StoïkBlogCyberattaques

[CERT-Stoïk] Compromission d’un WordPress qui redirige les utilisateurs vers des sites frauduleux

Leslie Fornero
Dernière mise à jour :

Encore une belle histoire qui finit bien et qui nous vient de notre CERT-Stoïk : une gestion de sinistre un vendredi soir menée de manière optimale et efficace grâce aux équipes informatiques de notre client qui ont fait preuve d’une collaboration et d’un professionnalisme sans faille. Découvrez comme notre équipe CERT-Stoïk a remis un site internet en état de marche en moins de 12 heures.

cyberattaque WordPress

Découverte de l’attaque

Tout a commencé un vendredi à 16h30, alors que tout le monde se réjouit de bientôt partir en week-end… Notre assuré nous contacte parce que son site internet renvoie vers des sites frauduleux : site pornographique ou page qui télécharge un virus informatique.

Notre client a déjà eu le bon réflexe de mettre son site internet en maintenance et de filtrer les flux pour que l’attaquant ne puisse pas continuer à agir.

L’analyse de logs, la boîte noire du système d’information

Nos équipes interviennent et entrent en contact tout de suite avec les équipes informatiques du client pour obtenir les accès au système. Grâce à la réactivité et au professionnalisme des équipes du client, notre CERT-Stoïk peut rapidement commencer à analyser les logs (autrement dit les "journaux") du serveur web depuis l’heure approximative du début de l’attaque, évaluée à 13h30 : c’est l’analyse de toutes les activités qui se sont déroulées sur le système, une sorte de boîte noire pour système informatique dans laquelle on peut lire toutes les actions qui ont eu lieu (connexions, téléchargements, modifications de fichiers, etc.).

Une équipe de 3 personnes du CERT-Stoïk est déployée pour éplucher tous les logs enregistrés, le travail dure jusqu’à 23h30.

Adresses IP et requête d’authentification suspectes

Deux pistes sont détectées par nos équipes pour comprendre d’où vient l’attaque :

  1. Des adresses IP très suspectes sont repérées : en les analysant et en faisant quelques recherches, nos équipes se rendent compte qu’elles sont à l'origine d'une campagne d'attaques similaires plusieurs mois précédant l'attaque sur des sites WordPress vulnérables.
  2. Une requête unique d’authentification est repérée : lorsque l’authentification à un système s’effectue en une requête unique, c’est très suspect car trop facile. En analysant cette seconde découverte, nos équipes identifient qu’il existe une vulnérabilité très peu documentée sur un composant d’authentification de wordPress.
Quand le CERT-Stoïk fait face à un ransomware
Les ransomware sont les attaques les plus fréquentes contre les PME et les ETI. Découvrez les bons réflexes en cas d'attaque !
Lire l'article

L’investigation et l’analyse des actions malveillantes peuvent commencer

Dans le même temps, notre CERT-Stoïk investigue et analyse ce que l’attaquant a mis en place dans le système pour que le site redirige vers des sites frauduleux. Ils découvrent un bout de code de redirection inséré sur de nombreuses pages du site. C’est ce bout de code qui redirige automatiquement toutes les pages du site et qui le rend inaccessible.

Découvrez comment nos équipes du CERT-Stoïk ont accompagné une entreprise de e-commerce dont les moyens de paiement avaient été détournés par un attaquant.
Lire l'article

Remise en état et sécurisation du système

Le travail de remédiation peut commencer. En voici les étapes principales :

  • Restauration du site WordPress à partir de sauvegardes saines datant de 48h précédant l'attaque
  • Suppression du bout de code de redirection des pages
  • Changement des mots de passe de tous les utilisateurs
  • Mise à jour du WordPress et l’ensemble de ses extensions
  • Blocage des adresse IP sources suspectes
  • Mise en place d’alertes dès qu’un nouvel utilisateur est créé
  • Installation d’un nouveau plug-in d’alertes

Durée de la remédiation : 3h30.

Le travail se termine à 3h du matin. Le site est réouvert et fonctionne à nouveau normalement, et ceci en moins de 12 heures de temps depuis la déclaration de l’attaque.

Le client est très satisfait qu’on ait pu l’accompagner notamment un vendredi soir toute la soirée.

D'autres retours de terrain
Découvrez comment notre équipe CERT-Stoïk a accompagné un réseau de concessions automobiles suite à une cyberattaque.
Lire l'article
Inscrivez-vous à notre newsletter cyber !