WordPress-tuto a été hacké par des turcs

Le 01 Novembre 2007 mes sites WordPress tuto et Choisirsonaspirateur.info ont été « hackés » par un groupe de hackers turcs.
Les sites ont été « défacés » avec un message « Hacked By CoBRa_21″ sur un fond rouge de drapeau turc avec des inscriptions en arabe ainsi qu’une chanson assez martiale en Turc. C’est très beau, de la musique comme j’aime bien mais c’est aussi très gênant.

Sindol et Rafik en ont parlé et produisent quelques images de cet épisode peu glorieux de WordPress tuto.
Ce billet est là pour narrer cette petite aventure


Peu après l’attaque OVH a mis hors ligne le site et m’a envoyé le message suivant :

Bonjour,

Notre système de surveillance (Okillerd) a détecté une opération
irrégulière au niveau de votre site.

Les détails de cette opération sont les suivants :

mongazon.net

Problème rencontré : Hidden PERL script
Commande apparente : lynx
Exécutable utilisé : /usr/bin/perl
Horodatage: Fri Nov 2 18:23:11 CET 2007

Ceci n’est pas autorisé sur nos installations,
car c’est une tentative potentielle de piratage.

Si ce n’est pas vous qui avez lancé ce script, cela signifie
qu’il y a une faille sur votre site et qu’un hacker s’en
est servi pour réaliser cette opération.

Nous avons désactivé l’accès web temporairement pour éviter tout
risque de nouveau piratage.

Vous pouvez vous connecter via ftp, pour modifier les scripts qui
peuvent poser problème. Pensez également à mettre à jour les
logiciels que vous utilisez comme phpnuke, phpbb, etc.

Comment faire ?
Consultez ces guides :
- http://guides.ovh.com/AlerteHackMutu
- http://guide.ovh.com/SecuriteSite

Une fois le problème résolu, vous pouvez réouvrir votre site
en remettant les bons droits sur le répertoire « www » (chmod 705 www).

Contactez notre support si vous ne parvenez pas à réouvrir l’accès
web par vous-même. Notez que les équipes du support ne peuvent pas
rechercher l’origine du problème pour vous, mis à part dans le
cadre d’une opération payante d’infogérance.

Amicalement
L’équipe d’ovh

Première intervention :

Pendant l’attaque j’étais en Week-end à Londres et quand je suis revenu j’ai d’abord été voir par FTP ce qu’était devenus mes sites.
Par FTP, en triant sur la date les fichiers, il m’a été facile de repérer sur WordPress Tuto qu’un nouveau fichier appelé c99up.php avait été installé et que les fichiers index.php étaient très récents.
J’ai donc remplacé le fichier modifié index.php par un original issu d’une de mes sauvegardes et j’ai vu que mes sites étaient de nouveau accessibles. Apparemment les bases de données sont complètes.

Ce que j’aurais du faire à ce moment là : commencer par faire une sauvegarde par FTP de tout ce que j’avais dans mes répertoires car OVH ne pratique pas ce type de sauvegarde et c’est bien ennuyeux.

Résultats de la première intervention.
Quelques heures après cette remise en ligne rapide mes sites étaient de nouveau plus accessibles.
Le plus grave est qu’à ce moment là le répertoire FTP a aussi été complètement vidé. et c’est alors que j’ai réalisé que je n’avais pas de sauvegarde récente de mon répertoire FTP.

Heureusement que la solidarité des blogueurs n’est pas tout à fait un vain mot.

Quelques leçons de cette histoire :

  • La sauvegarde de la base de donnée n’est pas la sauvegarde du répertoire FTP. Pensez à sauvegarder aussi les fichiers que vous offrez au téléchargement et les images qui illustrent vos sites.
  • Si vous testez des plugins, pensez à purger le répertoire FTP quand un plugin ne vous convient pas. Les plugin sont manifestement des sources de vulnérabilités pour nos blogs.
  • Le hacker a pu saboter tous les sites que j’avais sur cet hébergement. La faille sur WordPress-tuto a permis de remonter à la racine de  l’hébergeur. Si vous testez des plugins, il est préférable d’utiliser un serveur à part.
  • Si j’avais sécurisé mon installation, cette attaque n’aurait pas pu se faire. Il va falloir que je me renseigne sur la sécurisation d’un blog sous WordPress (ça ne m’enchante pas, trop technique…).
  • Chez OVH il n’y a pas de sauvegardes de faites du serveur FTP pour les offres en mutualisé. C’est néanmoin possible si on choisit une offre dite « haute sécurité » mais j’hésite encore à opter pour cette option car on dirait que dans ce cas, la taille de l’hébergement est limitée à 90MO (où alors je n’ai rien compris encore une fois…).
  • Suite à tout ce bazar, je suis finalement passé à WordPress 2.3.1 alors que j’avais toujours trouvé mieux à faire jusque là…
  • A quelque chose malheur est bon…

Tags : , ,
Trackbacks Commentaires
  • Sindol dit :

    slt, il faut sécuriser avec des .htaccess ( http://wordpress-tuto.fr/wp-content/ )  » trop visible « .

  • Juste sindol a raison car sinon on peut voir tous tes plugins themes installés donc c’est comme ca que le hacker a vu que tu avais un plugin a faille.

    Si il ne voit pas ce que tu as comme plugin, il ne pourra pas voir les failles a utiliser.

    Les gens disent tous « techniques de parano » mais quand ca arrive sans prévenir…

    Donc rajoute un index.php avec ce code dans les répertoires comme wp-content, wp-content/themes et wp-content/plugins

    j’espere que ca supprime pas le code php !!!

    Soit ca générera une erreur PHP soit ca va mettre un ecran blanc, soit ca redir vers google mais dans tous les cas on ne voit pas le contenu de ton dossier plugin et c’est plus facile que les htaccess.

    et aussi supprime le lien de sindol sinon ton répertoire et tt ses fichiers vont etre indéxées par Google et Yahoo !

    Voila !

  • libretto dit :

    merci beaucoup Tlse
    Je ne sais pas pourquoi ce fichier index.php qui protège le répertoire wp-content n’était pas là. Je l’ai remis et j’espère qu’il n’y aura pas eu de conséquences…

  • Charlayeur dit :

    Pour info, mon blog qui est loin d’être mondialement connu (entre 1 et 10 visites par jour… wouhouuu) et mis en ligne en novembre 2007 a été piraté la semaine dernière par des turcs également. Mon hébergeur (1&1) n’a pas eu le temps de me prévenir, je l’ai vu tout de suite puisque ca s’est passé au moment ou j’écrivais un post. De toute façon 1&1 ne pouvait rien faire car comme OVH, pas de sauvegardes. Et bêtement j’avais pas de sauvegarde ni de mon FTP, ni de ma base de donnée !!! donc pas cool pour tout remettre en place.
    En plus des modifs sur les pages avec des images plutot horribles, les pirates avaient même changé le mot de passe et le mail de l’admin !
    Bon d’après le commentaire précédent je vais faire passer des interrogatoires à tout mon entourage !!!
    Je pars donc à la recherche d’infos sur les .htaccess dont j’ai déja entendu parlé (je débute), mais là c’est le moment de s’y mettre…

  • libretto dit :

    As-tu une idée du trou dans ton installation ? Peut-être que tu va trouver des pistes à cette adresse : http://blogsecurity.net/ ?

  • Charlayeur dit :

    Je ne peux pas faire le tour des fichiers qui auraient pu être récemment modifiés vu que j’ai tout réinstallé il y a 2 jours ! et part cette méthode j’avoue que je ne sais pas vraiment comment, ni ou aller chercher les failles. Et j’aimerais bien comprendre comment on fait un .htaccess qui empêche l’accès à un dossier. Je ne trouve que des exemples soit avec des mots de passe, soit qui empeche certains domaines d’accéder à un dossier… je dois mal chercher.

    Merci pour le lien, je vais y jeter un coup d’oeil !

  • Turk dit :

    lol en général les sites hackés on un contenu qui « dit que le la turquie c’est pas bien » etc.. mdr donc peut être plus faire attention au contenu de son site. :)

  • fanta78 dit :

    Bonjour,
    Il m’est arrivé la même mésaventure il y a quelques mois avec des sites Joomla ! les Turcs avaient à nouveau frappés :-( Du coup, lorsque je me suis mis à WordPress il y a quelques semaines, j’ai cherché à minimiser le risque que cela se reproduise.
    J’ai concaténé dans un article les principes simples de sécurité glanés ici et là, et la façon de les mettre en œuvre.
    http://fanta78.free.fr/index.php/category/wordpress/wp-securite/

    Également, pour la partie backup (et surtout réinstallation) d’un WordPress.
    http://fanta78.free.fr/index.php/category/wordpress/wp-sauvegarde/

    Si cela peut te servir…

  • Many people are starting to find the importance in using body pillows these days. This is why many manufacturers improve the design and features of their body pillow covers. The market now offers a wide variety of options for their covers. There are some that are made from organic materials such as cotton and smoother materials like silk. Aside from the materials used on these pillows, you will also see that these covers are made to fit every body pillow shape you can find in the market.
    But aside from finding out the materials used in making these body pillow covers, you have to think of some tips on how to keep the quality of your covers at its best. There are only three specific things that you have to watch out in keeping them in perfect conditions like the following.
    ? High temperature. It has been a household solution for some people to wash their clothes with hot water as it can help loosen stains on dresses. These pillow covers can be washed in hot water but you have to look for the recommended temperature set by the makers. Hot water can cause your body pillow covers to lose its quality and even shrink so you have to double check for the recommended temperature so you can control it. This temperature check also applies in drying up your cover in a dryer. ? Materials to use. Remember that fabrics are not the same and they may have different reaction to materials used in washing your body pillow covers. One of the detergent materials that you have to avoid is bleach since it can make the fabric weaker. But of course, there are still other materials that you must avoid depending on the fabric. ? Number of washings the body covers can tolerate. Typically, you can wash your covers as frequent as you want but you must know the recommended number of washings it can take. For example, there are some covers that are recommended to be washed for around six times a year. This will help you keep the pillow cover last longer since the fabric will not deteriorate with too much washing even if it’s not recommended.

  • tac-creative dit :

    Back support pillows are helpful pillows in keeping your posture. Usually, the chairs that you are using either at home or office do not have the right contour to support your back then cause backache.
    But since you are not just sitting on one type of chair, you will find that there are many types of back support pillows that you can choose for your needs. The types of pillows found in the market these days are the following.
    Bed rest or reading pillows
    This is the back pillow for you if you are an avid reader who loves to read before sleeping. This pillow is designed to support your back at the right posture for reading. These support pillows also have armrests to provide comfort for your arm while holding your favorite book.
    Lumbar back support pillows
    Sitting on an office chair for hours usually causes backaches since our back is not on its right posture. These lumbar pillows are contoured at the right curve so it will serve as guide for your back in keeping the right position. By using this type of pillow, you can start to say farewell to intermittent backaches due to sitting on these chairs.
    Aside from chairs, these lumber pillows are also useful for car seats. If you will look closely, car seats also are not styled to have the curve supporting your spine. You can attach these pillows on the car seats using its strap attachment so you will have the right back posture even while driving.

  • The good thing about these pillows is that they will not only provide the right posture for the user but it can also help to prevent the type several medical problems. Wedge pillows are triangular pillows that will support the back as it elevates the torso area at an angle. This angle is the best position for people who have acid reflux problems or GERD. People who may have problem sleeping or breathing may also find this position comfortable in relieving their current condition.
    These back support pillows are customized by manufacturers in order to provide the best comfort but also in relieving medical issues. You just need to get the ones that you may find useful daily and get them from reliable manufacturers from different stores throughout the internet. This will also help you compare for prices so you can get them on your budget.

  • ieed-ps2e dit :

    Oster Clipper Quality
    This clipper set is very durable and reliable and will last far longer than you can wield the extra powerful motor. Although the Classic 76 is a virtual whirlwind of horsepower, the motor runs consistently quiet and cool, a favorite quality of barbers and barbershops. The patented motor design moves the precision ground blades against the combs getting a consistent, clean, close cut every time you use it. The casing on the Classic 76 is nearly indestructible, proudly made in the USA from a durable valox material.

  • Clipper Accessories
    Alternative blade sets can also be purchased if the included size 1 (76918-086) and size 000 (76918-026) detachable clipper blades do not fit your needs. The Oster Classic 76 uses the Cryogen-x blade system allowing for easy, fast blade changes with thirteen sizes of blades allowing for endless styling possibilities. The Oster Classic 76 is easy to clean and sterilize as well, making it hygienic for every cut.

  • mdr-guyane dit :

    Costs
    The Oster Classic 76 is a bit pricier than some blades on the market but the durability, versatility and the easy use of this clipper will quickly pay for itself as the clipper can be used repeatedly in a home or barber setting.

  • stores stuffs dit :

    Nous avons désactivé l’accès web nike free 2 temporairement pour éviter tout
    risque de nouveau piratage

  • weight style dit :

    Les sites ont été « défacés » avec un message « Hacked By CoBRa_21? sur un fond rouge de drapeau turc avec des inscriptions en arabe ainsi qu’une chanson assez martiale nike free run en Turc. C’est très beau, de la musique comme j’aime bien mais c’est aussi très gênant

  • view lethal dit :

    car c’est une tentative nike air max potentielle de piratage

  • The Oster Classic 76 is easy to clean and sterilize as well, making it hygienic for every cut. Nike Talon Femme versatility and the easy use of this clipper will quickly pay for itself as the clipper can be used repeatedly in a home or barber setting.

  • avez lance dit :

    farewell to intermittent backaches due to sitting on air jordan femme these chairs fast blade changes with thirteen sizes

  • votre premier dit :

    de la musique comme j’aime bien air jordan femme mais c’est aussi très gênant

  • The Oster Classic 76 is easy to clean and sterilize as well, making it hygienic for every cut.Tee Shirt Femme
    The casing on the Classic 76 is nearly indestructible, proudly made in the USA from a durable valox material.

  • choisir Marcel dit :

    Peu après l’attaque OVH a mis hors ligne nike shox NZ le site et m’a envoyé le message suivant

  • sarenzasoldes dit :

    En plus des modifs sur les pages avec des images plutot horribles,http://www.sarenzasoldes.org les pirates avaient même changé le mot de passe et le mail de l’admin !

  • are also dit :

    l’impossibilité d’avoir une barre d’outils qui ne soit pas au dessus survetement nike de l’image you shouldn’t try to copy what other companies have done

  • tn dit :

    Quelques heures après cette remise en ligne http://www.gaypodcast.fr/tn-pas-chere-livraison-gratuite-chaussure-nike-tn-requin-pas-cher.html rapide mes sites étaient de nouveau plus accessibles.

  • dadicar dit :

    La faille sur WordPress-tuto http://www.dadicar.fr/Nike-Tn-Requin-Pas-Cher-s1959.html a permis de remonter à la racine de l’hébergeur. Si vous testez des plugins, il est préférable d’utiliser un serveur à part.

  • Take advantage of this opportunity by purchasing http://www.lagarenne-dulac.fr/timberland-pas-cher-soldes-timberland-rouge.html golf clothing and equipment from online stores.

  • Je ne trouve que des exemples soit avec des mots de passe, soit qui empeche certains domaines http://www.lavilledesamoureux.fr/jordanpascher/nike-air-max-pas-cher-chine/
    d’accéder à un dossier… je dois mal chercher.

  • patinpaty dit :

    When you come to the first http://www.patinpaty.fr paragraph, it must be used to introduce the products and services of the company.

Réagissez