Faille WordPress et hack d’un de mes blogs

J’ai eu la désagréable surprise de voir un fichier peu ragoûtant déposé sur le répertoire /wp-content/ d’un de mes blogs WordPress.

Ce fichier s’appelle 379436.php. qui avait été initialement téléchargé sous l’appellation code393272.php. Il a été déposé sur ce blog le 23 septembre à 19h51 à partir de l’adresse 95.168.178.211 qui est hébergée par  v3servers.net . Vous pouvez obtenir cette information à partir de Find Ip Address.

Extrait de mes logs Ovh

95.168.178.211 www.voie-militante.com – [23/Sep/2009:19:51:35 +0200] « GET /wp-login.php HTTP/1.1 » 200 896 « http://www.voie-militante.com/ » « Mozilla/6.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv:2.0.0.0) Gecko/20061028 Firefox/3.0 »
95.168.178.211 www.voie-militante.com – [23/Sep/2009:19:51:36 +0200] « POST /wp-login.php HTTP/1.1 » 302 20 « http://www.voie-militante.com/wp-login.php » « Mozilla/6.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv:2.0.0.0) Gecko/20061028 Firefox/3.0 »
95.168.178.211 www.voie-militante.com – [23/Sep/2009:19:51:36 +0200] « GET /wp-admin/ HTTP/1.1 » 200 10697 « http://www.voie-militante.com/wp-login.php » « Mozilla/6.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv:2.0.0.0) Gecko/20061028 Firefox/3.0 »
95.168.178.211 www.voie-militante.com – [23/Sep/2009:19:51:39 +0200] « GET /wp-admin/media-upload.php HTTP/1.1 » 200 2750 « http://www.voie-militante.com/wp-admin/ » « Mozilla/6.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv:2.0.0.0) Gecko/20061028 Firefox/3.0 »
95.168.178.211 www.voie-militante.com – [23/Sep/2009:19:51:40 +0200] « POST /wp-admin/media-upload.php HTTP/1.1 » 200 3661 « http://www.voie-militante.com/wp-admin/ » « Mozilla/6.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv:2.0.0.0) Gecko/20061028 Firefox/3.0 »
95.168.178.211 www.voie-militante.com – [23/Sep/2009:19:51:41 +0200] « GET /wp-content/code393272.php HTTP/1.1 » 200 150 « http://www.voie-militante.com/wp-admin/ » « Mozilla/6.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv:2.0.0.0) Gecko/20061028 Firefox/3.0 »
95.168.178.211 www.voie-militante.com – [23/Sep/2009:19:51:43 +0200] « GET /wp-admin/upload.php HTTP/1.1 » 200 7783 « http://www.voie-militante.com/wp-admin/ » « Mozilla/6.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv:2.0.0.0) Gecko/20061028 Firefox/3.0 »

Pour l’heure, mon fichier de log Ftp ne me permet pas de voir comment et par quelle opération le fichier a pu être renommé !!!

Ces personnes mal intentionnées disposaient d’un code contributeur qui leur permettait de uploader le fichier php. Aucune attaque en force brute ! Ont-ils subtilisé le code à l’un des co-rédacteurs ? Ont-ils agi sur « ordre » ? A moins qu’il ne s’agisse tout bêtement d’une faille dans les plates-formes de mon hébergeur Ovh ou d’une faille WordPress 2.7.1 -réputée stable – inconnue au bataillon !

J’ai ajouté au .htaccess du répertoire /wp-content/ le contenu suivant :

<Files ~ « ^.*\.(php[3-5]{0,1})$ »>
order allow,deny
deny from all
</Files>

Vous pouvez signaler toute attaque à l’Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication.

Tel : 01.49.27.49.27 / Courriel : oclctic@interieur.gouv.fr

WordPress  / Sécurité informatique Wordpress 

Commentaires

Salut,
C’est pas de chance ça ;)
Merci pour l’info :D
Tu étais en quelle version de wordpress ?
Bonne journée et encore merci pour l’astuce

Du coup j’ai vérifié, et apparemment, je n’ai pas de fichier de ce type :)

Je crois que cela n’a rien à voir avec la version WordPress. J’utilise une 2.7.1, me semble-t-il !

Sa arrive souvent aux personnes qui ne paramètre pas assai leur PHP ou leur Apache.
Coté PHP est-ce que le SafeMode est en Off, est ce qui a un patch suhosin ?
Coté apache est ce qui a le Module Evasive et le Module Security ?

il ne faut surtout pas rester sous une vieille version de WordPress,toujours maintenir son WordPress à jour,dernière version WP 3,être sous php5 très important.

Merci pour cette info. Mai il me semble que wp 2.7.1 est la version la plus stable.

bonjour,

@Plombier, WordPress comme tous CMS doit toujours être maintenu à jour, on installe un jour un CMS puis plus rien, on fait les mises à jour.
regarder les failles de sécurités au fils des versions
http://www.wpwhitesecurity.com/wordpress-news/statistics-70-percent-wordpress-installations-vulnerable/

Laisser un commentaire

(requis)

(requis)