PlopBlog hacké
Classé dans : Blog — Sky @ 14 h 48 minVous l’aurez peut-être remarqué, dans la nuit de jeudi à vendredi le blog a subit quelques retouches dans son design.
D’après les logs du serveur, le “pirate” a demandé à wordpress de générer un nouveau mot de passe au compte admin de PlopBlog. Or théoriquement cette demande aboutit à l’adresse fb_sky73@msn.com et je n’ai constaté aucun signe suspect sur ce mail dont le mot de passe n’est connu que de moi.
Toujours est-il que la demande de génération d’un nouveau mot de passe a aboutit, permettant ainsi au “pirate” de s’introduire sur le panel admin de PlopBlog avec les conséquences que l’on connait.
En résumé soit le pirate connaissait le mot de passe de mon compte mail, soit il a modifié le mail du compte admin par le biais d’une faille wordpress; wordpress que je pensais à jour.
Je remercie Fy de Weelya qui a eu la gentillesse de remettre en ordre le blog à 3 heure du matin. En définitive il n’aura été saccagé à peine plus d’une heure.
Les fichiers effacés ont majoritairement été restaurés, les billets n’ont semble-t-il pas été modifiés, mais si vous constatez des changements étranges (en plus des traditionnelles fautes d’orthographe 
) ou des liens morts sur d’anciens billets, merci de m’en informer.
Bien sur l’ensemble des mots de passe ont été changés et des mesures de sécurité ont été prises.
Se pose la question du mobile du pirate, est-ce la présence d’une faille qui l’a poussé à agir gratuitement ou est-ce une réaction au contenu de PlopBlog ?
Humm… Vu que le “hack” n’a durer qu’une heure (merci à Fy et Weela.fr), je pense que c’est un petit noob qui, se prenant pour un gros pirate, a du utiliser son petit programme de crackage de mot de passe msn et qui a du s’amuser un peu…
Si je peu te conseiller, prend toi une adresse un peu plus sérieuse pour stocker tes mots de passe sensible comme celui ci (comme gmail), car ce serais vraiment dommage de perdre plopblog :/
Commentaire par Chacalus — 16 novembre 2008 @ 15 h 32 min
C’est pas sérieux ce que tu dis…
un “programme de crackage de mot de passe msn” je te mets au défi d’en trouver un qui fonctionne réellement…
ensuite en terme de sécurisation des mots de passe Hotmail n’a rien à envier à Gmail…
C’est sur que la première chose à faire est de changer de mot de passe de messagerie.
Commentaire par kô — 16 novembre 2008 @ 18 h 17 min
“Se pose la question du mobile du pirate, est-ce la présence d’une faille qui l’a poussé à agir gratuitement ou est-ce une réaction au contenu de PlopBlog ?”
Tape “bibi-info” dans Google, et tu auras toi-même la réponse à ta question
PS : Il peut avoir écouté le port mail de ton serveur
Commentaire par Pierre-Yves — 16 novembre 2008 @ 19 h 42 min
ah ben merde alors… concernant les adresses mails des posteurs réguliers il y a eu accès ??
enfin content que tout soit rentré dans l ordre
Commentaire par Desnoss — 16 novembre 2008 @ 20 h 15 min
Il a utilisé une “SQL Truncation Vulnerability”, faille récente découverte dans WordPress.
Une vulnérabilité a été identifiée dans WordPress, elle pourrait être exploitée par des attaquants afin d’obtenir des informations sensibles. Ce problème résulte d’une erreur présente au niveau de la génération pseudo-aléatoire des mots de passe, ce qui pourrait permettre à un attaquant de déterminer le mot de passe administratif généré automatiquement.
Comme je le disais a Bastien je ne vois vraiment pas son intérêt dans le hacking de PlopBlog m’enfin, bref c’est réglé.
Commentaire par Fy- — 16 novembre 2008 @ 20 h 26 min
C’est le fameux haro du gauchisme qui tombe sur toi.
Commentaire par Jb — 16 novembre 2008 @ 22 h 45 min
Tiens, moi aussi j’ai eu mon WP hacké vendredi soir (cf http://www.woueb.net/2008/11/17/hack-blog-wordpress/), mais ils n’ont pas fait trop de dégats : ils ont été assez boulet pour ne pas retrouver l’adresse de la page qu’ils ont modifié…
Comme quoi ce sont surement des gamins qui ont trouvé un script !
Commentaire par Romain — 17 novembre 2008 @ 19 h 18 min
Content que tu sois de retour si vite… J’ai failli m’inquiéter… ^^
Commentaire par Oim64 — 18 novembre 2008 @ 0 h 12 min
Donc mon mail n’a pas été piraté, l’exploit http://www.milw0rm.com/exploits/6397 le prouve. Me voila un peu rassuré =)
Desnoss, je confirme, il a eu accès à vos mails, attention à toi =).
Romain, bonne idée ce tutoriel
.
Je retourne réviser :’(.
Commentaire par admin — 19 novembre 2008 @ 11 h 07 min
je pense que le mobile du pirate était un sony ericsson.
a+.
Commentaire par toma — 20 novembre 2008 @ 11 h 16 min
Oh mon dieu !!
Commentaire par admin — 23 novembre 2008 @ 13 h 16 min
Houlala ^^
Ca me rappelle ma jeunesse dis donc….
A mes débuts où je faisais de beaux déphacing de site allemand de commerce en ligne ( mettre les objets à la mauvaise place et changez les noms )
Ca me rajeunit pas
Ceci étant dit comme dit Fy c’est un bête exploit SQL injection pour WordPress comme nous l’avions eu pour IPB ou PHPBB à l’époque .
Même en étant à jour WordPress , t’as tjrs un battement de 2/3 hrs avant que la MAJ soit diffusé et fixé , ce qui donne tjrs un temps d’avance pour faire son oeuvre
Rien de bien méchant donc vu les changements , ça reste bon enfant et ça permet une nouvelle news ^^
Si vous avez besoin de conseils sur ce point c’est effectivement mon métier :p
Commentaire par Cairn — 23 novembre 2008 @ 23 h 21 min
[...] votre blog de ne pas se faire vulgairement poutrer par un zombie. C’est récemment arrivé au blog de Bastien et demandez-lui, ça fait mal Je vous souhaite une excellente lecture de cet article d’une [...]
Ping par Protéger votre WordPress du grand méchant loup | NightAngel.fr — 28 novembre 2008 @ 16 h 52 min
En fait c’est même pas la faute de wordpress, mais de l’hébergeur de bastien, c’est de l’hébergement mutualisé et un site se trouvant sur la même machine a été hacké, les fichiers étaient mal chmodés donc il a pu lire les fichiers de config et avoir les pass.
Technique relativement facile ^^
Commentaire par Fy- — 28 novembre 2008 @ 19 h 48 min
Fy > Ah oue tout de même :X , sont vraiment pas doués chez ton hébergeur …
Commentaire par Cairn — 1 décembre 2008 @ 3 h 55 min
hi admin
how are you , yes i’m bibi-info if you want how i can deface your blog contact me & if you want exemple i can give you exemple at your blog
like you want brother
hack it’s my life & security it’s my game admin
good luck ” algeria my home ” & …………..
see you later admin
Commentaire par bibi-info — 7 février 2009 @ 1 h 29 min
And now ?
good luck ” france my home ” & …………..
see you later noob
Commentaire par admin — 9 février 2009 @ 20 h 57 min
wald baygo
Commentaire par hicham — 14 mai 2009 @ 11 h 27 min