Nouvelles attaques contre sites wordpress

De nombreux rapports, ont été publiés hier, au sujet de sites Wordpress qui auraient été compromis. Les rapports initiaux étaient limités aux hébergements Dreamhost, mais maintenant nous voyons la même tendance sur les blogs hébergés chez GoDaddy, Bluehost, Media Temple et d'autres endroits.


Donc, cela ne ressemble pas à quelque chose de spécifique à un hébergeur. Le seul point commun, c'est que tous sont sur des serveurs partagés.



Tous ces sites ont cette javascript ajouté à leurs pages:

http://www.indesignstudioinfo.com/ls.php

http://zettapetta.com/js.php



Ce javascript est issu d'une longue chaîne encodée base64 ajoutée au fichier footer.php (ou sur tous les fichiers PHP dans certains cas).



Plus d'informations sur le javascript en question

Vous pouvez obtenir plus d'informations sur cette chaîne codée ici (et le code final décodé):

http://sucuri.net/malware/entry/MW:MROBH:1



Une chose très intéressante est que le malware est également caché de Google. Cela empêche le site de mettre àjour sa black-liste, ce qui rend plus difficile pour le propriétaire de se faire un avis sur la question.



Quelques forums sur le sujet :

http://wordpress.org/support/topic/396524

http://www.webhostingtalk.com/showthread.php?t=946748

http://collabtive.o-dyn.de/forum/viewtopic.php?f=11&p=7533



Comment ont-ils être piratés?

Aucune idée encore ... Je ne peux que me limiter à quelques hypothèses:

- Vol de mot de passe FTP / mot de passe: WP

- Bug sur Wordpress

- Bug sur certains plugin Wordpress

- Attaque par bruteforce (mots de passe)

 

 

Relativisons ...

Notez que nous ne pouvons pas blâmer Wordpress ici. Je suppose que si le problème était sur Wordpress lui-même, le nombre de sites infectés serait beaucoup beaucoup plus important. Peut-être qu'un plugin est vulnérable ou que quelqu'un a volé beaucoup de mots de passe. En outre, tous les sites ont été piratés sur un système d'hébergement partagé.



Solution pour règler le problème :
http://blog.sucuri.net/2010/05/simple-cleanup-solution-for-latest.html


Support Wordpress sur le sujet:

http://www.wpsecuritylock.com/breaking-news-wordpress-hacked-with-zettapetta-on-dreamhost/



Source : Sucuri.net