WordPress-tuto a été hacké par des turcs
Le 01 Novembre 2007 mes sites WordPress tuto et Choisirsonaspirateur.info ont été « hackés » par un groupe de hackers turcs.
Les sites ont été « défacés » avec un message « Hacked By CoBRa_21″ sur un fond rouge de drapeau turc avec des inscriptions en arabe ainsi qu’une chanson assez martiale en Turc. C’est très beau, de la musique comme j’aime bien mais c’est aussi très gênant.
Sindol et Rafik en ont parlé et produisent quelques images de cet épisode peu glorieux de WordPress tuto.
Ce billet est là pour narrer cette petite aventure
Peu après l’attaque OVH a mis hors ligne le site et m’a envoyé le message suivant :
Bonjour,
Notre système de surveillance (Okillerd) a détecté une opération
irrégulière au niveau de votre site.
Les détails de cette opération sont les suivants :
mongazon.net
Problème rencontré : Hidden PERL script
Commande apparente : lynx
Exécutable utilisé : /usr/bin/perl
Horodatage: Fri Nov 2 18:23:11 CET 2007
Ceci n’est pas autorisé sur nos installations,
car c’est une tentative potentielle de piratage.
Si ce n’est pas vous qui avez lancé ce script, cela signifie
qu’il y a une faille sur votre site et qu’un hacker s’en
est servi pour réaliser cette opération.
Nous avons désactivé l’accès web temporairement pour éviter tout
risque de nouveau piratage.
Vous pouvez vous connecter via ftp, pour modifier les scripts qui
peuvent poser problème. Pensez également à mettre à jour les
logiciels que vous utilisez comme phpnuke, phpbb, etc.
Comment faire ?
Consultez ces guides :
- http://guides.ovh.com/AlerteHackMutu
- http://guide.ovh.com/SecuriteSite
Une fois le problème résolu, vous pouvez réouvrir votre site
en remettant les bons droits sur le répertoire « www » (chmod 705 www).
Contactez notre support si vous ne parvenez pas à réouvrir l’accès
web par vous-même. Notez que les équipes du support ne peuvent pas
rechercher l’origine du problème pour vous, mis à part dans le
cadre d’une opération payante d’infogérance.
Amicalement
L’équipe d’ovh
Première intervention :
Pendant l’attaque j’étais en Week-end à Londres et quand je suis revenu j’ai d’abord été voir par FTP ce qu’était devenus mes sites.
Par FTP, en triant sur la date les fichiers, il m’a été facile de repérer sur WordPress Tuto qu’un nouveau fichier appelé c99up.php avait été installé et que les fichiers index.php étaient très récents.
J’ai donc remplacé le fichier modifié index.php par un original issu d’une de mes sauvegardes et j’ai vu que mes sites étaient de nouveau accessibles. Apparemment les bases de données sont complètes.
Ce que j’aurais du faire à ce moment là : commencer par faire une sauvegarde par FTP de tout ce que j’avais dans mes répertoires car OVH ne pratique pas ce type de sauvegarde et c’est bien ennuyeux.
Résultats de la première intervention.
Quelques heures après cette remise en ligne rapide mes sites étaient de nouveau plus accessibles.
Le plus grave est qu’à ce moment là le répertoire FTP a aussi été complètement vidé. et c’est alors que j’ai réalisé que je n’avais pas de sauvegarde récente de mon répertoire FTP.
Heureusement que la solidarité des blogueurs n’est pas tout à fait un vain mot.
Quelques leçons de cette histoire :
- La sauvegarde de la base de donnée n’est pas la sauvegarde du répertoire FTP. Pensez à sauvegarder aussi les fichiers que vous offrez au téléchargement et les images qui illustrent vos sites.
- Si vous testez des plugins, pensez à purger le répertoire FTP quand un plugin ne vous convient pas. Les plugin sont manifestement des sources de vulnérabilités pour nos blogs.
- Le hacker a pu saboter tous les sites que j’avais sur cet hébergement. La faille sur WordPress-tuto a permis de remonter à la racine de l’hébergeur. Si vous testez des plugins, il est préférable d’utiliser un serveur à part.
- Si j’avais sécurisé mon installation, cette attaque n’aurait pas pu se faire. Il va falloir que je me renseigne sur la sécurisation d’un blog sous WordPress (ça ne m’enchante pas, trop technique…).
- Chez OVH il n’y a pas de sauvegardes de faites du serveur FTP pour les offres en mutualisé. C’est néanmoin possible si on choisit une offre dite « haute sécurité » mais j’hésite encore à opter pour cette option car on dirait que dans ce cas, la taille de l’hébergement est limitée à 90MO (où alors je n’ai rien compris encore une fois…).
- Suite à tout ce bazar, je suis finalement passé à WordPress 2.3.1 alors que j’avais toujours trouvé mieux à faire jusque là…
- A quelque chose malheur est bon…
Tags : probleme, sauvegarde, upgrader
Articles relatifs
-
[...] Avant tout, je tiens à souligner qu’il est très rare de se faire hacker son blog. Sauf si vous êtes mondialement connu (ce qui concerne 0.1% des blogs francophones ). Par conséquent si votre blog est piraté, cherchez le responsable dans votre entourage. Il est aussi possible de se faire hacker par des Turcs sorti de derrière les fagots. Si si je vous assure, c’est arrivé au blog Wordpress-Tuto. [...]
-
[...] bref, j’ai plus de chance que le blog wordpress-tuto qui s’est fait hacké le 1er novembre, lui aussi s’était fait hacké par un Turc, Cobra machin avec une musique kitch/martial en [...]
slt, il faut sécuriser avec des .htaccess ( http://wordpress-tuto.fr/wp-content/ ) » trop visible « .
Juste sindol a raison car sinon on peut voir tous tes plugins themes installés donc c’est comme ca que le hacker a vu que tu avais un plugin a faille.
Si il ne voit pas ce que tu as comme plugin, il ne pourra pas voir les failles a utiliser.
Les gens disent tous « techniques de parano » mais quand ca arrive sans prévenir…
Donc rajoute un index.php avec ce code dans les répertoires comme wp-content, wp-content/themes et wp-content/plugins
j’espere que ca supprime pas le code php !!!
Soit ca générera une erreur PHP soit ca va mettre un ecran blanc, soit ca redir vers google mais dans tous les cas on ne voit pas le contenu de ton dossier plugin et c’est plus facile que les htaccess.
et aussi supprime le lien de sindol sinon ton répertoire et tt ses fichiers vont etre indéxées par Google et Yahoo !
Voila !
merci beaucoup Tlse
Je ne sais pas pourquoi ce fichier index.php qui protège le répertoire wp-content n’était pas là. Je l’ai remis et j’espère qu’il n’y aura pas eu de conséquences…
Pour info, mon blog qui est loin d’être mondialement connu (entre 1 et 10 visites par jour… wouhouuu) et mis en ligne en novembre 2007 a été piraté la semaine dernière par des turcs également. Mon hébergeur (1&1) n’a pas eu le temps de me prévenir, je l’ai vu tout de suite puisque ca s’est passé au moment ou j’écrivais un post. De toute façon 1&1 ne pouvait rien faire car comme OVH, pas de sauvegardes. Et bêtement j’avais pas de sauvegarde ni de mon FTP, ni de ma base de donnée !!! donc pas cool pour tout remettre en place.
En plus des modifs sur les pages avec des images plutot horribles, les pirates avaient même changé le mot de passe et le mail de l’admin !
Bon d’après le commentaire précédent je vais faire passer des interrogatoires à tout mon entourage !!!
Je pars donc à la recherche d’infos sur les .htaccess dont j’ai déja entendu parlé (je débute), mais là c’est le moment de s’y mettre…
As-tu une idée du trou dans ton installation ? Peut-être que tu va trouver des pistes à cette adresse : http://blogsecurity.net/ ?
Je ne peux pas faire le tour des fichiers qui auraient pu être récemment modifiés vu que j’ai tout réinstallé il y a 2 jours ! et part cette méthode j’avoue que je ne sais pas vraiment comment, ni ou aller chercher les failles. Et j’aimerais bien comprendre comment on fait un .htaccess qui empêche l’accès à un dossier. Je ne trouve que des exemples soit avec des mots de passe, soit qui empeche certains domaines d’accéder à un dossier… je dois mal chercher.
Merci pour le lien, je vais y jeter un coup d’oeil !
lol en général les sites hackés on un contenu qui « dit que le la turquie c’est pas bien » etc.. mdr donc peut être plus faire attention au contenu de son site.
Bonjour,
Du coup, lorsque je me suis mis à Wordpress il y a quelques semaines, j’ai cherché à minimiser le risque que cela se reproduise.
Il m’est arrivé la même mésaventure il y a quelques mois avec des sites Joomla ! les Turcs avaient à nouveau frappés
J’ai concaténé dans un article les principes simples de sécurité glanés ici et là, et la façon de les mettre en œuvre.
http://fanta78.free.fr/index.php/category/wordpress/wp-securite/
Également, pour la partie backup (et surtout réinstallation) d’un Wordpress.
http://fanta78.free.fr/index.php/category/wordpress/wp-sauvegarde/
Si cela peut te servir…