Compte rendu de l'attaque sur les sites Wordpress de LQDN

Déroulement

Vers 15h, le Mardi 6 Octobre 2020, Marne s'est rendu compte que les diffusions d'emails depuis CiviCRM n'étaient pas partis depuis le 2 septembre 2020.
Après investigation, il semblait que d'une part, le configuration SMTP n'était pas à jour, donc que les mails de ne partaient pas. D'autre part, les tâches CRON récurrente, censées êtres éxécutées par CiviCRM ne l'étaient pas.
La configuration SMTP à été réparée, et une diffusion de mail ( sur la décision de la CJUE ) est partie. Toutefois, une fois cet envoie effectué, le serveur a commencé à afficher une erreure 504.
Vinci s'est donc connecté aux outils de surveillance de l'infrastructure, et s'est rendu compte que un des processus était bloqué. Après l'avoir tué, le service est redevenu fonctionnel.
Au même moment, il s'est aperçu qu'il y avait un certain nombre de fichiers vérolés dans l'installation du Wordpress. Ils ont été détectés avec php-malware-detector et la recherche "à la main" via grep.
Une analyse brève des commandes MySQL et de la base de donnée ne révèle pas d'intrusion dessus, ni de modifications malveillantes.
Le service Wordpress est donc opérationnel, mais à la fin de l'intervention, il n'est toujours pas à jour, et les plugins ( dont CiviCRM ) ne le sont pas non plus.

Nous avons supposé, à défault de mieux, que les failles exploités venait d'un retard sur les mises à jour.
Nous n'avons pas pû garantir l'abscence totale de malware après l'intervention.

Du fait du retard de mise à jour, et de l'attaque subie, nous mettons en oeuvre une réinstallation du système Wordpress, mais en conservant à la fois le contenue et la base de donnée existante.

Veuillez vous inscrire ou vous connecter pour ajouter un commentaire.