Des dizaines de millions de sites sont réalisés grâce au système de gestion de contenu WordPress, ce dernier attire donc les pirates qui voient en lui une cible potentielle pour une attaque à grande échelle.

La communauté WordPress révèle que près de 100 000 sites WordPress ont subi l’attaque du malware “SoakSoak“. On a même parlé d’une “épidémie SoakSoak” puisqu’à cause de ce malware, 11 000 domaines se sont retrouvés blacklisté par le moteur de recherche Google (ce qui fera surement beaucoup de mal au niveau de l’audience de ces sites).

Si votre site est infecté, vous le verrez rapidement, car vous serez redirigé de temps à autre sur SoakSoak.ru. De plus, des fichiers malicieux pourront être téléchargés sur votre machine en arrière-plan, en tout transparence.

WordPress mais pas seulement !

Les experts en sécurité de chez Sucuri précisent que bien que de nombreux sites WordPress soient touchés, ce n’est pas la seule plateforme à être ciblée.

En fait, SoakSoak modifie le fichier “wp-includes/template-loader.php” qui chargera ensuite le fichier “wp-includes/js/swobject.js“. Ce fichier JavaScript sera automatiquement chargé lors d’une page vue sur votre site, et il contient bien entendu du code malicieux encodé.

Il est à noter que le code ajouté au fichier template-loader.php est le suivant :

<?php
function FuncQueueObject()
{
  wp_enqueue_script("swfobject");
}
add_action("wp_enqueue_scripts", 'FuncQueueObject');

Si vous souhaitez vérifier l’état de votre site, vous pouvez utiliser le scanner gratuit proposé par Sucuri : Free site scanner

Quant à la méthode exacte utilisée pour l’injection de code, elle n’est pas donnée.

Source

I. Présentation

Un site web est quelque chose de vivant, il arrive donc que certains dossiers, répertoires ou pages autrefois utilisés deviennent obsolètes et amènent alors à une page de type erreur 404. Pour cela, il est recommandé de mettre en place des redirections 301. Nous allons ici voir comment mettre une redirection 301 sur tout un répertoire.

II. Rediriger un répertoire via des règles 301

Le fait de vouloir rediriger tout un répertoire vers une nouvelle URL évite souvent d’oublier des URLS et de se retrouver alors avec des utilisateurs qui pensent que votre site web n’est plus maintenu ou obsolète, cela permet également aux robots de revenir sur des pages valables.
Lorsque je parle de “tout un répertoire”, je veux dire que les URL suivantes :

• www.site.test/rep1/
• www.site.test/rep1/page-de-test.php
• www.site.test/rep1/sous-rep1/
• www.site.test/rep1/sous-rep1/page-de-test2.php

seront toutes redirigées vers une même URL valide.

Note : La redirection via Htacess possède quelques pré-requis :

– Prise en compte du .htaccess dans Apache

– Activation du mod_rewrite dans Apache

Nous allons donc ouvrir notre .htaccess pour le modifier et nous allons ajouter une ligne comme celle-ci :

RedirectMatch 301 ^/rep1/.* http://www.site.test/rep2

Nous utilisons ici la règle “RedirectMatch 301” pour spécifier qu’il s’agit d’un code HTTP 301 à envoyer aux clients. Un Code HTTP 301 signifie qu’il s’agit d’une redirection permanente, ces redirections sont d’ailleurs généralement mise en cache par les navigateurs web.
Nous utilisons ensuite quelques opérateurs propres ou regexp :

• ^/rep1 : Permet de spécifier que seront prises en compte toutes les URL dont la partie hors domaine (www.site.test) commence par “/rep1″
• rep1/.* : Permet de spécifier “tout”, dans le sens “n’importe quel caractère, en n’importe combien de fois”. Cela permet d’englober tout ce qui peut se trouver dans le répertoire visé. Pour être plus précis, le “.” signifie “n’importe quel caractère” et le “*” spécifie “X fois ce qui précède”. Donc X fois n’importe quel caractère.

A cela suit l’URL valide vers laquelle je souhaite rediriger mes utilisateurs.

Les rumeurs continuaient d’enfler, mais Mark Zuckerberg vient de mettre un terme à celles-ci. Non, il n’y aura pas de bouton « J’aime pas » sur le réseau social Facebook.

Bien que concerné par la demande des utilisateurs, Mark Zuckerberg affirme que :

« Le bouton “J’aime” est très utile parce que c’est une façon pour vous d’exprimer très rapidement une émotion positive ou un sentiment quand quelqu’un partage quelque chose. Et, vous le savez, des gens ont demandé un bouton “J’aime pas” parce qu’ils veulent avoir la possibilité de dire “ceci n’est pas bien”. Ce n’est pas une chose que nous pensons bonne pour le monde. Donc nous n’allons pas créer cela. »

Loin d’oublier totalement l’idée, le créateur de Facebook cherche une autre alternative à cela :

« Donner la possibilité aux gens de pouvoir faire ça avec plus d’émotions serait puissant, mais nous avons besoin de cerner la bonne façon de le faire de sorte que ce soit une force positive, et non une force négative et humiliante pour les gens qui se confient. »

Reste encore à savoir ce que prépare Mark Zuckerberg pour palier à la déception de nombreux utilisateurs…

Source

I. Présentation

Android offre la possibilité de personnaliser l’écran de verrouillage du système, l’écran qui est affiché lorsque le téléphone est verrouillé. D’ailleurs, on peut déverrouiller le téléphone uniquement si l’on connaît le mot de passe, le code PIN, etc. Selon ce que l’utilisateur choisit en matière de sécurité (il est possible de ne rien mettre également).

En cas de perte de votre appareil, seulement cet écran sera visible par une personne quelconque puisque si elle ne dispose pas de votre accès de déverrouillage. De ce fait, il peut être intéressant d’afficher ses informations personnelles sur cet écran afin que la personne qui a trouvé l’appareil puisse obtenir facilement les coordonnées du propriétaire.

Dans ce tutoriel, nous verrons comment configurer cela sous Android, pour ma part je suis sous Android 4.4 (via CyanogenMod pour être précis).

II. Activer les informations sur le propriétaire

Pour commencer, faites glisser de haut en bas sur votre écran pour faire apparaître le menu d’actions. Appuyez sur “Paramètres“.

 

Au niveau des paramètres, appuyez sur “Sécurité” car c’est cette section qui nous intéresse dans ce tutoriel.

En tête de liste, vous trouverez “Infos propriétaire” : appuyez dessus pour accéder à cette option.

Cochez la case “Coordonnées du propriétaire sur l’écran verrouillé” si ce n’est pas déjà fait. Dans la zone en dessous, saisissez vos coordonnées personnelles, ou plutôt, le texte que vous souhaitez voir apparaître sur l’écran de verrouillage en tant qu’infos propriétaires.

Pour finir, verrouillez votre appareil et regardez votre écran de verrouillage. Vous devez voir apparaître le texte que vous avez saisi !

Le tutoriel est désormais terminé, c’était rapide, mais ce type de configuration peut être utile à tout le monde !

I. Présentation de TCPdump

TCPdump est, comme son nom peut l’indiquer, un analyseur de flux et de paquets réseau. Son rôle est donc de capturer tout ou partie d’un flux réseau transitant au travers une ou plusieurs interfaces d’une machine. L’analyse réseau est souvent utilisée dans l’administration système à des fins d’apprentissage et également à des fins de diagnostiques. C’est intéressant, car on voit exactement le contenu de ce qui arrive et sort via le réseau. L’avantage de TCPdump est qu’il s’utilise en ligne de commande sous Linux au contraire de Wireshark qui possède une interface graphique.

Le fait que TCPdump s’utilise en ligne de commande le rend plus simple d’utilisation sur des serveurs dépourvus d’interface graphique sur lesquels on souhaite effectuer des analyses et des captures réseau. Dans ce billet, nous travaillerons avec TCPdump 4.6.2 qui utilise la version  1.6.2 de la librairie libpcap et nous allons voir comment gérer l’écriture et la lecture de fichier avec TCPdump.

II. Enregistrer dans un fichier avec TCPdump

L’enregistrement des flux capturés dans un fichier peut se faire très simplement avec TCPdump, c’est d’ailleurs particulièrement intéressant lorsqu’on laisse tourner TCPdump plusieurs heures ou que l’on analyse une grande quantité de paquets. Il faut reconnaître que l’utilisation d’un sniffeur en ligne de commande a pour inconvénient une difficulté d’exploitation et de lecture des résultats en grande quantité. On peut donc enregistrer nos fichiers au format PCAP (rapport à la librairie utilisée par beaucoup de logiciels pour la capture et l’analyse réseau : libpcap).

Pour enregistrer le trafic capturé, il suffit de rajouter l’option “-w” (pour “write“) puis le nom de notre fichier “.pcap” à la fin de notre ligne de commande TCPdump, ainsi pour un sniff basique, on utilisera la ligne de commande suivante :

tcpdump -i eth0 -w save.pcap

Tout le trafic capturé ne s’affichera alors plus sur le terminal comme en temps normal lors d’une analyse avec TCPdump, mais ira alors directement dans le fichier “save.pcap“.

Note : Pour couper l’analyse réseau et fermer le fichier .pcap, il suffit de saisir CTRL + C au clavier.

D’autres options plutôt pratiques sont présentes dans TCPdump, si l’on effectue une analyse réseau de plusieurs heures voir plusieurs jours comme c’est le cas lors d’enregistrement permanent du trafic réseau, il peut être utile de séparer nos fichiers en fonction d’une valeur temporelle ou une valeur de taille. Cela est possible via les options “-G” et “-C“. L’option “-G” permet de créer un nouveau fichier au-delà d’une certaine période donnée. On va également y ajouter un horodatage”strftime” qui est tout simplement la façon dont nos fichiers vont être nommés dynamiquement . Par exemple si on souhaite au cours d’une capture réseau avoir un fichier par période d’une minute, on utilisera la commande suivante :

tcpdump -i eth0 -G 60 -w  %H%M%S_w1.pcap

Ici, %H sera remplacé par l’heure de création du nouveau fichier, %M par la minute et %S par la seconde. Ainsi, chaque nouveau fichier créé (au bout de 60 secondes) n’effacera pas le précédent, ce qui est le cas si on ne spécifie pas d’horodatage strftime. Après avoir laissé cette commande tourner quelques minutes, voici les fichiers pcap que je pourrais trouver  :

On voit donc que plusieurs fichiers ont été créés et ont été nommés en fonction de l’heure, minute et seconde de création suivie de “_w1.pcap“. Cela permet au final de segmenter de façon très précise nos enregistrements. Nous pouvons également fonctionner en fonction de la taille du fichier capturé et non en fonction d’un délai fixé. Pour cela, il faut utiliser l’option “-C”, on spécifiera ensuite la valeur en million d’octets (on parle ici d’un million tout rond, pas un million au sens “octal”, 1 000 000 et non 1 048 576). Pour rappel 1 000 000 d’octets est égal à 1 Mo. Si je souhaite par exemple avec des fichiers .pcap de 2 Mo chacun lors d’une capture continue :

tcpdump -i eth0 -C 2 -w  w1.pcap

Voilà les différents fichiers .pcap que l’on pourra alors avoir :

On voit donc que les fichiers sont nommés comme indiqué suivi d’un numéro incrémenté.

III. De TCPdump à Wireshark avec les fichiers pcap

Via la possibilité d’enregistrement du trafic capturé dans un fichier au format “.pcap“, on peut alors très simplement exporter ces fichiers sur un poste possédant une interface graphique avec Wireshark pour étudier ce fichier et ce qu’il contient en profitant de la puissance et de la précision de l’interface graphique Wireshark. Une fois le fichier enregistré au format “.pcap” comme avec les méthodes indiquées plus haut, il nous suffit alors d’ouvrir Wireshark et d’aller dans  “File” puis “Open” :

 

On va ensuite aller chercher nos fichiers au format “.pcap” :

Puis on pourra les étudier et y appliquer des filtres via Wireshark, c’est ici tout l’avantage d’utiliser des formats similaires entre deux outils :

 

IV. Lire un fichier PCAP dans TCPdump

Pour ceux qui préfèrent lire des fichiers avec TCPdump ou qui n’ont pas le choix que d’utiliser la ligne de commande pour cela, il existe également une fonction de lecture des fichiers au format “.pcap” dans TCPdump. Pour lire un fichier pcap, on utilisera l’option “-r” (pour “read“) :

tcpdump -r fichier.pcap

Voici le résultat d’une lecture de fichier dans TCPdump :

Notez que lors de la lecture d’un fichier “.pcap“, on peut très bien y appliquer des filtres pour réduire la quantité de données affichées.