Depuis le début de ce mois de Septembre 2020, j’ai remarqué une recrudescence des attaques sur WordPress, notamment une nouvelle campagne de redirection utilisant un domaine spécifique : lowerbeforwarden.ml.
TL;DR - Comment réparer mon site et éviter les intrusions
Il semble de ce que j’ai pu observer que l’intrusion initiale soit automatisée, en revanche une fois des accès obtenus certains fichiers semblent être modifiés manuellement par les intrus pour garder un accès persistant.
Si votre site a subi une attaque il est indispensable de faire un scan rigoureux de ses fichiers (avec le plugin WordFence ou WPCerber par exemple) pour s’assurer de leur intégrité.
Attention notamment aux fichiers headers.php des thèmes dans lesquels j’ai pu retrouver du code malveillant, si c’est une option, réinstaller les fichiers de vos plugins et thèmes en cas du moindre doute.
Le plugin principalement (notamment responsable de plusieurs millions d’intrusions) ciblé par cette attaque est WP File Manager sur laquelle a été découverte une vulnérabilité dans le fichier */wp-file-manager/lib/php/connector.minimal.php. *Une fois que votre site est nettoyé (ou si il n’a pas subi d’intrusion) vous pouvez bloquer les robots cherchant à exploiter cette vulnérabilité en ajoutant ce fichier en liste d’exclusion sur le pare-feu du plugin de sécurité utilisé votre site (comme ceci pour WordFence par exemple) !
Si vous utilisez le plugin WP File Manager, il est impératif de le mettre à jour vers la version 6.9 supposée régler le problème ou à minima de supprimer le fichier exploitable dans votre arborescence .
Autre recommandation : afin de bloquer la majorité des robots qui scanneront votre site, vous pouvez déplacer votre page wp-login.php (par exemple avec ce plugin) et ajouter le fichier wp-login.php dans votre liste d’exclusion sur votre pare-feu !
Ce qu’on sait de l’attaque ?
Les attaques ont débuté peu après la découverte de la vulnérabilité dans le plugin WP File Manager permettant l’envoi de fichiers sur le serveur sans être authentifié, attention cependant, le bot tente d’utiliser plusieurs vulnérabilités en plus de celle-ci, il va falloir tenir vos plugins et WordPress Core à jour !
Les cibles de ces attaques sont reconnaissables grâce au domaine utilisé par les attaquants : lowerbeforwarden.ml.
Ce domaine a été acheté en Inde par une personne dont les informations sont disponibles dans la base de données WHOIS :
Informations disponibles sur https://whois.domaintools.com/lowerbeforwarden.ml
Il est relativement rare que les informations noms de domaines utilisés dans le cadre d’une attaque d’aussi grande envergure n’aient pas été anonymisées : on retrouve un nom, une adresse et un numéro de téléphone. Attention cependant, il est possible que ce domaine ait été compromis et utilisé frauduleusement, le propriétaire de ce domaine n’est peut-être pas lié aux intrusions pour lesquelles il est utilisé !
Le domaine apexscore.com redirige vers un cPanel sur lequel aucun site n’est installé.
Il existe plusieurs sous-domaines liés à lowerbeforwarden.com qui sont (pour ceux que j’ai rencontrés) utilisés pour héberger du code contenant des redirections :
www.lowerbeforwarden.ml
develop.lowerbeforwarden.ml
emp.lowerbeforwarden.ml
location.lowerbeforwarden.ml
www.location.lowerbeforwarden.ml
mltemp.lowerbeforwarden.ml
scripts.lowerbeforwarden.ml
www.scripts.lowerbeforwarden.ml
source.lowerbeforwarden.ml
www.source.lowerbeforwarden.ml
surce.lowerbeforwarden.ml
temp.lowerbeforwarden.ml
www.temp.lowerbeforwarden.ml
Les scripts injectés sur les WordPress exploités redirigent vers une campagne de spam sur trendopportunityfollow.ga et vildq.com, suivi par des redirections en boucle sur des publicités, il est probable que (comme dans de nombreuses autres campagnes d’attaques sur des CMS) l’objectif soit de générer des revenus à l’aide des visites sur ces pages de pub.
Attention : sur de nombreux sites exploités, les scripts ont mal été injectés dans les pages (à cause de l’encodage des caractères < > ou autre) et contiennent les scripts au format texte. On peut les trouver sur google en recherchant “temp.lowerbeforwarden.ml/temp.js”.
Vous pouvez aider!
Vous pouvez aider à stopper cette attaque en contactant INWX (le registrar du nom de domaine) et les notifier de l’utilisation du nom de domaine sur https://www.inwx.com/en/aboutus/abuse. Si le domaine est inactif, un grand nombre de sites ne pourront plus charger les scripts contenant les redirections malveillantes !
Recommandations et support
Au vu de l’augmentation de ces attaques, je recommande une extrême vigilance quand à la version des plugins que vous utilisez ainsi qu’à la configuration de votre site WordPress. Pensez également en cas de doute sur une intrusion à faire une rotation de tous les mots de passe des administrateurs du site ainsi qu’à activer la 2FA.
Si vous avez besoin de support à la suite d’une intrusion, vous pouvez me contacter sur Fenrir.Pro .
