Une backdoor WordPress utilise les codes sources Pastebin !

Depuis une dizaine d'années, le service en ligne Pastebin est utilisé par les développeurs pour partager des codes sources, mais également par les hackers pour partager des codes sources voir même des dumps de données...

Les hackers utilisent le service Pastebin pour distribuer du code malicieux notamment pour la création de backdoor.

D'après Denis Sinegubko, chercheur spécialisé dans les malwares chez Sucuri, les hackers exploitent en ce moment les faiblesses d'une ancienne version de RevSlider, un plug-in payant et populaire pour WordPress. D'ailleurs, ce plug-in est souvent packagé dans certains thèmes WordPress qui l'intègre directement.

Les hackers cherchent à vérifier en premier lieu la présence du plug-in RevSlider sur le site ciblé, et lorsqu'il est découvert, ils exploitent une vulnérabilité dans RevSlider et tentent d'envoyer la backdoor sur le site.

Denis Sinegubko précise que les hackers utilisent Pastebin pour faire ce qu'il est censé faire : partager du code, sauf que là il s'agit d'un code malicieux, ce qui pose problème... D'autant plus que c'est dans le cadre d'activité illégale.

Une variable nommée $temp encodée en Base64 est ajoutée au fichier wp-links-opml.php, et que du code est ensuite directement téléchargé depuis le site Pastebin.com. Un paramètre wp_nonce_once est également utilisé.

pastebinbackdoor1

En fait, une fois la backdoor en place elle permet de télécharger et d'exécuter n'importe quel morceau de code hébergé sur Pastebin. Cela est fait en passant un paramètre en appelant le fichier PHP modifié, à savoir wp-links-opml.php.

Il ne faut pas croire que c'est la première fois que les hackers s'appuient sur Pastebin, Sucuri note d'ailleurs dans son article 5 grandes attaques liées à Pastebin sur les 5 dernières années.

Si vous souhaitez plus de détails : Sucuri - Pastebin - RevSlider

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian B.

Co-Fondateur d'IT-Connect, je souhaite partager mes connaissances et expériences avec vous, et comme la veille techno' est importante je partage aussi des actus.

florian has 2070 posts and counting.See all posts by florian

Une pensée sur “Une backdoor WordPress utilise les codes sources Pastebin !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.