BuddyPress France

Depuis quelques semaines, un script malicieux attaque de nombreux serveurs de manière systématique et répétée. Les installations joomla et wordpress y seraient particulièrement sensibles. Le gros des attaques a débuté en avril 2011, mais se répandrait déjà depuis octobre 2010.

Ce script, nommé airsck, arrive par une connexion  FTP à installer dans les fichiers  .php .html ou .htm une routine de connexion à toolbarqueries.google.com avec pour finalité d’augmenter le page rank de airschk.com. N’importawak et vain, con et inutile, mais bon…

Le code injecté ne fait rien de plus et serait en ce sens plutôt inoffensif. Ce qui est plus inquiétant, et donc potentiellement bien plus dangereux, c’est qu’il passe à travers les portes de serveurs à priori correctement défendus. Pour être encore plus clair, les fichiers chmodé en 644, comme ceux de WP à l’install, sont touchés.

Pour entrer sur le serveur, il utilise votre mot de passe FTP. Et comment il trouve votre mot de passe ? En cherchant sur votre OS ! Et comment ce fesse ce peut ? Avec un trojan, un cheval de troie communément nommé password sniffer. Et comment ce cheval est arrivé sur mon PC ? Je ne sais pas, mais moi je l’ai trouvé dans des fichiers de mise à jour de adobe flash player…. Et je n’utilise pas IExplore, donc oubliez les discussions stériles autour MS/MAC/Firefox et compagnie.
Cela dit, rien n’est encore définitivement diagnostiqué concernant le point d’entré de cette merde.

Si je relate ceci ici, c’est que j’en ai été victime sur un vieux site en joomla. En recherchant les causes, j’ai trouvé un peu de doc que je vous invite à lire en urgence.

http://frazierit.com/blog/?p=103&cpage=1

http://www.famousbloggers.net/cleaning-airschk.html

La majorité des fichiers touchés comportent dans leur nom les mots index, search,class, mais pas que.
Le code apparaît en clair sous forme de php ou html, mais aussi crypté sous forme de js selon la nature du fichier.

Il est soit en en-tête(php), soit à la fin(js) ou les positions de header ou de meta (html)

Le seul remède à ce jour consiste à :

- nettoyer un par un les  fichiers touchés (voir script proposé sur famousblogger)
- modifier impérativement votre mot de passe FTP et – si vous le pouvez- le mode de transaction de vos fichiers de FTP à SFTP
- chmoder tous les fichiers non executable, comme les index.xxx, en lecture seule. (444 par ex)

Pour savoir si vous été infecté, ouvrez un des fichiers cité en exemple plus haut. Si vous trouvez le script, vous êtes bon pour retélécharger tout votre site avec une copie saine.

N’oubliez pas non plus de passer vos fichiers à l’anti-virus. Celui peut  ne rien trouver ou mentionner le malware html/iframe.zap1 ou js/iframe.psa22 ou autre…
Utilisez aussi un anti malware qui sera encore plus spécifique qu’un AV généraliste, comme Malwarebytes (mawarebytes.org) par ex.

Et si vous n’êtes pas mort après ce travail, faites un retour d’expérience ici, histoire de partager cela avec nous.