Attaques RFI (Remote File Include) sur WordPress

Une page concernant les attaques RFI sur WordPress.
Pour rappel, RFI signifie Remote File Include – cela permet l’inclusion et l’interprétation de code d’un serveur WEB à partir d’une URL distance.
Les RFI tirent donc parti d’une vulnérabilité présente afin en général de prendre le contrôle d’un serveur WEB.

Ci-dessous une tentative de RFI, sur une vulnérabilité timthumb assez connue sur WordPress.
(Pour les curieux, c’est un extrait de log Modsecurity)

php_RFI_exemple

Ce sont des scans automatiques afin d’hacker de manière automatique des sites WordPress.
Sur mon site, il y a environ une centaine de tentatives par jour.

Au final, on a une trentaines d’URLs qui reviennent, on obtient donc :
(oui y a des Faux-Positifs).

php_RFI_exemple2

Les scripts sont en général encodés avec un eval pour être exécutés par le serveur WEB :
(ici l’éval est remplacé par un echo pour récupérer le code).php_RFI_eval

php_RFI_eval2
Dans ce qui est récolté, quelques PHP Shell qui permettent le contrôle du serveur WEB :
php_Shell
php_Shell2
Simple Shell :
php_Shell3

Les détections sont relativements bonnes :
php_RFI_detection

php_RFI_detection2

php_RFI_detection3

On peux aussi avoir droit à des formulaires d’upload.
Certains envoient un mail au pirate afin d’informer ce dernier que le hack a réussi avec la localisation du formulaire.
Le pirate peut ensuite uploader l’élément de son choix (malwares, PHP Shell, IRC Shell bot etc).

php_RFI_uploadform_bajak php_RFI_uploadform_bajak2

Ci-dessous, un formulaire d’upload « empixcrew » plus simple
php_RFI_uploadform_empixcrew

Parfois on a des choses plus complexes : http://pjjoint.malekal.com/files.php?read=20131003_c10o12i7q9q8
Ce script PHP va télécharger :

  • Un eggdrop (comprenez un client IRC sophistiqués et qui peux recevoir des ordres)
  • Un programme de scan RFI – la machine va donc à son tour tenter d’hacker d’autres sites.
  • Un programme pour lancer des scans de ports
  • Un programme qui permet d’utiliser le serveur comme un proxy

Voici donc quelques exemples de ce que peuvent donner des vulnérabilités présentes sur votre WordPress (ou autre CMS).
C’est donc pour cela qu’il faut bien maintenir son CMS et plugins à jour, les scans de hacks sont constants.
Votre serveur finira pas être piraté à coups sûr, si ce n’est pas pour simplement infecter les visiteurs : Piratage/Hack site web et Javascript malicieux

Pour rappel, voici une page afin de sécuriser son WordPress : http://www.malekal.com/2011/09/03/securiser-wordpress/

EDIT 14 Octobre

Autre exemple, aujourd’hui dans une de mes alertes RFI on trouvait ceci :

RFI_IRC_PHP
Une IRC PHP Backdoor : http://malwaredb.malekal.com/index.php?hash=5ef575225a16e9dae54c3752145e5c3e
RFI_IRC_PHP2
La détection est moyenne :
RFI_IRC_PHP3
Le channel utilisé par les pirates – ces derniers ont un bot qui recherchent les sites à partir de mots clefs sur les moteurs de recherche :
RFI_IRC_PHP4

213.147.96.10 étant bien l’IP dont j’ai reçu l’attaque (cf mail plus haut) :

RFI_IRC_PHP7

 

Les PHP Shell uploadés sur les sites hackés affichés sur le channel – la backdoor IRC sera ensuite installée sur le serveur afin de le contrôler :
RFI_IRC_PHP5

RFI_IRC_PHP6

Sécuriser son site WEB

Vous pouvez aussi jeter un oeil à la page : [réseau] Sécuriser un serveur Apache/PHP/MySQL (LAMP) et l’index menant à différentes ressources pour sécuriser son site WEB

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 54 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *