Alerte defacement et CyberJihad

Mehdi HAMIDA 15 janvier 2015 Sécurité & Cloud Laisser un commentaire 35 Views

Il fallait s’y attendre… je viens de recevoir des mails de l’ANSSI. Depuis plusieurs jours, une vague d’attaques informatiques est en cours sur les serveurs de la zone « .fr », des defacements en masse. Le defacement consiste à prendre le contrôle d’un site internet et de modifier son contenu. Ce mouvement, la cyberjihad, devrait connaitre un pic aujourd’hui jeudi.

La CyberJihad s’appelle #OpFrance

En effet, suite aux attentats de la semaine dernière, la surveillance des différents canaux d’information formels ou informels  montrent une activité de préparation à des cyberattaques d’envergure. Plus d’un millier de sites internet français ont ainsi été piratés depuis l’attentat contre Charlie Hebdo, par des hackers se revendiquant comme islamistes. Il s’agit principalement de sites de petites tailles, comme des sites de mairies, conseils généraux, universités, offices du tourisme, sites d’élus, églises ou petites et moyennes entreprises qui subissent ces campagnes de défacement. On peut voir ainsi des messages tel que Il n’y a de Dieu qu’Allah, Death to France (Mort à la France) ou encore Death to Charlie (Mort à Charlie). Ces cyberjihadistes semblent être pour la plupart originaires du Maghreb ou de Mauritanie et signeraient assez souvent #OpFrance.
Rassurez-vous, ces attaques ne sont pas trop dur non plus à réaliser : la course aux faibles coûts fait que beaucoup utilise des CMS, ou système de gestion de contenu (contenant quelques failles encore exploitables) ou sous-traitent le développement de leur site en Tunisie ou au Maroc.

Anonymous

De leur côté, un certains nombre de hackers, se revendiquant du mouvement Anonymous, ont riposté, diffusant des comptes Twitter de jihadistes et mettant hors service des sites internet.  Ils ont a ainsi publié une liste de plus 120 comptes Twitter désignés comme islamistes, et une liste de d’un centaine de comptes Twitter dits terroristes. La plupart de ces comptes ont été suspendus mais un document collaboratif visant à tous les recenser et surtout les faire disparaitre de la toile existe auss isur la plateforme collaborative Piratepad.  Les Anonymous revendiquent déjà le defacement d’une trentaine de sites radicaux, dont Ansar-alhaqq, qui diffusait en français de la propagande jihadiste. Désormais, sa page d’accueil est redirigée vers DuckDuckGo, le moteur de recherche indépendant et favori de ceux qui veulent encore avoir droit à une vie privée.
Toutefois, cette cyber-mobilisation n’est pas du goût des forces de l’ordre. Ne perturbez pas le travail des policiers enquêteurs en diffusant de fausses informations ou rumeurs, a publié la Police Nationale sur son compte Twitter.

Recommandations

L’ANSSI (agence nationale de la sécurité des systèmes d’information) nous appelle à une vigilance accrue dès maintenant et nous informe que plusieurs messages ont été publiées pour inciter des groupes d’attaquants à s’en prendre massivement aux sites institutionnels français à partir de la journée du jeudi 15 janvier 2015.
Tous les administrateurs sont invités à contrôler les logs, et l’éventuelle présence des indicateurs ci-dessous :
– Fichier dh4.php (md5 : 988f74ab3755c9fed949182080e55cd2 ; sha1 : ec9ca26fddbfb2c0be72a30bf2cf362da06d33dd)
– Fichier prod!gy1.php (même condensat que précédent)
– Fichier riad.php
– IP 41.224.83.14
– IP 95.212.145.55
– IP 5.39.29.154 (robot)
– IP 185.52.24.181 (robot)
– IP 98.143.148.6 (robot)
– IP 192.185.83.142 (robot)
– Mot clef rummykhan
– Mot clef donnazmi

Les fichiers correspondent à des webshells ont été retrouvés sur des CMS Drupal et Joomla. Pensez donc à mettre à jour vos versions, notamment de Drupal et à vous appuyez sur le guide de sécurisation des sites Web.
En cas d’attaque, reportez-vous à la note d’information sur les defacements de sites Web.

Tactique d’attaque sur Drupal

1.    Changement username et password de l’administrateur via l’URL /?q=node&destination=node (POST)
2.    Connexion en admin sur /user/login (POST)
3.    Ajout d’une page sur /node/add/page
4.    Utilisation de la nouvelle page pour uploader prod!gy1.php
5.    Renommage en dh4.php

Alors, cyberattaques, defacement et CyberJihad, bon courage à tous les admin.

A propos de Mehdi HAMIDA

Avec plus de 20 ans d’expérience dans la tech, je me suis spécialisé dans la gestion des données, le cloud (AWS, Snowflake) et l'architecture IT. Avant ça, j’étais expert technique et chef de projet sur des missions stratégiques. Je m'appelle Mehdi HAMIDA, et aujourd’hui, je partage simplement mes découvertes et connaissances à travers ce blog.

Lire aussi

Comprendre les architectures de données

Dans un monde où les données sont devenues un levier stratégique pour les entreprises, il est essentiel de comprendre les systèmes qui permettent de gérer, stocker et d'exploiter efficacement ces informations.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

"On a toujours tort d'essayer d'avoir raison devant des gens qui ont toutes les bonnes raisons de croire qu'ils n'ont pas tort" R. Devos
© Mehdi HAMIDA - 2025