Faille WordPress et hack d’un de mes blogs
28 septembre 2009
J’ai eu la désagréable surprise de voir un fichier peu ragoûtant déposé sur le répertoire /wp-content/ d’un de mes blogs WordPress.
Ce fichier s’appelle 379436.php. qui avait été initialement téléchargé sous l’appellation code393272.php. Il a été déposé sur ce blog le 23 septembre à 19h51 à partir de l’adresse 95.168.178.211 qui est hébergée par v3servers.net . Vous pouvez obtenir cette information à partir de Find Ip Address.
Extrait de mes logs Ovh
95.168.178.211 www.voie-militante.com – [23/Sep/2009:19:51:35 +0200] « GET /wp-login.php HTTP/1.1 » 200 896 « http://www.voie-militante.com/ » « Mozilla/6.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv:2.0.0.0) Gecko/20061028 Firefox/3.0 »
95.168.178.211 www.voie-militante.com – [23/Sep/2009:19:51:36 +0200] « POST /wp-login.php HTTP/1.1 » 302 20 « http://www.voie-militante.com/wp-login.php » « Mozilla/6.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv:2.0.0.0) Gecko/20061028 Firefox/3.0 »
95.168.178.211 www.voie-militante.com – [23/Sep/2009:19:51:36 +0200] « GET /wp-admin/ HTTP/1.1 » 200 10697 « http://www.voie-militante.com/wp-login.php » « Mozilla/6.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv:2.0.0.0) Gecko/20061028 Firefox/3.0 »
95.168.178.211 www.voie-militante.com – [23/Sep/2009:19:51:39 +0200] « GET /wp-admin/media-upload.php HTTP/1.1 » 200 2750 « http://www.voie-militante.com/wp-admin/ » « Mozilla/6.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv:2.0.0.0) Gecko/20061028 Firefox/3.0 »
95.168.178.211 www.voie-militante.com – [23/Sep/2009:19:51:40 +0200] « POST /wp-admin/media-upload.php HTTP/1.1 » 200 3661 « http://www.voie-militante.com/wp-admin/ » « Mozilla/6.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv:2.0.0.0) Gecko/20061028 Firefox/3.0 »
95.168.178.211 www.voie-militante.com – [23/Sep/2009:19:51:41 +0200] « GET /wp-content/code393272.php HTTP/1.1 » 200 150 « http://www.voie-militante.com/wp-admin/ » « Mozilla/6.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv:2.0.0.0) Gecko/20061028 Firefox/3.0 »
95.168.178.211 www.voie-militante.com – [23/Sep/2009:19:51:43 +0200] « GET /wp-admin/upload.php HTTP/1.1 » 200 7783 « http://www.voie-militante.com/wp-admin/ » « Mozilla/6.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv:2.0.0.0) Gecko/20061028 Firefox/3.0 »
Pour l’heure, mon fichier de log Ftp ne me permet pas de voir comment et par quelle opération le fichier a pu être renommé !!!
Ces personnes mal intentionnées disposaient d’un code contributeur qui leur permettait de uploader le fichier php. Aucune attaque en force brute ! Ont-ils subtilisé le code à l’un des co-rédacteurs ? Ont-ils agi sur « ordre » ? A moins qu’il ne s’agisse tout bêtement d’une faille dans les plates-formes de mon hébergeur Ovh ou d’une faille WordPress 2.7.1 -réputée stable – inconnue au bataillon !
J’ai ajouté au .htaccess du répertoire /wp-content/ le contenu suivant :
<Files ~ « ^.*\.(php[3-5]{0,1})$ »>
order allow,deny
deny from all
</Files>
Vous pouvez signaler toute attaque à l’Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication.
Tel : 01.49.27.49.27 / Courriel : oclctic@interieur.gouv.fr