Analyse de l attaque du site Hamza.ma – Partie 1: Technique

Pendant l’analyse des logs 3 scénarios étaient possibles et que je devais vérifié,

  • Exploitation d’une vulnérabilité dans wordPress générateur de mon blog.
  • Exploitation du couple login /mot de passe que quelque’ un aurai intercepté (sniffé) sur un wifi ou réseau Lan
  • Exploitation de mon serveur Web IIS mutualisé.

Hamza.ma_hacker_IP

Âpres téléchargement des Logs d IIS et la demande des Logs de MYSQl ou j’ai eu la réponse suivante :

Bonjour,

Ce ne sont que les fichiers logs web qui sont fournis.

Cordialement,
Arcanes Technologies


Le premier scénario est l’exploitation d’une vulnérabilité WordPress : l’analyse des logs n’a ressortie aucune signature exploitant une des vulnérabilités de ma version actuelle.

Le deuxième scénario est l’interception du couple login /Mot de passe : dans ce cas l’attaquant aurait due s’authentifier directement sur la partie d’administration cependant d’âpres les logs Le premier (78.178.26.87 Turquie) et 2 emme (81.192.238.235 Maroc) attaquant ont fait un reset du mot de passe selon le scénario suivant :

1 – Reset du mot de passe
- 2009-09-03 23:47:27 GET /wp-login.php action=lostpassword 80 - 78.178.26.87 HTTP/1.1
- 2009-09-04 01:07:46 GET /wp-login.php action=lostpassword 80 - 81.192.238.235 HTTP/1.1

2- Récupération du lien dans le mail modifié sur une boite Msn ou hotmail :
http://sn110w.snt110.mail.live.com/mail/InboxLight.aspx?FolderID=00000000-0000-0000-0000-000000000001&InboxSortAscending=False&InboxSortBy=Date&n=2029363284

3- Activation du nouveau mot de passe :
2009-09-03 23:49:50 GET /wp-login.php action=rp&key=jpcQ4ZnoLuFCpsttCHyd 80 - 78.178.26.87 HTTP/1.1
2009-09-04 01:08:23 GET /wp-login.php action=rp&key=LGk457L8xdbEKx5OEO25 80 - 81.192.238.235 HTTP/1.1

3- Authentification sur la partie Administration :
2009-09-03 23:51:34 GET /wp-admin/Index.php - 80 - 78.178.26.87 HTTP/1.1
2009-09-04 01:09:01 GET /wp-admin/Index.php - 80 - 81.192.238.235 HTTP/1.1

En écartant le 2em scénario, le 3em scénario se confirme la seul explication est que le ou les attaquants ont pue modifier l’email directement dans la base de donnée pour ensuite récupérer le mot de passe sur l’adresse mail qu’ils ont insérer.
De plus l accès au fichier : / HashCracker/modifier.aspx
2009-09-04 00:56:39 GET /HashCracker/modifier.aspx - 80 - 81.192.238.235 HTTP/1.1
Qui n’est accessible ni par moteur de rechercheni a travers les liens du site démontre que les attaquants ont pu lister les répertoires pour voir les fichiers .

On rejouant l’attaque j’ai constaté que le serveur est vulnérable et que les utilisateurs Web ne sont pas bien configuré ce qui permet grâce a un SHELL d’outrepasser la protection sur les dossiers utilisateurs j ai pue lister tous les utilisateurs et leurs dossiers web sans continuer l’exploitation.

IISHebrjahizVuln

Il est clair que tout les sites du serveur 67.15.234.x sont à la Merci des attaquants et surement tous les serveurs IIS d’Heberjahiz si ils ont la même config  .Les attaquants ne deface pas touts les sites en même temps pour ne pas attirer l attention, la rétention d’hebergahiz des LOG de connexion ne facilite pas la tache pour corriger le problème.

En ce qui me concerne j’ai changé d’hébergeur en attendant la prochaine attaque.

NB : J’ai détecté un autre accès du 208.101.39.51 qui scanait mon site dernièrement
2009-09-04 02:09:08 GET /wp-admin/Index.php - 80 - 208.101.39.51 HTTP/1.1
Si les 3 adresses n’appartiennent pas à la même personne ça ne serai pas bizarre que les 3 personnes se connaissent .

Tagged : , ,

20 commentaires pour “Analyse de l attaque du site Hamza.ma – Partie 1: Technique”

  1. oui ma sa existe les proxy non ??

  2. Oui c’est pour ça que j’ai dis : »Si les 3 adresses n’appartiennent pas à la même personne ça ne serai pas bizarre que les 3 personnes se connaissent . »

  3. moi j’élimine tou se que tu a dit :

    * Exploitation d’une vulnérabilité dans wordPress générateur de mon blog.
    (Je crois pas que sa ce trouve une vuln sur wordpress)

    * Exploitation du couple login /mot de passe que quelque’ un aurai intercepté (sniffé) sur un wifi ou réseau Lan
    (impossible c’est une terrible coinsidance si il partage avec toi la même connexion internet)

    * Exploitation de mon serveur Web IIS mutualisé.
    (impossible car ta dit que heberjazih a fermé les ports FTP) … sa existe une autre technique a mon avi

  4. Un shell n’utilise pas le port FTP et c une coïncidence qu’il partage ma connexion mais pas impossible .

  5. lol en naviguant sur zone-h.org j trouvé que kia.ma a etait piratée h**p://zone-h.org/mirror/id/9570586

  6. Moi je penche pour le serveur ISS je croie qu\’il pourrait y avoir une autre technique.

  7. Je pense également qu’il s’agit pas d’une faille wordpress, à ma connaissance la dernière faille wordpress permet juste de réinitialiser le mot de passe admin, sans récuperer le nouveau ou pouvoir le modifier!

    La scénario qui me parait logique, (vu que l’attaquant a pu lister les répertoires) est :
    1 – L’attaquant a pu lire le fichier config, puis se connecter à la base et modifier l’adresse email de l’admin
    2 – Demande d’un nouveau mot de passe et réinitialisation de ce dernier
    3 – Connexion à l’interface d’administration et défacage de la page d’accueil

    Il est très probable que la faille exploité est au niveau du serveur et non pas de ton site! Choisir OVH comme hébergeur est à mon avis plus rassurant

    Ca devrai être une bonne raison pour continuer, si ton blog n’avait pas de la valeur il serai pas défaced! alors continue 😉

  8. Bonjour,

    J’aimerais revenir sur vos affirmations car je suis intéressé de comprendre le mode opératoire de l’attaque.

    Vous avez écrit dans le second scénario, je cite, « le ou les attaquants ont pue modifier l’email directement dans la base de donnée pour ensuite récupérer le mot de passe sur l’adresse mail qu’ils ont insérer. »

    De plus, vous avez reproduit une adresse pointant semblerait-il vers un message hébergé sur une boîte live.com/hotmail.com:
    h**p://sn110w.snt110.mail.live.com/mail/InboxLight.aspx?FolderID=00000000-0000-0000-0000-000000000001&InboxSortAscending=False&InboxSortBy=Date&n=2029363284

    1) Comment avez-vous obtenu cette adresse?
    2) Pouvez-vous confirmer que l’adresse email dans la base de données a été modifiée avant l’exécution des commandes de réinitialisation?

    Finalement, je vous remercie grandement de partager avec vos lecteurs les détails quant à l’intrusion dans votre site. Je trouve que c’est une excellente démarche!

    En ce qui concerne votre hébergeur, si j’ai bien compris, vous l’avez quitté. Je vous propose toutefois de leur communiquer (si ce n’est déjà fait) vos propositions d’amélioration. Ceci, dans l’intérêt des clients qui ne bénéficient pas de la même expertise que vous.

    sb

  9. Bonjour starbuck et merci pour ton message.
    1 je n’est pas émis d’affirmations mais des constatations.
    2- l’adresse : h**p://sn110w.snt110.mail.live.com …. est ce qu’on nome un « Referring Site » c’est le site qui affiche le lien que suit un utilisateur pour arriver au site concerné dans ce cas hamza.ma il est stocké avec les log des connexion. Google s’en sert aussi pour établir les statistiques ;
    3- « Ce ne sont que les fichiers logs web qui sont fournis. » voila le message de mon hébergeur donc tant que je n’st pas les logs des activités de la base je ne peux être sur a 100 %.

  10. Bonjour,

    Oups oui, désolé, « constatations » :)

    Pour l’url, dans la mesure où vous aviez placé les timestamps pour toutes les autres lignes de logs, je n’avais pas pu déterminer qu’il s’agissait d’une referrer d’où mon doute. Là c’est beaucoup plus clair.

    A première vue la base de données aurait donc été modifiée (champs utilisés par l’authentification) afin de permettre aux pirates de se connecter à votre blog.

    Ce qui impliquerait qu’ils en avaient le contrôle avant d’entrer dans votre blog.

    Ils auraient donc choisi ensuite de se créer un compte légitime (vol de votre compte admin) alors qu’ils auraient pu modifier directement le contenu de l’un de vos billets pour entrainer la redirection de vos visiteurs.

    Le mode opératoire est surprenant, mais intéressant :)

    Merci pour ces précisions!

  11. C’est vrai que c’est bizar ils aurait aussi pue modifié le champ du mot de passe tout simplement et s’authentifier , ou , comme vous avez dit , ajouter directement un script sur un post .Si j’avais les logs de la base les choses serait beaucoup plus claire .

  12. je pense a premiere vue que les defaceurs ont eu acces a votre boite e-mail, c\’est ce qui explique le reset du password et la connection avec le nouveau pass,
    netkiller et ce mhido ne sont donc que des lamers script-kiddie ,leur defacement n\’est pas du a des exploits personnel mais c\’est une facon de prouver qu\’ils sont null

    bon courage zakaria

  13. Ils n’ont pas eu accès a ma boite mail .je pense que les 3 scénario que j’ai évoqué son les plus plausible . et ceux qui découvrent des exploit les vendent ou les fructifient ils ne deface pas avec :) .

  14. Je pense également qu’il n’ont pas eu accès à ta boite, (les passionnés n’utilisent pas hotmail comme boite principale :D), par contre ce qui explique le refferer c’est peut être la modification de l’adresse mail de l’admin, puis la demande d’un nouveau mot de passe, d’où l’attaquant a peut être suivis le lien pour le réinitialiser!

  15. C’est exactement ce qui est ecrit plus haut dans l article :
    1– Reset du mot de passe
    2- Récupération du lien dans le mail modifié sur une boite Msn ou hotmail
    3- Activation du nouveau mot de passe
    3- Authentification sur la partie Administration

  16. fait une petit analyze sur les log apache (acces.log) si ta trouver des liens pour restaurer pass Alors ca vien d’une attack local (des bypass sur Serveur )

    Sinon ca doit etre Le sniff sur Ton Reseau lan et c’est facile de Capturer les acess de adminpanel wp-admin
    sur lan ….. :d

    Solutions :

    Crypté les Fichiers Config :)
    bien choisir hébergeur
    Éviter Arp spoofing de les Noms domaines connu

  17. Et si seulement Kevin Mitnick connaissait ces conseils il ne se serai pas fai piraté 5 fois .

  18. pour Kevin Mitnick il fait piraté que dans cette 8 derniers années
    donc c bien clair que après quelle a arrêter son trajet de Hacking :d

  19. Il n a pas arrêter le hacking et il se fait piraté parce-qu’il a un site tout simplement :d
    Pour les logs appach : c sur IIS comme j ai ecris dans l article :

    surement tous les serveurs IIS d’Heberjahiz si ils ont la même config

     » et j’ai deja fais l analyse et publier les résultats sur ce même article :

    « En écartant le 2em scénario, le 3em scénario se confirme la seul explication est que le ou les attaquants ont pue modifier l’email directement dans la base de donnée pour ensuite récupérer le mot de passe sur l’adresse mail qu’ils ont insérer. »

  20. c est manifique

Laisser un Commentaire