Eh oui, c’est arrivé… Je me suis fait « hacker ». Sans doute par un adolescent boutonneux jouant avec des scripts qu’on trouve ici et là pour attaquer les vulnérabilités des sites et CMS. Et WordPress n’en manque pas ! Beaucoup de temps perdu passé à éradiquer l’attaque… Du coup, voici quelques éléments pour vous en sortir à votre tour car, n’en doutons pas, cela vous arrivera… Je parle de ceux qui ont l’imprudence de tenir un blog.

Des symptômes alarmants

Nos fidèles lecteurs m’ont signalé leur déconvenue quand, cliquant sur un lien Facebook (la page Carnets de Plongée sur laquelle je relaye les billets de ce blog), ils arrivaient non pas sur le blog mais sur un site polonais vendant du vent. Fâcheux… D’autant que les rétroliens d’autres sites marchaient très bien. Facebook étant un repaire à virus, je n’étais pas surpris outre mesure… Paf le chien !

Quels risques ?

Pour les lecteurs, sans doute aucun. Sauf à cliquer sur les liens du site pirate, auquel cas les utilisateurs Windaube récupèreront un nouveau virus (en fait un « malware ») à ajouter à leur nombreuse collection. Si, si. Faites un scan en ligne et vous verrez… Rappelons que sur Mac et Linux, les virus restent en général à la porte… Passons.

Pour l’administrateur, outre le fait que cela fait vraiment mauvais effet, le risque est de se retrouver banni de Google et/ou des navigateurs  avec une alerte du type « site contrefait, dangereux, etc ». Allez vous racheter une blancheur après çà… Dans la mesure ou le stupide CMS Facebook interdit de mettre le contenu hors ligne le temps de la réparation, il faut mieux agir vite. Ce qui vous prendra quand même quelques nuits…

L’infection en détail

Dans ce cas précis, l’infection est un script crypté qui s’installe dans tous les fichiers php du site (il y en a…). Dans WordPress lui même, les plugins, mais aussi la template et parfois dans la base de données ! C’est ainsi que j’ai découvert, dupliqué quelques milliers de fois, ce beau virus codé en base 64 :

(N’ayez pas peur, c’est une photo ! Ce n’est pas contagieux, c’est pour l’exemple. A moins que la photo ne cache un contenu stéganographique, ce qui est une autre intéressante histoire. Mais je vous jure que ce n’est pas le cas ! :lol:)

Mais le danger est là : ces quelques lignes suffisent en effet à mettre un site par terre… J’explique plus bas comment traduire ce charabia et découvrir qui se cache derrière. En l’occurrence, grâce à l’IP et quelques ping’s, je suis remonté jusqu’à l’envoyeur… Nostrovia, petit polonais !

Les coupables

Évidemment tous ces plugins, ces thèmes gratuits qu’on trouve partout, c’est tentant. Quelle générosité ! Mais les installer sans vérifier les codes sources revient à fréquenter certains établissements spécialisés sans imperméable… Beaucoup de ces graticiels sont truffés de liens douteux quand il ne s’agit pas carrément de virus installés à demeure… C’est ainsi. Il se trouve que les redirections de Facebook sont particulièrement aveugles dans ce domaine et favorisent les attaques.

Désinfectons !

Je me suis servi de WebsiteDefender qui m’a joyeusement annoncé 2838 fichiers infectés ! Car ré-installer WordPress et ses plugins ne sert à rien. Ce type de virus s’installe dans des dossiers invisibles au cœur de vos données et certains comportent même une requète pour recharger automatiquement le virus. Donc, vous réinstallez, nettoyez tout, vous croyez être tirés d’affaire et, le cœur tranquille, vous recommencez compulsivement à bloguer. Et dans la seconde qui suit, vous vendez de nouveau du Viagra…

Non, la procédure est un peu plus compliquée… On trouve sur le Rayon UX quelques conseils avisés. Également sur le site de Ralf Davidovitz, vous trouverez une procédure détaillée de désinfection et de protection de votre blog WordPress. Dont acte. Après quelques laborieux travaux, quelle fierté de voir ce tableau de bord avec ce beau « Zéro rouge ». C’est encore plus grisant que les résultats négatifs d’un test HIV !

Débusquer un footer malicieux

Autre problème récurrent : les thèmes infectés. Combien de fois avez vous dégotté une template au look mortel mais avec des liens en bas de page que vous voudriez bien supprimer ou modifier. Mais les outils d’édition de WordPress sont inopérant : le « footer » est illisible ! A la place, un charabia plus ou moins long qui ressemble furieusement au virus montré plus haut. Et c’est normal parce que c’en est un !

Il s’agit tout simplement d’une partie du code PHP qui a été crypté pour qu’il ne puisse être modifié par l’utilisateur. Pas très franc du collier ! Et si vous supprimez carrément le code, c’est la cata : plus de footer du tout ou une panne générale… La solution est de rechercher dans les lignes de code « base 64″ ou « eval », d’isoler le bloc « illisible » et décrypter le code.

L’un des avantages du Web 2.0 est qu’on trouve désormais tout les logiciels en ligne. Je veux dire des moulinettes à copier/coller sans qu’il y ait quoique ce soit à installer ni à apprendre… Ce qui est très gratifiant : on se prend pour un cador ! Par exemple, sur ce site, il est possible de décoder le fameux base 64 et voir ce qu’il a dans le ventre. Deux copiés/collés et c’est fait. Ne reste plus qu’à supprimer à la main ce qui vous gène et à recharger le fichier dans la template…

C’est ainsi que j’ai découvert dans MON footer (autant dire dans mes chaussures !) un lien caché vers le sulfureux site Megaupload, fermé depuis. Aaaaaah les « filius » ! Bonjour chez vous et… Bonne chasse !