Attaque WordPress ?

WordPress est un outil génial, facile à prendre en main et de ce fait de plus en plus utilisé sur la toile. Il devient alors une cible privilégié des cyber-attack tentant pour diverses raison d’y trouver des failles. Il y quelques heures, j’avais trouvé un comportement suspect dans l’affichage d’un des sites que je développe. Comme si une partie de la CSS était mal interprétée, voire modifié par un élément invisible. A l’heure actuelle, je ne sais pas si cela a un lien ou non avec la suite des évènements, mais cela m’a poussé à faire un tour sur le serveur. Là j’ai été interpellée par des fichiers suspects situés à la racine des répertoires comportant un WordPress et dans le répertoire Kernel d’un bon vieux Xoops.

Des heures et des heures à me creuser les méninges et m’énerver, soirée perdue, mauvaise nuit et humeur de chien le matin. Il est claire que je me passerais bien de ce genre de prise de tête ! Mais j’ai malgré tout la responsabilité de m’assurer de ne pas propager ou contaminer d’autres utilisateurs.

Le premier fichier étant un « ..« , pas évident donc de faire des recherches sur ce genre de mot clef. Tous contenant la même suite de caractères indéchiffrable, mais en Base64. Le fichier renommé puis effacé du serveur, il revient à nouveau lorsque le site est visité.

vFPuWN80hSq17G4OF8oyhg==
6gi4EYJk02vwpTBOQpZ2
6AuvDYBkyXD1vjNY
6A2vDYJkyXfxpSlRSpM=
6gm5EYFk0mvzoTJOQpZw
6gi4EYJk02vwpTVOQpd8
6AuvDYBkyXH5vjBU
6gi1EYRnyXfyoilUSg==
7wqvDYJ/1nH3vjZVQQ==
4givCIV/1Xfxvj5Q
4wmvDoZoyXfypylSQJQ=
6gi3EYN/0HzvoT9S
6gS5EYVnyXDvoTVX
4g2vDYNhyXT1vjZSQQ==
6gy4EYFh0WvwpjJOSpA=
7hKwC4p/1XDxvjZVQw==
6gu5EYFgyXfyvjVTQw==
6AuvDYFhyXb5vjRZ

L’autre fichier lui se présente sous un nom aléatoire et contient une liste d’adresse IP :

130.0.233.18
130.0.237.24
149.154.154.191
151.236.17.13
151.236.18.8
178.209.52.218
178.73.210.163
37.235.53.202
46.17.57.141
46.246.93.130
5.61.45.110
176.99.6.245
151.236.25.47
151.236.28.97
151.236.26.86
151.236.20.19
144.76.178.235
188.116.23.77
80.67.12.206
5.61.38.129
37.230.118.51
5.187.5.185
5.187.1.129
5.187.4.155
209.159.153.165
144.76.178.236
176.9.193.201

Après une longue soirée à faire des recherches autour de ce qui me semble être une attaque, le serveur a fini par être mis sous quarantaine, ce qui va dans le sens de ma découverte. J’ai trouvé sur un forum un autre utilisateur allemand ciblant un problème similaire : http://forum.wpde.org/allgemeines/124570-ploetzliche-unerwuenschte-werbeeinblendung-2.html, mais ne donnant pas de solution.

En analysant les logs à la volée du serveur (ce qui n’est pas possible chez tous les hébergeurs) j’ai pu constater de très étranges requêtes de ce genre :

54.208.242.36 – - [26/Feb/2014:21:22:13 +0100] « GET /artist/feed/ HTTP/1.1″ 200 31055 « http://cyborgjeff.untergrund.net/  » « ../..//../..//../..//../..//../..//../..//../..//../..//etc/passwd »
54.208.242.36 – - [26/Feb/2014:21:20:39 +0100] « GET /artist/feed/ HTTP/1.1″ 200 31055 « 8w52fwoq’);select pg_sleep(24); – » « Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36″
54.208.242.36 – - [26/Feb/2014:21:20:13 +0100] « GET /artist/feed/ HTTP/1.1″ 200 31055 « SomeCustomInjectedHeader:injected_by_wvs » « Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36″

Rien de très rassurant. Je n’ai pour l’heure plus la main pour pousser plus loin l’analyse de ce problème et je me concentre à m’assurer de l’état de santé de mes autres serveurs, d’en faire des backups et pousser un peu plus leur sécurité face à une attaque WordPress importante qui d’après la presse spécialisée se serait amorcée il y a déjà quelques mois.

Voici un peu de lecture pour les prochains jours :
http://wptavern.com/how-to-find-hacked-wordpress-files