WordPress-tuto a été hacké par des turcs

Publié le 11 novembre 2007 par Yann L'Hostis

Le 01 Novembre 2007 mes sites WordPress tuto et Choisirsonaspirateur.info ont été “hackés” par un groupe de hackers turcs.
Les sites ont été “défacés” avec un message “Hacked By CoBRa_21″ sur un fond rouge de drapeau turc avec des inscriptions en arabe ainsi qu’une chanson assez martiale en Turc. C’est très beau, de la musique comme j’aime bien mais c’est aussi très gênant.

Sindol et Rafik en ont parlé et produisent quelques images de cet épisode peu glorieux de WordPress tuto.
Ce billet est là pour narrer cette petite aventure


Peu après l’attaque OVH a mis hors ligne le site et m’a envoyé le message suivant :

Bonjour,

Notre système de surveillance (Okillerd) a détecté une opération
irrégulière au niveau de votre site.

Les détails de cette opération sont les suivants :

mongazon.net

Problème rencontré : Hidden PERL script
Commande apparente : lynx
Exécutable utilisé : /usr/bin/perl
Horodatage: Fri Nov 2 18:23:11 CET 2007

Ceci n’est pas autorisé sur nos installations,
car c’est une tentative potentielle de piratage.

Si ce n’est pas vous qui avez lancé ce script, cela signifie
qu’il y a une faille sur votre site et qu’un hacker s’en
est servi pour réaliser cette opération.

Nous avons désactivé l’accès web temporairement pour éviter tout
risque de nouveau piratage.

Vous pouvez vous connecter via ftp, pour modifier les scripts qui
peuvent poser problème. Pensez également à mettre à jour les
logiciels que vous utilisez comme phpnuke, phpbb, etc.

Comment faire ?
Consultez ces guides :
- http://guides.ovh.com/AlerteHackMutu
- http://guide.ovh.com/SecuriteSite

Une fois le problème résolu, vous pouvez réouvrir votre site
en remettant les bons droits sur le répertoire “www” (chmod 705 www).

Contactez notre support si vous ne parvenez pas à réouvrir l’accès
web par vous-même. Notez que les équipes du support ne peuvent pas
rechercher l’origine du problème pour vous, mis à part dans le
cadre d’une opération payante d’infogérance.

Amicalement
L’équipe d’ovh

Première intervention :

Pendant l’attaque j’étais en Week-end à Londres et quand je suis revenu j’ai d’abord été voir par FTP ce qu’était devenus mes sites.
Par FTP, en triant sur la date les fichiers, il m’a été facile de repérer sur WordPress Tuto qu’un nouveau fichier appelé c99up.php avait été installé et que les fichiers index.php étaient très récents.
J’ai donc remplacé le fichier modifié index.php par un original issu d’une de mes sauvegardes et j’ai vu que mes sites étaient de nouveau accessibles. Apparemment les bases de données sont complètes.

Ce que j’aurais du faire à ce moment là : commencer par faire une sauvegarde par FTP de tout ce que j’avais dans mes répertoires car OVH ne pratique pas ce type de sauvegarde et c’est bien ennuyeux.

Résultats de la première intervention.
Quelques heures après cette remise en ligne rapide mes sites étaient de nouveau plus accessibles.
Le plus grave est qu’à ce moment là le répertoire FTP a aussi été complètement vidé. et c’est alors que j’ai réalisé que je n’avais pas de sauvegarde récente de mon répertoire FTP.

Heureusement que la solidarité des blogueurs n’est pas tout à fait un vain mot.

Quelques leçons de cette histoire :

  • La sauvegarde de la base de donnée n’est pas la sauvegarde du répertoire FTP. Pensez à sauvegarder aussi les fichiers que vous offrez au téléchargement et les images qui illustrent vos sites.
  • Si vous testez des plugins, pensez à purger le répertoire FTP quand un plugin ne vous convient pas. Les plugin sont manifestement des sources de vulnérabilités pour nos blogs.
  • Le hacker a pu saboter tous les sites que j’avais sur cet hébergement. La faille sur WordPress-tuto a permis de remonter à la racine de  l’hébergeur. Si vous testez des plugins, il est préférable d’utiliser un serveur à part.
  • Si j’avais sécurisé mon installation, cette attaque n’aurait pas pu se faire. Il va falloir que je me renseigne sur la sécurisation d’un blog sous WordPress (ça ne m’enchante pas, trop technique…).
  • Chez OVH il n’y a pas de sauvegardes de faites du serveur FTP pour les offres en mutualisé. C’est néanmoin possible si on choisit une offre dite “haute sécurité” mais j’hésite encore à opter pour cette option car on dirait que dans ce cas, la taille de l’hébergement est limitée à 90MO (où alors je n’ai rien compris encore une fois…).
  • Suite à tout ce bazar, je suis finalement passé à WordPress 2.3.1 alors que j’avais toujours trouvé mieux à faire jusque là…
  • A quelque chose malheur est bon…