Petite mésaventure…
Posté le 30 août 2010 dans Actu par Identitools.
Hier dans la nuit, le site a été hacké.
Tout a commencé ce matin, je consulte mes messages privés sur le forum de korben et un membre fort sympathique m’explique que mon site serait « vérolé » (des fichiers JS plutôt étranges qui infectent absolument TOUT les fichiers php, html et JS du site : autant dire que c’est une vraie galère quand on sait que wordpress est un CMS comptant un bon nombre de fichiers…)
Mieux encore, l’infection ne s’est pas limitée à wordpress, mais à TOUT les fichiers hébergés sur mon serveur (grosse galère). Au début j’ai commencé par rapatrier tout les fichiers du site vers mon PC personnel et supprimer les codes malicieux grace à wingrep. Puis encore grâce à la même personne qui m’a alerté du problème j’ai pu récupérer des sauvegardes OVH du FTP datant du 28 aout. Après quelques corrections de sécurité sur mon PC et wordpress, je viens de remettre le site en ligne dans l’état ou il était il y a deux jours.
Les faits :
- 9h22 : on me prévient que le site est infecté de JS malicieux.
- 10h00: j’ai corrigé la plupart des erreurs avec wingrep mais des erreurs persistent…
- 10h15 : je décide de supprimer tout les fichiers encore en ligne sur le site et de mettre une page temporaire relatant les faits.
- 12h03 : récupération de la sauvegarde du 28 aout terminée, je vérifie rapidement les fichiers et je m’absente pour la journée. Avant de partir je lance un scan antivirus.
- 18h20 : l’anti-virus à trouvé des virus infectant java (?) dans le cache du navigateur Opera, je change les mots de passe FTP, MySQL et de l’administration du site et j’envoie les fichiers du 28 aout sur le serveur.
- 19h30 : rédaction de ce billet
L’infection :
L’intégralité des fichiers du site étaient infectés par une balise <script> contenant un lien vers un fichier JS présent sur les sites youngarea.ru et nuttypiano.com (quelle originalité !), de plus dans les fichiers JS j’ai eu droit à du document.write à gogo bref, c’était noël…
La cause :
D’après plusieurs sites de qualité le problème vient d’un trojan qui récupère le fichier contenant les mots de passe du logiciel FTP filezilla, ce fichier n’étant pas crypté (!), ce fut un jeu d’enfant pour le malware d’infecter mon site…
La solution :
- Ne plus enregistrer ses mots de passe sous filezilla et/ou utiliser un autre client FTP qui crypte les mots de passe enregistrés. J’ai du mal à croire que j’ai pu utiliser filezilla autant de temps en faisant confiance à leur système de mot de passe pour finir par apprendre qu’il n’ont jamais pris la peine de les crypter !
- Changer son mot de passe FTP (régulièrement même tant qu’on y est…)
- Passer un bon grand coup d’anti-virus sur la machine qui héberge filezilla, c’est très important !
- Si des sauvegardes existent, republier, autrement tenter un grep sauvage…
- Si vous avez un accès total au serveur, bloquer toutes les IP à l’accès FTP sauf la votre.
Conclusion :
Même avec un wordpress supposé « sécurisé » avec tout un tas d’extensions/hacks supposés nous éviter ce genre de mésaventure, il ne faut JAMAIS se croire à l’abri…
Pour finir la suite de « rater son site web comme un pro » prévue pour le 1er septembre sera reportée (ou non) selon mon bon vouloir, j’ai besoin d’une pause et d’un bon cocktail bien frais
19 réponses à “Petite mésaventure…”
Tout est bien qui finit bien
Et ça prouve que même avec un site sécurisé, le problème peut venir de partout, même de filezila.
Si tu veux un autre client FTP, saches que Windows (Et GNU/Linux aussi) permet de te connecter directement à un serveur FTP, comme s’il s’agissait d’un dossier local : dans le poste de travail : cliquer sur « connecter un lecteur réseau » puis, y’a un lien « se connecter à un répertoire distant » (dsl, j’ai traduit de Windows en anglais).
Ensuite, laissez vous guider^^. Je ne sais pas si les mots de passes sont chiffrés, mais au moins c’est plus pratique que Filezila
Héhé j’ai trouvé mieux, je vais éviter d’aller trop dans les détails mais j’ai choisi pour nouveau mot de passe de l’allemand en phonétique… le tout entrecoupé de chiffres, mot de passe que je n’enregistre nulle part. Imparable.
(maintenant faut le retenir…^^’)
😀
M’enfin, si Filezila ne chiffre rien du tout (ça me parait quand même très idiot de leurs part), un simple coup de wireshark et hop, mot de passe volé.
Perso, je fais des mots de passe en L33T SP3AK, que j’en n’enregistre nul part.
La création de mot de passe est en passe de devenir un art… 😀
Oui, je confirme bel et bien. Les mots de passe sous FileZilla ne sont pas chiffrés. Ils se trouvent par défaut dans un fichier XML situé à l’emplacement : C:\Documents and Settings\USERNAME\Application Data\FileZilla
Bon maintenant, même si les mots de passe étaient chiffrés, la clé de déchiffrage devrait bien être stockée quelque part. Donc, à partir du moment où elle est locale, elle est accessible. A moins d’un système à clé publique particulièrement robuste ? Je ne sais pas trop, je n’ai pas trop réfléchi à la question ^^’
Sinon, sachez aussi que dans FireFox et Thunderbird, les mots de passe sont chiffrés en… Base64. C’est pas beaucoup plus sécurisé, hélas !
C’est tout de même une journée de perdue !
C’est bizarre que beaucoup conseillent Filezilla comme client FTP pourtant si on cherche un peu on trouve les mots de passe en clair dans le fichier sitemanager.xml qui se trouve à cet endroit C:\Users\\AppData\Roaming\FileZilla.
Certains conseillent le client sFTP WinSCP…
Pour le moment par commodité je vais continuer à utiliser filezilla, mais sans jamais enregistrer mon mot de passe et en le modifiant régulièrement.
Au fait, le « temps perdu » entre 12h et 18h aujourd’hui (mon « absence ») correspond en partie au temps passé pour signer mon contrat d’embauche, finalement je ne l’ai pas totalement perdue cette journée. 😀
Hehe impec tout ça!
Et félicitation pour ton embauche!
J’utilise WinSCP de préférence quand je suis sous Windows, mais c’est vrai que je ne m’étais jamais posé la question de la sécurité des mots de passe. Je n’ai enregistré que le mot de passe de mon serveur local mais c’est vrai que j’ai un petit fichier crypté qui me sert d’aide mémoire avec certains mots de passe pas forcément facile à retenir, faut que je me penche là dessus.
Bientôt un sujet sur les mots de passe (la suite de celui sur comment cracker le mdp root linux) sur mon blog.
Embauché où ?
Rigolez pas… ^^’
Assistant d’éducation dans un lycée avec gestion du parc informatique + serveur Kwartz, évidemment le tout ne fonctionnant qu’une fois sur 10.
J’exagère mais au moins ce sera une bonne épreuve pour apprendre à gérer le stress 😀
L’avantage c’est qu’avec les vacances « scolaires » régulières j’aurai le temps de réaliser quelques commandes de sites.
Bien joué l’Ami et c’est toujours navrant de se faire attaquer sur son site :(. M’enfin le problème est résolu et ce en peu de temps ^_^. Félicitations pour ton embauche aussi et au plaisir ID ;).
Ah Kwartz, que de souvenirs (ah ben tiens dans quelques jours à la rentrée je vais renouer avec ce truc). Si tu peux mettre en place un proxy qui ne bloque pas le SMTP ni les ports Exchange et qui ne demande pas à Linux de faire un export, t’es mon dieu !
Oublie pas les grèves aussi 😉
Oh oui ! J’avais oublié ce fabuleux détail : Les grèves… <3
Hello,
Sans être méchant,
Enlever le Backlink d’un thème gratuit offert par Smashing Magazine pourrait à la longue de faire mal voir des pro du milieu 😉
A bientôt
Fabien du Blog Du Webdesign
Yep, c’est vrai qu’a la base ce thème c’est du temporaire, tu fait bien de me le rappeler j’ai du faire sauter le backlink quand j’ai traduit le thème… :/
Tu aurais évité tous ça si tu avais utilisé Linux pour les projets sérieux comme un site web
mais bien joué de ta part 😉
Linux ou pas j’ai besoin de photoshop pour bosser, même si j’ai passé deux ans avec gimp, ce logiciel ne me suffit pas.
Donc oui c’est vrai que je suis toujours plus attiré par le travail sous nux’ mais la dernière fois que j’ai émulé photoshop sous linux j’ai ragé un nombre incalculable de fois tellement le portage était buggué… :/
(sinon la solution de la machine virtuelle xp sous virtualbox j’ai déjà tenté aussi mais bon, niveau gaspillage de ressources ya pas mieux ^^’
Quel est le nom du trojan en question ?
C’est dingue quand même cette histoire de mot de passe pas crypté…
Simplement youngarea.ru et nuttypiano.com, je n’ai pas trouvé de nom en particulier. Et au moment de l’infection je n’ai pas pensé à faire connaissance mais à éliminer le code indésirable