Discussion :

[Yanno]

Bonjour,

J'ai installé l'extension email-newsletter sur mon site basé sur WordPress.

Il semble que cette extension comporte une faille puisque depuis que celle-ci a été "découverte" sur mon site, mon serveur fait l'objet de requêtes HTTP incessantes.

Voici ci-dessous un exemple (réduit) de requêtes incessantes.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
 
54.203.195.251 - - [04/Dec/2014:18:20:27 +0100] "GET //wp-content/plugins/email-newsletter/gallery.php HTTP/1.1" 503 2416 "-" "-"
79.143.181.162 - - [04/Dec/2014:18:37:22 +0100] "POST //wp-content/plugins/email-newsletter/gallery.php HTTP/1.1" 503 2408 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.6)"
50.63.194.47 - - [04/Dec/2014:19:13:18 +0100] "POST //wp-content/plugins/email-newsletter/gallery.php HTTP/1.1" 503 2433 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.6)"
184.168.46.11 - - [04/Dec/2014:19:15:26 +0100] "POST //wp-content/plugins/email-newsletter/gallery.php HTTP/1.1" 503 2408 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.6)"
50.63.196.24 - - [04/Dec/2014:19:17:09 +0100] "POST //wp-content/plugins/email-newsletter/gallery.php HTTP/1.1" 503 2433 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.6)"
50.63.197.94 - - [04/Dec/2014:19:18:16 +0100] "POST //wp-content/plugins/email-newsletter/gallery.php HTTP/1.1" 503 2408 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.6)"
184.168.46.208 - - [04/Dec/2014:19:18:49 +0100] "POST //wp-content/plugins/email-newsletter/gallery.php HTTP/1.1" 503 2408 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.6)"
97.74.24.198 - - [04/Dec/2014:19:30:20 +0100] "POST //wp-content/plugins/email-newsletter/gallery.php HTTP/1.1" 503 2433 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.6)"
184.168.46.168 - - [04/Dec/2014:19:30:32 +0100] "POST //wp-content/plugins/email-newsletter/gallery.php HTTP/1.1" 503 2433 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.6)"
50.63.196.157 - - [04/Dec/2014:19:32:38 +0100] "POST //wp-content/plugins/email-newsletter/gallery.php HTTP/1.1" 503 2433 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.6)"
66.102.143.138 - - [04/Dec/2014:19:42:33 +0100] "POST //wp-content/plugins/email-newsletter/gallery.php HTTP/1.1" 503 2408 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.6)"
184.168.27.143 - - [04/Dec/2014:19:42:40 +0100] "POST //wp-content/plugins/email-newsletter/gallery.php HTTP/1.1" 503 2433 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.6)"
184.168.27.90 - - [04/Dec/2014:19:44:20 +0100] "POST //wp-content/plugins/email-newsletter/gallery.php HTTP/1.1" 503 2433 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.6)"
173.230.137.129 - - [04/Dec/2014:19:51:36 +0100] "POST //wp-content/plugins/email-newsletter/gallery.php HTTP/1.1" 503 2408 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.6)"
50.63.196.134 - - [04/Dec/2014:19:53:28 +0100] "POST //wp-content/plugins/email-newsletter/gallery.php HTTP/1.1" 503 2433 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.6)"
50.63.197.148 - - [04/Dec/2014:19:57:20 +0100] "POST //wp-content/plugins/email-newsletter/gallery.php HTTP/1.1" 503 2433 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.6)"
216.97.233.44 - - [04/Dec/2014:20:06:58 +0100] "POST //wp-content/plugins/email-newsletter/gallery.php HTTP/1.1" 503 2433 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.6)"
65.181.121.148 - - [04/Dec/2014:20:10:11 +0100] "POST //wp-content/plugins/email-newsletter/gallery.php HTTP/1.1" 503 2408 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.6)"
178.33.93.210 - - [04/Dec/2014:20:17:31 +0100] "POST //wp-content/plugins/email-newsletter/gallery.php HTTP/1.1" 503 2433 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.6)"
192.196.158.93 - - [04/Dec/2014:20:22:53 +0100] "POST //wp-content/plugins/email-newsletter/gallery.php HTTP/1.1" 503 2433 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.6)"

Vous pouvez constater que les adresses IP sont toutes différentes, ou presque, notamment depuis que j'ai supprimé les fichiers de l'extension.
D'où l'erreur 503 en réponse d'ailleurs.

La signature du navigateur serait chinoise, même si je sais que cela ne donne en réalité aucun indice sérieux sur l'identité du pirate.

Il semblerait que les adresses IP correspondent elles-mêmes à des machines de relais.

En effet, j'ai banni une bonne vingtaine d'adresses IP avant de poster sur ce forum. (commande ip ro add blackhole IP)

Quelqu'un a-t-il déjà rencontré ce phénomène ?

Merci d'avance

Yanno

[Invité]

Oui ça m'arrive fréquemment. Je pense que c'est inévitable avec tous ces crawlers, scanners de failles web, spiders suspects, aspirateurs, scripts cURL / parsing... enfin peu importe le nom, à la base ils fonctionnent tous de la même manière (requêtes HTTP automatiques).

Je pense que le plus important est de bien sécuriser ton application web.
Si une faille a été découverte dans ton extension, il faut la virer.

La signature du navigateur serait chinoise, même si je sais que cela ne donne en réalité aucun indice sérieux sur l'identité du pirate.

En réalité le User-Agent peut être défini dans la requête HTTP. Donc c'est modifiable. Enfin je crois !

A mon avis, le programme malveillant utilise des machines clientes vulnérables pour effectuer les requêtes HTTP vers la machine qui héberge ton application web mais peut être que je me trompe. Les IP viennent des USA, France... il y en même une affectée par un FAI connu en France.

[Yanno]

Merci pour ta réponse.

Oui effectivement, il semble que ce soit des machines vulnérables au vu du nombre quasiment infini d'adresses IP différentes.
Par ailleurs, il me semble qu'aucune ne figure sur des listes de proxies publics connus.

J'ai viré l'extension pour l'instant...

[miss_socrates]

Je crois que le mieux est de supprimer WP, le thème et les fichiers et d'effacer la base de données et de tout réinstaller y compris wordpress. Bonne chance.