre à 19h51 à partir de l’adresse 95.168.178.211 qui est hébergée par v3servers.net . Vous pouvez obtenir cette information à partir de Find Ip Address.
Extrait de mes logs Ovh
95.168.178.211 www.voie-militante.com - [23/Sep/2009:19:51:35 +0200] "GET /wp-login.php HTTP/1.1" 200 896 "http://www.voie-militante.com/" "Mozilla/6.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv:2.0.0.0) Gecko/20061028 Firefox/3.0" 95.168.178.211 www.voie-militante.com - [23/Sep/2009:19:51:36 +0200] "POST /wp-login.php HTTP/1.1" 302 20 "http://www.voie-militante.com/wp-login.php" "Mozilla/6.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv:2.0.0.0) Gecko/20061028 Firefox/3.0" 95.168.178.211 www.voie-militante.com - [23/Sep/2009:19:51:36 +0200] "GET /wp-admin/ HTTP/1.1" 200 10697 "http://www.voie-militante.com/wp-login.php" "Mozilla/6.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv:2.0.0.0) Gecko/20061028 Firefox/3.0" 95.168.178.211 www.voie-militante.com - [23/Sep/2009:19:51:39 +0200] "GET /wp-admin/media-upload.php HTTP/1.1" 200 2750 "http://www.voie-militante.com/wp-admin/" "Mozilla/6.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv:2.0.0.0) Gecko/20061028 Firefox/3.0" 95.168.178.211 www.voie-militante.com - [23/Sep/2009:19:51:40 +0200] "POST /wp-admin/media-upload.php HTTP/1.1" 200 3661 "http://www.voie-militante.com/wp-admin/" "Mozilla/6.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv:2.0.0.0) Gecko/20061028 Firefox/3.0" 95.168.178.211 www.voie-militante.com - [23/Sep/2009:19:51:41 +0200] "GET /wp-content/code393272.php HTTP/1.1" 200 150 "http://www.voie-militante.com/wp-admin/" "Mozilla/6.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv:2.0.0.0) Gecko/20061028 Firefox/3.0" 95.168.178.211 www.voie-militante.com - [23/Sep/2009:19:51:43 +0200] "GET /wp-admin/upload.php HTTP/1.1" 200 7783 "http://www.voie-militante.com/wp-admin/" "Mozilla/6.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv:2.0.0.0) Gecko/20061028 Firefox/3.0"
Pour l’heure, mon fichier de log Ftp ne me permet pas de voir comment et par quelle opération le fichier a pu être renommé !!!
Ces personnes mal intentionnées disposaient d’un code contributeur qui leur permettait de uploader le fichier php. Aucune attaque en force brute ! Ont-ils subtilisé le code à l’un des co-rédacteurs ? Ont-ils agi sur « ordre » ? A moins qu’il ne s’agisse tout bêtement d’une faille dans les plates-formes de mon hébergeur Ovh ou d’une faille WordPress 2.7.1 -réputée stable – inconnue au bataillon !
J’ai ajouté au .htaccess du répertoire /wp-content/ le contenu suivant :
<Files ~ "^.*\.(php[3-5]{0,1})$">
order allow,deny
deny from all
</Files>
Vous pouvez signaler toute attaque à l’Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication.
Tel : 01.49.27.49.27 / Courriel : oclctic@interieur.gouv.fr
Articles relatifs
Si vous avez apprécié cet article, s'il vous plait, prenez le temps de laisser un commentaire ou de souscrire au flux afin de recevoir les futurs articles directement dans votre lecteur de flux.
Commentaires
Sa arrive souvent aux personnes qui ne paramètre pas assai leur PHP ou leur Apache.
Coté PHP est-ce que le SafeMode est en Off, est ce qui a un patch suhosin ?
Coté apache est ce qui a le Module Evasive et le Module Security ?
il ne faut surtout pas rester sous une vieille version de WordPress,toujours maintenir son WordPress à jour,dernière version WP 3,être sous php5 très important.
Salut,
C’est pas de chance ça
Merci pour l’info
Tu étais en quelle version de wordpress ?
Bonne journée et encore merci pour l’astuce