{"id":4527,"date":"2024-07-29T09:52:44","date_gmt":"2024-07-29T07:52:44","guid":{"rendered":"https:\/\/www.lrob.fr\/?p=4527"},"modified":"2024-07-29T09:52:44","modified_gmt":"2024-07-29T07:52:44","slug":"des-clients-o2switch-cibles-par-un-hack-wordpress-insidieux","status":"publish","type":"post","link":"https:\/\/portail.lrob.fr\/en\/news\/des-clients-o2switch-cibles-par-un-hack-wordpress-insidieux\/","title":{"rendered":"[R\u00e9solu] Des clients o2switch cibl\u00e9s par un hack WordPress insidieux – MAJ : L’h\u00e9bergeur traite cela de mani\u00e8re exemplaire"},"content":{"rendered":"

Identification & causes : tout ce qu’il faut savoir \ud83d\udc47<\/p>\n\n\n\n

La semaine derni\u00e8re, je r\u00e9v\u00e9lais sur LinkedIn un piratage \u00e0 priori r\u00e9pandu<\/a> chez les possesseurs de sites WordPress h\u00e9berg\u00e9s chez o2switch. En qualit\u00e9 d’expert s\u00e9curit\u00e9 WordPress et gr\u00e2ce \u00e0 une investigation aupr\u00e8s de quelques confr\u00e8res touch\u00e9s et non touch\u00e9s, nous avons pu en apprendre davantage<\/a>.<\/p>\n\n\n\n

\n

MAJ 31\/07\/2024 – En r\u00e9sum\u00e9 <\/h2>\n\n\n\n

Selon une source en interne, l’h\u00e9bergeur ne serait vraiment pas en cause. L’hypoth\u00e8se d’un entretien insuffisant des sites pirat\u00e9s resterait ainsi privil\u00e9gi\u00e9e. Toujours selon cette source interne, les moyens mis en place par l’h\u00e9bergeur pour d\u00e9terminer l’origine pr\u00e9cise de ce souci sont remarquables (quelques exemples m’ont \u00e9t\u00e9 donn\u00e9s, j’approuve la strat\u00e9gie). Enfin, m\u00eame si le nombre de sites impact\u00e9s peut sembler \u00e9lev\u00e9, il faut mettre cela en perspective avec le parc important d’o2switch : l’impact r\u00e9el resterait tr\u00e8s limit\u00e9 en proportion et la vaste majorit\u00e9 des clients ne devrait pas \u00eatre impact\u00e9e par ce souci sp\u00e9cifique.<\/p>\n\n\n\n

De plus, le soir du 30\/07\/2024, o2switch a fait un geste remarquable et tr\u00e8s rare dans le monde des gros h\u00e9bergeurs, en nettoyant le hack sur les sites impact\u00e9s. Une r\u00e9action courageuse qui m’a surpris de la part d’un h\u00e9bergeur. En effet, les plus gros h\u00e9bergeurs ont plut\u00f4t tendance \u00e0 avoir l’habitude inverse, c’est \u00e0 dire de laisser les clients se d\u00e9brouiller lorsque le souci vient des sites finaux en eux-m\u00eame. L’investissement de l’h\u00e9bergeur est r\u00e9el ici et suscite mon plus grand respect.<\/p>\n\n\n\n

On rappelle qu’en s\u00e9curit\u00e9, le plus important est la pr\u00e9vention : faites la maintenance de votre site avec les mises \u00e0 jour automatiques, de bonnes sauvegardes et n’oubliez pas de d’utiliser les derni\u00e8res versions de PHP compatibles. Si besoin d’aide pour cela, c’est ma sp\u00e9cialit\u00e9 \ud83d\ude09<\/p>\n<\/div>\n\n\n\n

\ud83d\udcc4 Mode op\u00e9ratoire du hack<\/h2>\n\n\n\n

Le hack redirige les utilisateurs mobile vers des sites frauduleux, notamment en rapport avec la guerre Ukraine\/Russie via un URL shortener h\u00e9berg\u00e9 aux Emirats Arabes Unis.<\/p>\n\n\n\n

Techniquement il consiste en une injection de code JavaScript obfusqu\u00e9 dans tous les posts WordPress du site. Il est donc charg\u00e9 dans les pages et articles et parfois dans d’autres plugins comme les plugins de cookies, les plugins d’avis utilisateurs, etc.<\/p>\n\n\n\n

Voici un aper\u00e7u du code pirate apr\u00e8s d\u00e9-obfuscation, qui permet m\u00eame sans parler ce langage de comprendre que l’action a lieu lors du clic et qu’une URL al\u00e9atoire est s\u00e9lectionn\u00e9e en fonction du \u00ab\u00a0UserAgent\u00a0\u00bb, c’est \u00e0 dire du navigateur utilis\u00e9 :<\/p>\n\n\n\n

\"\"\n\t\t\t\n\t\t\t\t\n\t\t\t<\/svg>\n\t\t<\/button>
Aper\u00e7u du code pirate apr\u00e8s d\u00e9-obfuscation<\/figcaption><\/figure>\n\n\n\n
\n

Info additionnelle 31\/07\/2024<\/em><\/p>\n\n\n\n

La requ\u00eate effectuant le hack pourrait \u00eatre une simple requ\u00eate POST sur le fichier index.php du site, comme un log le sugg\u00e8re, qui semble correspondre \u00e0 un hack effectif depuis une IP am\u00e9ricaine (IP et site masqu\u00e9s) :<\/p>\n\n\n\n

Jul-2024:213287:199.195.252.[HIDDEN] - - [27\/Jul\/2024:20:10:59 +0200] \"POST \/index.php?s=captcha HTTP\/1.1\" 200 102292 \"https:\/\/www.[HIDDEN].fr\/index.php?s=captcha\" \"Mozilla\/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident\/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; MS-RTC LM 8; InfoPath.3; .NET4.0C; .NET4.0E) chromeframe\/8.0.552.224\"<\/code><\/pre>\n\n\n\n
On voit ici une requ\u00eate de 102292 bytes faite sur l’index, ce qui est 100x plus \u00e9lev\u00e9 par rapport aux requ\u00eates habituelles de l’ordre de 1000 bytes. D’autant que ce site n’a pas de Captcha… Ce qui est troublant est que la requ\u00eate r\u00e9sulte en un code 200, ce qui signifie que la requ\u00eate est accept\u00e9e, trait\u00e9e sans erreur, alors que la visite de cette URL devrait plut\u00f4t donner une erreur 404 (Not Found).<\/p>\n<\/div>\n\n\n\n
\ud83d\udd0d Identification<\/h2>\n\n\n\n