{"id":2347,"date":"2011-11-27T17:36:16","date_gmt":"2011-11-27T15:36:16","guid":{"rendered":"http:\/\/www.rienadire.fr\/wordpress\/?p=2347"},"modified":"2011-11-27T17:36:16","modified_gmt":"2011-11-27T15:36:16","slug":"i-hate-script-kiddies","status":"publish","type":"post","link":"https:\/\/www.rienadire.fr\/wordpress\/2011\/11\/27\/i-hate-script-kiddies\/","title":{"rendered":"I hate script kiddies"},"content":{"rendered":"

\"\"<\/a>Le week-end dernier, j’ai eu la tr\u00e8s mauvaise surprise de me rendre compte que mon site s’\u00e9tait fait pirat\u00e9. Une alerte s’affichait indiquant que le site n’\u00e9tait pas s\u00fbr et qu’il contenait un code\u00a0malicieux. Pass\u00e9 le premier moment de panique (mon site est quand m\u00eame pas mal en bordel avec des pages cod\u00e9es par moi, des CMS externes, et toutes sortent de dossiers, donc difficile de cerner le probl\u00e8me rapidement) j’ai commenc\u00e9 mes investigations. Je me suis ainsi rendu compte que certains de mes fichiers .htaccess contenaient (bien planqu\u00e9 en fin de fichier) un gentil code type :<\/p>\n

\n

ErrorDocument 404 http:\/\/statsetting.in\/acrus\/index.php<\/p>\n<\/blockquote>\n

Ou encore :<\/p>\n

\n

RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|…<\/p>\n<\/blockquote>\n

Ce code se tapait l’incruste dans mes .htaccess sans mon autorisation et il avait la sale manie de r\u00e9-\u00e9crire les url depuis les moteurs de recherche emp\u00eachant les gens de tomber sur le site en les redirigeant vers des pages d’erreur. J’avoue avoir trouv\u00e9 \u00e7a un peu gonflant, pas mortellement grave et dangereux pour mes visiteurs mais assez chiant quand m\u00eame.<\/p>\n

J’ai nettoy\u00e9 les fichiers, demand\u00e9 une r\u00e9-\u00e9valuation de la dangerosit\u00e9 par google et l’alerte a \u00e9t\u00e9 lev\u00e9e. Malheureusement je me suis rendu compte que la semaine suivante les visites sur mon site avaient tr\u00e8s largement diminu\u00e9es pour se limiter \u00e0 la portion congrue des entr\u00e9es directes.\u00a0\u00c7a\u00a0m’a mis la puce \u00e0 l’oreille. J’ai pris le temps ce week-end de pousser un peu plus\u00a0loin\u00a0mon\u00a0investigations et je me suis rendu compte que mes fichiers .htaccess \u00e9taient toujours infect\u00e9es (en m\u00eame temps je n’avais pas eu le temps de rechercher la faille de s\u00e9curit\u00e9 donc il fallait s’y attendre).<\/p>\n

En fait, il s’agit d’une faille majeure de Zenphoto d\u00e9couverte le 11 novembre et tr\u00e8s largement exploit\u00e9e depuis. Il faut donc mettre en oeuvre rapidement les correctifs – mise \u00e0 jour de Zenphoto, suppression du fichier incrimin\u00e9 qui permet aux script kiddies de modifier les fichiers sur le serveur :<\/p>\n

\n

zp-core\/zp-extensions\/tiny_mce\/plugins\/ajaxfilemanager<\/p>\n<\/blockquote>\n

Il y a plus de d\u00e9tail sur\u00a0http:\/\/www.zenphoto.org\/news\/security-alert-part-2<\/a>.<\/p>\n

Toujours est-il qu’avant de me rendre compte que mon probl\u00e8me venait de l\u00e0, j’ai flipp\u00e9 et donc, fait quelques v\u00e9rifications de base :<\/p>\n