Sujets-libres.fr

Informatique, logiciels libres, internet, humeurs et… le reste !

Mon blog wordpress compromis...

Rédigé par -Fred- 2 commentaires
Arf, je viens de me rendre compte que mon blog avait été compromis.

J'ai constaté la chose il y a peu de temps, en naviguant dans les répertoires de mon blog, car j'ai constaté la présence de plusieurs fichiers suspects (dont un présent depuis quelques mois déjà. Une analyse rapide me montre qu'ils ont été posés là par quelqu'un d'autre que moi et que donc, mon blog a potentiellement été compromis à un moment donné. Ce qui est gênant, c'est que je ne sais pas par quel moyen l'attaquant a réussi à déposer ces fichiers. Je suspecte qu'un des plugins ou l'un des thèmes sur mon blog comportait une faille qui a pu être utilisée ici.

Je n'ai pas constaté que des fichiers avaient été modifiés, ni d'autres choses étranges ailleurs sur mon blog ou en base de donnée. Je n'ai pas non plus constaté d'activité réseau suspect sur la période donnée. J'ai suivi les préconisations données par le lien suivant : http://blog.secupress.fr/attaques-wordpress-261.html. J'ai aussi commencé à analyser mes logs mais je ne vois rien jusqu'à présent.

Pour repartir sur une base saine, j'ai réinstallé une nouvelle instance de Wordpress toute propre. J'ai fait un diff entre ma base et une version plus ancienne d'un an et les écarts sont tout à fait normaux. Je l'ai donc conservée. Seul vrai changement, je n'ai rajouté aucun plugin ni aucun thème. J'espère ainsi limiter les risques.

A l'avenir, je vais aussi être plus attentif sur ce qui se passe dans les répertoires de mon blog. J'ai déjà les remontées quotidiennes de mes sauvegardes mais je vais certainement scripter une petit truc spécifiquement pour mon blog.

Il n'est pas impossible que je change de moteur de blog dans quelque temps mais ce n'est qu'une option. J'aime bien Wordpress et mis à part ce qui vint de se passer, je n'ai jamais eu de problèmes avec ce CMS.

2 commentaires

#1  - Tuxicoman a dit :

Comment sais tu que ces fichiers sont lié à un piratage?
Ils avaient l'air de quoi?

Sinon, je trouve ton site joli et rapide, donc ca ne change rien pour les lecteurs.

Répondre
#2  - -Fred- a dit :

@Tuxicoman :

Les fichiers en questions n'avaient pas à se trouver à l'endroit où ils étaient (un dossier perso où je déposais manuellement des fichiers accessibles ensuite publiquement).

De plus, l'un d'entre eux était clairement fait pour ne pas être lisible facilement (instructions codées en ascii, codes en base64, gzinflate...). Une fois décodé, le fichier montre un peu plus ce à quoi il est destiné car il contient tout un tas de commandes permettant notamment de rechercher des fichiers sensibles du système (utilisable en environnement *nix ou windows). J'ai exécuté le fichier en machine virtuelle dans firefox (avec le module firebug) et je vois qu'il tente de se connecter à des ressources dispo sur un site externe (je continue à essayer de comprendre plus de ce côté là).

Un autre fichier a été déposé plus récemment (fin juillet) et contient un exploit selinux. Un autre répertoire contient, si je comprend bien, un outil d'analyse open source. Je ne trouve pas de trace quand à l'utilisation de l'un ou l'autre de ces outils, contrairement à l'autre outil dont je parle au dessus et pour lequel je peux voir que l'attaquant l'a utilisé environ 1h sur ma machine.

C'est difficile à analyser car tout cela date d'il y a plusieurs semaine ou plusieurs mois. Je tente de tirer les enseignements de ça et je pense qu'il est intéressant de partager cette expérience avec d'autres en en parlant publiquement ici.

Merci pour Pluxml. Le thème de base suffit amplement en effet...

Répondre

Écrire un commentaire

Quelle est la deuxième lettre du mot ybgdbw ?

Fil RSS des commentaires de cet article