Analyse de l’attaque Avril 2010 sur le site

Le site a été attaqué le vendredi 9 avril 2010,

voici les résultats temporaires de l’analyse de l’attaque :
1 – L’attaquant a visité le site à 01 :36 :18 d’une adresse IP partagée algérienne
213.140.59.45 www.hamza.ma - [09/Apr/2010:01:36:18 +0200] "GET /animated_favicon1.gif HTTP/1.1" 200 9492 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; fr; rv:1.9.1.8) Gecko/20100202 Firefox/3.5.8"
2 – Il a commencé à scanner le site à 01 :36 :52
213.140.59.45 www.hamza.ma - [09/Apr/2010:03:36:52 +0200] "GET / HTTP/1.0" 200 39759 "http://www.hamza.ma/" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)"
3 – Et il a terminé à 01:57:24
213.140.59.45 www.hamza.ma - [09/Apr/2010:03:57:24 +0200] "GET /tag/infecte/ HTTP/1.0" 200 28473 "http://www.hamza.ma/" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)"
4- il tente d’accéder à la page d’authentification sans succès à 02:02:55 puisque j’ai changé la page d’authentification de mon générateur de blog open source wordpress (par default /wp-admin)
213.140.59.45 www.hamza.ma - [09/Apr/2010:04:02:55 +0200] "GET /wp-admin/ HTTP/1.1" 302 20 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; fr; rv:1.9.1.8) Gecko/20100202 Firefox/3.5.8"
5 – deux minutes plus tard, il accède bizarrement et directement à la vrai page d’authentification /***
Qui n’est renseignée que dans le fichier. /htaccess et sur la base de donnée.
6 – en une seule tentative, il rentre le mot de passe correcte qu’il a changé directement sur la base et accède à l’interface d’administration
213.140.59.45 www.hamza.ma - [09/Apr/2010:04:10:30 +0200] "GET /wp-admin/load-styles.php HTTP/1.1" 200 15126
7 – il accède à la page de thème pour injecter son script et d’effacer la page
213.140.59.45 www.hamza.ma - [09/Apr/2010:04:14:06 +0200] "GET /wp-admin/theme-editor.php?file=/themes/xx/index.php&theme=xx&dir=theme HTTP/1.1" 200 6257 "" "Mozilla/5.0 (Windows; U; Windows NT 6.1; fr; rv:1.9.1.8) Gecko/20100202 Firefox/3.5.8"

J’ai contacté mon hébergeur mais il ne fournit pas les logs de connexions à la base de données.
Mon hébergeur est vulnérable et je le sais, mais il est plus sur que beaucoup d’autres. Aussi, des rumeurs courts sur une vulnérabilité dans wordpress mais rien n’est encore vérifié.

Le blog est de retour avec un peu plus de protection avec une authentification OTP , mais sans tout les éléments en main, on ne peut définir les causes exactes de l’attaque , en attendant d’autres informations … .

14 commentaires pour “Analyse de l’attaque Avril 2010 sur le site”

  1. Salut Hamza,

    Je pense qu’il s’agit pas d’une faille dans wordpress, mais plutôt une faille permettant de bypasser la restriction openbasedir, il y’en a plusieurs qui ont été découvertes ces derniers jours dans php et qui permettent de lire les fichiers localement!
    Après avoir eu accès à un site hébergé sur le même serveur il a pu bypasser cette restriction (openbasedir) et lire ton fichier de configuration (wp-config.php), puis se connecter à la base (puisqu’il est sur le même serveur que toi) et on lisant la table [tonprefix]_options il a pu trouver le chemin d’administration ce qui explique le point 5 (5 – deux minutes plus tard, il accède bizarrement et directement à la vrai page d’authentification), ce qui explique aussi le changement du mot de passe et authentification sur l’espace admin

    Ce qui a permis à l’attaquant d’injecter un thème « xx » qui contient la page du déface c’est la disposition des droits d’écriture sur le dossier wp-content/themes

  2. Hébergement avec machine dédiée… Pour limiter la dépendance à un prestataire…

  3. salmi abdeljabbar Says:
    avril 13, 2010 at 11:03

    Mr. Hamza ce qui compte vraiment ce sont les résultats malheureuesment vtre site à été hacké deux fois cette année et ca prouve que vous n’êtes pas capable de protéger votre site alors comment protéger les sites des autres

    Bonne journée.

  4. mais ca reste des suppositions et OVH a aussi des problèmes de restriction dans mysql on peux lister toutes les bases du serveurs …. . mais puisqu’ils ne fournissent pas les logs de connexion mysql on peux rien prouvé . même avec openbasedir tu peux protéger le fichier wp-config.php chmod 640 par exemple .

  5. Mr salmi , cette année c’est une seul fois la 1 ere est en 2009 , kevin mithnick le pirate le plus connu au monde s’est fai pirater 5 fois et tout les spécialiste de sécurité qui on un site web sans exception aussi .

    Et comme on dis le fils du docteur est toujours malade, on est pas schizophrènes , heureusement, pour scanner nos site chaque jour tester et vérifier touts les paramètres, vérifier les logs chaque moment de la journée et de la nuit .

    ce site est un site d’informations que jeprotège dans un serveur mutualisé que je ne contrôle pas , si il y avais des informations sensible j’utiliserais uns serveur dédie , une solution OTP , des certificats de connexion privé, ssl , chiffrement de la base a la volet pourquoi pas , mais la sécurité c’est aussi évaluer les investissements par rapport aux risques .

  6. the sandman Says:
    avril 13, 2010 at 9:58

    je tiens d’abord a remercier hamza pour nous avoir communiquer d’une maniere clair et avec beacoup de transparence l’analyse de l’attaque dont il fut victime.
    cela nous montre a quel point ce blog n’appartient pas a son createur mais plutot a tout ceux ki le pratique tout les jours et qui y trouve tout les jours de l’information fraiche et bien expliker. ceci dit je ne suis pa daccord sur ce qua dit Salmi , parceque tout simplement les erreurs peuvent arriver et ke personne n’est infaillible , je ne reciterai ps les details technik du hack dont a fe l’objet ce blog mais il est clair ke c pas la faute de hamza . qui plus est quand on a rien de contructif a dire il vaux mieux se taireje terminerai sur une citation ki me semble appropriee comme reponse au commentaire de salmi.
     » ceux qui se nourisse de la critique sont des impuissant a l’oeuvre ». Sterling

  7. 0 day in wordpress !!

  8. not directly in wordpress , not encrypted password in wp-config.php grrrrrrr

  9. salmi abdeljabbar Says:
    avril 13, 2010 at 11:03

    Mr. Hamza ce qui compte vraiment ce sont les résultats malheureuesment vtre site à été hacké deux fois cette année et ca prouve que vous n’êtes pas capable de protéger votre site alors comment protéger les sites des autres

    Bonne journée.

    Mr salmi Ce n’est pas Logic de parler de La securité de cette facon , Mr Hamza protege son site mais le server est Tres Faible

    Hamza bon chance …

  10. Merci beacoup Pr0f.SELLiM

  11. Salut Hamza
    Suite à une petite vérification du serveur , il y a plein des failles dans d’autres sites dans le même serveur qui facilite de  » upload les Shells  » et c’est normal que votre blog n’est pas sécurisée . La meilleur solution Hébergement avec machine dédiée .
    cordialement ISSW

  12. tu es raison issw moi même j ‘ai mon shell sur mon site :d , donc je c cependant un serveur dédié , c’est plus cher et son monitoring update … prend du temps, merci du conseil .

  13. annonymous Says:
    septembre 3, 2010 at 11:40

    hahaha, daroha bik

  14. bravoo
    bonne continuation

Laisser un Commentaire