Linux Quimper

Blog attaqué

(Fanch) #1

Le site a été piraté, un message “Hacked By Mr.H4rD3n” apparaissait sur l’index du site.

Les fichiers incriminés ont été identifiés et remis dans leur état d’origine. je pense que la cause est la version trop ancienne de wordpress.

Les mises à jour étaient difficilement faisables jusqu’à présent à cause de problèmes de droits sur notre hébergement. C’est chose corrigée. (A condition de suivre la recommandation suivante)

A tous ceux qui utilisent l’upload de fichiers sur l’hébergement, veuillez à ce que vos fichiers soient writable pour le groupe. Comme nous n’avons même pas la place pour y mettre d’image pour notre site, je pense qu’il n’y a pas d’upload :slight_smile:

Merci à Steph et traaf de nous avoir signalé l’attaque du site rapidement.

Fichiers en question :
index.php
signal.php
wp-content/themes/arclite/index.php
Change: 2012-05-12 12:43:14.637168892 +0000

(Fanch) #2

Log de l’ip supectée : http://paste.qth.fr/index.php/view/5421758

Après quelques recherche, il a réussi a être identifié sur l’admin de wordpress du premier coup avec le login admin.
Je ne sais pas comment.

(piero) #3

chapeau Fanch

quant à l’IP en question… whois et traceroute la localise au Maroc, derrière un proxy italo-allemand (tinet.net et ecotel.net)…

[code]105.137.21.135 is from Morocco(MA) in region Northern Africa

TraceRoute to 105.137.21.135

Hop (ms) (ms) (ms) IP Address Host name
1 1 0 0 8.9.232.73 xe-5-3-0.edge3.dallas1.level3.net
2 0 2 1 4.69.145.141 ae-3-80.edge4.dallas3.level3.net
3 3 3 3 77.67.71.221 xe-8-1-2.dal33.ip4.tinet.net
4 141 141 141 89.149.182.234 xe-1-0-0.mrs11.ip4.tinet.net
5 153 154 155 77.67.74.34 maroc-telecom-gw.ip4.tinet.net
6 Timed out 152 152 81.192.222.15 adsl-15-222-192-81.adsl2.iam.net.ma
7 153 153 153 81.192.3.194 ll81-2-194-3-192-81.ll81-2.iam.net.ma
8 Timed out Timed out Timed out -
9 Timed out Timed out Timed out -
10 Timed out Timed out Timed out -
11 Timed out Timed out Timed out -
Trace aborted.[/code]
Bref, je crois que cela ne veux rien dire.