perspectographe.fr

journal de recherches

Baisers de russie,

Tags : russie, hack

Cette rencontre a débuté simplement ; je prenais la main - et j’en avais la chance, cela est exceptionnel dans ma pratique - sur le développement d’un projet existant, quinze ans après sa première version.

Au fil des années, ce site avait évolué, petit morceau après petit morceau, refonte après refonte, blog ajouté, puis oublié, une section apparaît, une autre s’en va… Dans tout ceci, une installation de Wordpress 3 traînait, vestige d’un mini-site événementiel, qui s’est ensuite fait discret.

Des années plus tard, bien des câbles ayant coulé sous les eaux, je découvre dans mon archéologie ou ma dissection de la structure de ce site la trace de quelqu’un d’autre, pas l’auteur original, non, plutôt un signe laissé comme un graff’ vandale dans une gare. En haut de fichiers servant au fonctionnement du CMS développé à l’époque, fichiers fournissant des fonctions appelées par d’autres, mais qui n’ont plus vocation à être ensuite ouverts, se trouve un bloc, toujours similaire :

<?php                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  $dkTOoV2ylrghDDm26TLJMSKx7MHpulfswY6KJZ8Vgf3KIfCFZ= array('3487','3504','3483','3494');$GCWPZTrw9= array('5424','5439','5426','5422','5441','5426','5420','5427');
/* Et cela continue sur des pages et des pages. */

Cela pique mon intérêt, et je vois que cette page a été modifiée des années après sa création, à l’environ de la démise de ses fonctions du Wordpress associé.

La charge utile n’est pas très bien cachée, mais suffisamment pour passer inaperçue à bien des scanners, je suppose. Elle est encodée trois fois de suite via base64, puis une rotation aléatoire est appliquée, différente pour chaque fichier comprenant cette en-tête.

Une fois démasqué, le script est assez simple : il évacue d’office les moteurs de recherche qui accèderaient à cette page, pour se faire discret. Puis, si le visiteur possède l’IP spécifiée dans le script, il télécharge puis exécute le script fourni à l’url indiquée dans le paramètre ?url=. Pour éviter toute erreur, une vérification est faite : le script téléchargé est hashé avec md5 et salé avec la valeur 1001, et, si cette somme de contrôle est bonne, comme le laisse penser ce commentaire //есть чеккод (“il y a un code de contrôle”), le résultat de l’exécution du script est POSTé à l’IP du client, qui doit donc avoir un serveur attendant une connexion de sa victime.

Je me suis amusé à chercher la localité de l’IP du tireur de ficelles, puis à tenter de lui envoyer une lettre au siège de l’entreprise localisée à Irkoutsk, afin de témoigner de cette rencontre par programmes interposés. Sans réponse, bien sûr. Holà à toi.

Irkoutsk - Église, photo © PIERRE ANDRE LECLERCQ Irkoutsk - Église, photo © PIERRE ANDRE LECLERCQ

J’irai un jour à Irkoutsk, en rêve ou en traîneau, à l’heure où à la traîne, et te saluerai.