Sujet008

Analyse de l’attaque Avril 2010 sur le site

Posté le 13 avr,2010 par l'administrateur du site Hamza.ma

Le site a été attaqué le vendredi 9 avril 2010

voici les résultats temporaires de l’analyse de l’attaque :
1 – L’attaquant a visité le site à 01 :36 :18 d’une adresse IP partagée algérienne

213.140.59.45 www.hamza.ma - [09/Apr/2010:01:36:18 +0200] "GET /animated_favicon1.gif HTTP/1.1" 200 9492 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; fr; rv:1.9.1.8) Gecko/20100202 Firefox/3.5.8"

2 - Il a commencé à scanner le site à 01 :36 :52

213.140.59.45 www.hamza.ma - [09/Apr/2010:03:36:52 +0200] "GET / HTTP/1.0" 200 39759 "http://www.hamza.ma/" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)"

3 - Et il a terminé à 01:57:24

213.140.59.45 www.hamza.ma - [09/Apr/2010:03:57:24 +0200] "GET /tag/infecte/ HTTP/1.0" 200 28473 "http://www.hamza.ma/" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)"

4- il tente d’accéder à la page d’authentification sans succès à 02:02:55 puisque j’ai changé la page d’authentification de mon générateur de blog open source wordpress (par default /wp-admin)

213.140.59.45 www.hamza.ma - [09/Apr/2010:04:02:55 +0200] "GET /wp-admin/ HTTP/1.1" 302 20 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; fr; rv:1.9.1.8) Gecko/20100202 Firefox/3.5.8"

5 – deux minutes plus tard, il accède bizarrement et directement à la vrai page d’authentification /***
Qui n’est renseignée que dans le fichier. /htaccess et sur la base de donnée.

6 – en une seule tentative, il rentre le mot de passe correcte qu’il a changé directement sur la base et accède à l’interface d’administration

213.140.59.45 www.hamza.ma - [09/Apr/2010:04:10:30 +0200] "GET /wp-admin/load-styles.php HTTP/1.1" 200 15126

7 – il accède à la page de thème pour injecter son script et d’effacer la page

213.140.59.45 www.hamza.ma - [09/Apr/2010:04:14:06 +0200] "GET /wp-admin/theme-editor.php?file=/themes/xx/index.php&theme=xx&dir=theme HTTP/1.1" 200 6257 "" "Mozilla/5.0 (Windows; U; Windows NT 6.1; fr; rv:1.9.1.8) Gecko/20100202 Firefox/3.5.8"

J’ai contacté mon hébergeur mais il ne fournit pas les logs de connexions à la base de données.
Mon hébergeur est vulnérable et je le sais, mais il est plus sur que beaucoup d’autres. Aussi, des rumeurs courts sur une vulnérabilité dans wordpress mais rien n’est encore vérifié.

Le blog est de retour avec un peu plus de protection avec une authentification OTP , mais sans tout les éléments en main, on ne peut définir les causes exactes de l’attaque , en attendant d’autres informations … .