Après analyse, j’ai maintenant une image claire de ce qui est arrivé à Roumazeilles.net.
A ce que l’on peut juger, un hacker s’est introduit sur le site via un plugin qui avait une faille de sécurité pendant quelques jours (rapidement corrigée mais pas assez vite). Il a pu
- se créer des accès privilégiés sur le site (des comptes d’administrateur).
- modifier les articles pour y ajouter un script susceptible d’apporter une infection (que je n’ai pas pu déterminer).
- modifier le site pour qu’il renvoie sur un autre site infecté.
- modifier le site pour se créer une porte d’entrée privée.
Cela a dû avoir lieu vendredi 9 novembre dans la nuit (ou samedi 10 novembre très tôt le matin). Cela a touché quatre de mes sites successivement (quatre autres n’ont pas eu le temps d’être infectés mais portaient déjà les premières traces de l’intervention).
Les corrections apportées permettent maintenant (dimanche 11 novembre en fin de matinée) d’affirmer que l’épisode est clos pour les quatre sites infectés.
Les conséquences pour vous, nos visiteurs :
- il est possible (mais loin d’être certain) que certaines données personnelles aient été prises, mais cela ne semblait pas être l’objectif du hacker.
- tous les utilisateurs qui avaient des comptes sur le site ont été prévenus, leurs mots de passe modifiés (il semble que personne n’avait de mot de passe fragile ou ré-utilisé – conseil : n’utilisez jamais le mot de passe d’un site sur un autre site).
- pendant plusieurs dizaines d’heures, Roumazeilles.net a servi à propager un ou plusieurs malwares vers les visiteurs de nos pages et nos articles. Conseil : passez tout de suite un anti-virus sur votre ordinateur.
J’espère (et je crois) que c’est tout.
Détails techniques sur ce type d’attaque (nous n’avons pas été les seuls concernés).
Laisser un commentaire