worpress.net / wordpress-update.com : Piratage WordPress

Tombé aujourd’hui sur une campagne d’extension malicieuse visant WordPress.
Je n’ai pas fait de capture d’écran du panneau des extensions, mais celle-ci se nomme « Docs » et à pour origine wordpress.com
Ici le but est de faire croire que l’extension est légitime et appartient à WordPress.

Celle-ci se présente comme cela (notez le http://wordpress.com) : http://pjjoint.malekal.com/files.php?read=20151007_e6f14n15j13x8

update.worpress.net_SEO_poisonning

Décodé on obtient : http://pjjoint.malekal.com/files.php?read=20151007_g8q14p11m14v6

Ce dernier fait une requête sur wordpress-update.com pour récupérer du code puis écrire un fichier .dat qui sera stocké dans le dossier cache de l’application.update.worpress.net_SEO_poisonning_9

 

Les DNS du domaine pointent en Russie et hosté en Allemagne (136.243.243.205).

Domain Name: WORDPRESS-UPDATE.COM
Registrar: NAMESILO, LLC
Sponsoring Registrar IANA ID: 1479
Whois Server: whois.namesilo.com
Referral URL: http://www.namesilo.com
Name Server: NS1.ADMINVPS.RU
Name Server: NS2.ADMINVPS.RU
Status: clientDeleteProhibited http://www.icann.org/epp#clientDeleteProhibited
Status: clientRenewProhibited http://www.icann.org/epp#clientRenewProhibited
Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Status: clientUpdateProhibited http://www.icann.org/epp#clientUpdateProhibited
Updated Date: 24-jun-2015
Creation Date: 18-jun-2015
Expiration Date: 18-jun-2016

Ce fichier .dat permet de réécrire les pages et notamment ajouter du code JavaScript de update.worpress.net (notez qu’il manque le d) à la fin du header.
On retrouve le soucis de se faire passer pour WordPress.
Même IP (136.243.243.205), même Whois :

Domain Name: WORPRESS.NET
Registrar: NAMESILO, LLC
Sponsoring Registrar IANA ID: 1479
Whois Server: whois.namesilo.com
Referral URL: http://www.namesilo.com
Name Server: NS1.ADMINVPS.RU
Name Server: NS2.ADMINVPS.NET
Status: clientDeleteProhibited http://www.icann.org/epp#clientDeleteProhibited
Status: clientRenewProhibited http://www.icann.org/epp#clientRenewProhibited
Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Status: clientUpdateProhibited http://www.icann.org/epp#clientUpdateProhibited
Updated Date: 06-jun-2015
Creation Date: 30-mar-2015
Expiration Date: 30-mar-2016

update.worpress.net_SEO_poisonning_2

Le code a pour but de charger des publicités.

update.worpress.net_SEO_poisonning_6

 

update.worpress.net_SEO_poisonning_5

Concrètement sur un site cela donne :

update.worpress.net_SEO_poisonning_10

update.worpress.net_SEO_poisonning_3

Le site consulté n’est pas chargé et une publicité remplace ce dernier – ici on est redirigé vers onedayeassay.com :

update.worpress.net_SEO_poisonning_4

Sur Google, on trouve 67 200 résultats pour ce domaine avec beaucoup de sites ayant l’erreur :

update.worpress.net_SEO_poisonning_7

 

On retrouve cette fausse extensions Docs :

update.worpress.net_SEO_poisonning_11

 

Une campagne assez large semble-t-il.

Je rappelle cette page pour sécuriser son WordPress et suivre les bonnes pratiques : Sécuriser WordPress

Et plus globalement, cette index qui regroupe tous les tutorials pour sécuriser son site WEB : Apache : sécuriser son site WEB

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 217 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *