Attaques sur Dotclear
By glazou on Monday 5 March 2012, 09:35 - Glazblog - Permalink
Il y a en ce moment une vague d'attaques sur Dotclear, je viens d'en faire les frais :
- le malware est inséré en première ligne des fichiers PHP
- il insère une unique ligne qui décode une cochonnerie en base 64
- les pages vérolées montrent en vue source un script vers le domaine rr.nu ajouté en fin de fichier
- décodé, le malware c'est ça
- j'ai adapté l'excellent rrnuVaccine pour le mettre à jour ; vous pouvez le trouver ici ; il suffit de le mettre à la racine de votre site Web par exemple sous le nom
rrnuVaccine.phpet de l'appeler dans votre navigateur, il vous délivrera un rapport complet d'action, très rapidement, très efficacement
Bonne chance à tous.
Comments
Salut Daniel,
Une idée de point d'entrée ? Et quelle est ta version actuelle de DC ?
J'avais signalé l'anomalie [https://plus.google.com/117109649550774215823/posts/doKai3ZC3Kp] le 1er mars, mais sur Google+, alors forcément…
C'est une idée, où encore une fois une faille qui profite des droits d'accès largement trop important donnés à Apache ?
C'est quand même pas compliqué, apache à uniquement besoin de pouvoir lire les pages, c'est tout, rien d'autres, nada.
Ok, ça bloque la fonction de mise à jour auto de dotclear, mais, c'est, de toutes manières une aberration.
Donc, pour moi, le vrai bug est encore une fois entre la chaise et la clavier de l'admin qui a fait l'installation.
Bonjour, tu es en dotclear 2.4.2 ?
@Rémi, je ne nie pas que ce soir entre la chaise et le clavier le problème, mais là en l'occurrence, le vaccin il me sauve la vie, j'ai près d'une 40 aines de sites infectés...et j'aimerai surtout savoir le point d'entrée, parce que entre ma chaise et mon clavier, il y a moi, je suis peut-être pas très doué, mais je me soigne et quand je trouve un trou (ou qu'on me le trouve pour moi) j'essaie de boucher et d'éviter que ça se reproduise.
Là j'ai des sites en wordpress, des sites en joomla, d'autres en trucs manuels,donc à priori il utiliserait plutot une faille du serveur ou de PHP qu'une faille liee au soft installé.. ou alors il est très versatile, en tout cas c'est de la denrée cte saleté.
Et que donc, si qqun a une idée de quoi boucher pour éviter qu'il revienne, moi je suis preneur
Mais en termes de dégats, ça fait quoi ce truc ?
Ramer le blog, serveur de blogs ?
Un truc sur les machines des lecteurs ?
Envoyer des infos prises des serveurs ou machines utilisateurs quelque part ?
Se propager ? (comment ?)
Autre ?
Note that WebSense now blocks all Dotclear blogs, including this one (as well as the purchase page for the BlueGriffon manual...)
I recommend upgrading to Dotclear 2.4.2 ASAP
rrnuVaccine.php is reactive, not preventative.
Ou ça permet de modifier le contenu des pages ?
Je pense qu'il est important d'insister sur le fait que cette vulnérabilité (révélé publiquement le 29 Février) a (a priori) été corrigée dans la version 2.4.2 (dès le 11 Février).
Donc n'oubliez pas de mettre à jour votre dotclear après (ou avant) le nettoyage... et rappelez-vous que les mises à jour de sécurité doivent toujours être appliquée au plus vite!
1.2 est il vulnérable?
Une petite note au passage...
Dans la foulée de la saleté ci dessus, j'ai trouvé une backdoor installée par le hacker
Le nom du fichier varie, et celui-ci se retrouve enterré dans l'arbo des sites, à divers endroits.
Une bonne façon de le repérer consiste à regarder la liste affichée par rrnuVacinne après son exécution, les fichiers notés "[free]" sont à priori les suspects, dans la mesure où la saleté infecte normalement tous les fichiers.php
au début de ce ficher on trouve systématiquement :
$_8b7b="\x63\x72\x65\x61\x74\x65\x5f\x66\x75\x6e\x63\x74\x69\x6f\x6e";
(a noter le nom de la variable php peut changer, mais pas la chaine de caractère)
Comme j'ai nettoyé une quarantaine de sites, je l'ai retrouvé un peu partout
avec des noms du genre "auroorawhipple.php", "utf8pida.php".
Chacun des ces fichiers était noté [free] par rrnuVaccine, et contenait la backdoor.
et il y en avait souvent deux, trois voire davantage cachés souvent très loin dans l'arbo des sites, chaque fois avec un nom différent (je n'en ai pas trouvé deux pareils)
Donc, en plus de passer le vaccin, il convient d'examiner ces fichiers restés vierges d'infection, selon le rapport, et de les virer. (gaffe quand même a ne pas virer un fichier parfaitement légitime :))
Si vous avez déjà passé le vaccin sans faire ça,
il y a moyen de les trouver en ouvrant un shell sur le site
et avec un
grep -r '\x63\x72\x65\x61\x74\x65\x5f\x66′
(pas être pressé si c'est un gros site.... lancer la commande a la racine du site infecté et partir déjeuner
Plus d'infos là sur ce que fait la backdoor en question (en résumé, tout et elle apporte le café en prime) :
blog.sucuri.net/2012/03/dangerous-backdoors-utf8gat.html