23/11/2024

Actu Cybersécurité

Une backdoor WordPress utilise les codes sources Pastebin !

Depuis une dizaine d'années, le service en ligne Pastebin est utilisé par les développeurs pour partager des codes sources, mais également par les hackers pour partager des codes sources voir même des dumps de données...

Les hackers utilisent le service Pastebin pour distribuer du code malicieux notamment pour la création de backdoor.

D'après Denis Sinegubko, chercheur spécialisé dans les malwares chez Sucuri, les hackers exploitent en ce moment les faiblesses d'une ancienne version de RevSlider, un plug-in payant et populaire pour WordPress. D'ailleurs, ce plug-in est souvent packagé dans certains thèmes WordPress qui l'intègre directement.

Les hackers cherchent à vérifier en premier lieu la présence du plug-in RevSlider sur le site ciblé, et lorsqu'il est découvert, ils exploitent une vulnérabilité dans RevSlider et tentent d'envoyer la backdoor sur le site.

Denis Sinegubko précise que les hackers utilisent Pastebin pour faire ce qu'il est censé faire : partager du code, sauf que là il s'agit d'un code malicieux, ce qui pose problème... D'autant plus que c'est dans le cadre d'activité illégale.

Une variable nommée $temp encodée en Base64 est ajoutée au fichier wp-links-opml.php, et que du code est ensuite directement téléchargé depuis le site Pastebin.com. Un paramètre wp_nonce_once est également utilisé.

pastebinbackdoor1

En fait, une fois la backdoor en place elle permet de télécharger et d'exécuter n'importe quel morceau de code hébergé sur Pastebin. Cela est fait en passant un paramètre en appelant le fichier PHP modifié, à savoir wp-links-opml.php.

Il ne faut pas croire que c'est la première fois que les hackers s'appuient sur Pastebin, Sucuri note d'ailleurs dans son article 5 grandes attaques liées à Pastebin sur les 5 dernières années.

Si vous souhaitez plus de détails : Sucuri - Pastebin - RevSlider

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.